- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
Действия вс, выполняемые при отказе в доступе
Если в результате проверки система выдала отказ в доступе, то необходимо вести регистрацию всей относящейся к делу информации и дополнительно к этому следует ввести временную задержку, в течении которой будут игнорироваться новые попытки доступа к системе от того же источника. Это необходимо сделать для уменьшения вероятности раскрытия паролей с помощью программного подбора. Если количество попыток ввести пароль превышает заданное число, то происходит отключение пользователя от системы.
Методы управления доступом. Протоколирование и аудит.
Средства управления доступом позволяют определять и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией или другими компьютерными ресурсами). Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов.
Если дается разрешение на выполнение затребованного действия, говорят, что объект, осуществляющий запрос, имеет полномочия по отношению к указанному элементу данных. Элементом данных может быть файл, запись, поле, отношение или некоторая другая структура.
При принятии решения о предоставлении доступа обычно анализируется следующая информация:
- Идентификатор субъекта (идентификатор субъекта, сетевой адрес компьютера и т.д.). Подобные идентификаторы являются основой произвольного управления доступом.
- Атрибуты субъекта (метка безопасности, группа пользователя).
Метки безопасности являются основой принудительного управления доступом.
- Место действия (системная консоль, узел в сети и т.п.).
- Время действия (большинство действий целесообразно разрешать только в рабочее время).
- Внутренние ограничения сервиса (число одновременно работающих пользователей, сумма денег, которую разрешено выдавать наличными и пр.)
Произвольное управление доступом
Произвольное (добровольное, дискреционное) управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (администратор) по своему усмотрению может давать другим субъектам или отбирать у них права доступа к объекту. Администратор задает множество разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа. Матрица доступа (полномочий) представляет собой матрицу, в которой столбец соответствует объекту системы, а строка - субъекту. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и т.п.
Текущее состояние прав доступа (профиль полномочий) описывается матрицей полномочий: по строкам перечислены субъекты, в столбцах - объекты, на пересечении записываются способы доступа, допустимые для субъекта по отношению к объекту. Каждый элемент А(i,j) в матрице установления полномочий определяет права доступа i-го пользователя к j-му ресурсу.
Табл. 1.
Место расположения терминала |
Имя служащего |
Адрес служащего |
Таб. № служащего |
Квалификация служащего |
Данные об окладе |
Прогноз объема продаж |
Цена закупки |
Отдел кадров Касса Отдел сбыта Снабжение Отдел маркетинга |
11 01 00 00 00 |
11 00 00 00 00 |
11 01 00 00 01 |
11 00 01 00 01 |
11 11 00 00 00 |
00 00 11 00 00 |
00 00 01 11 01 |
01 - означает право ЧИТАТЬ; 10 - означает право ПИСАТЬ;
00 - в i-строке и j-м столбце означает, что терминалу из i-й строки запрещены все виды доступа к элементу данных, описанному в j-м столбце.
11 - означает, что с терминала можно как читать, так и записывать элемент данных.
Дополнительно к правам ЧТЕНИЕ, ЗАПИСЬ существуют другие общие типы прав: ИСПОЛНЕНИЕ (исполнить процедуру, когда элементом данных является процедура), УДАЛЕНИЕ (удалить элемент данных из базы данных) и ПРИСОЕДИНЕНИЕ (добавить что-либо к концу элемента данных без изменения его первоначального содержания).
Элементы матрицы установления полномочий обычно содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу данных. При необходимости элементы матрицы могут содержать указатели на процедуры проверки. Процедуры могут принимать решения о доступе с учетом многих факторов, например, время суток, текущее состояние базы данных.
МУП является центральным звеном системы обеспечения безопасности. За счет включения большего или меньшего количества информации в МУП можно изменять сложность контрольных проверок, зависимых от содержания данных. Обычно МУП хранится как отдельный зашифрованный файл и его строки помещаются в оперативную память только в случае необходимости.
Произвольное управление доступом широко применяется в АСОИ коммерческого сектора, так как ее реализация соответствует требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость.