Теми для курсових робіт, рефератів, есе

1. Огляд стандартної моделі мережних протоколів ISO (реферат).

2. Огляд архітектури й організації Ethernet-мереж (реферат).

3. Огляд мереж і мережних протоколів TCP/IP (реферат).

4. Методи виявлення помилок у мережах і реконфигурации мереж (реферат).

5. Огляд можливостей і реалізації протоколу GPRS (реферат).

6. Огляд можливостей і реалізацій сімейства протоколів Wi-Fi й Wi-MAX (реферат).

7. Огляд протоколів обміну миттєвими повідомленнями (реферат).

8. Реалізація мовою Java за допомогою пакета java.net взаємодія між двома узнами мережі (клієнтом і сервером) по протоколах TCP/IP й UDP/IP.

Тема 2. Безпека операційних систем і мереж

Ключові терміни

Data Encryption Standard (DES) – технологія криптования, заснована на підстановці символів і зміні їхнього порядку на основі ключа, надаваного авторизованим користувачам через захищений механізм.

DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability) - формула корпорації Microsoft для визначення наслідків атак.

Elevation of privilege – спроба розширити повноваження (наприклад, до повноважень системного адміністратора) c метою зловмисних дій.

Pharming – перенапрямок користувача на зловмисний Web-сайт (звичайно з метою phishing ).

Phishing – спроба украсти конфіденційну інформацію користувача шляхом її облудного одержання від самого користувача (наприклад, за допомогою тривожного електронного листа).

SDLC (Security Development Life Cycle) – схема життєвого циклу розробки безпечних програм, запропонована й застосовувана фірмою Microsoft.

SD3C (Secure in Design, by Default, in Deployment, and Communication) – формула вимог до безпеки програмного продукту фірми Microsoft.

Spoofing – " підробка" під певного користувача, зловмисне застосування його логина, пароля й повноважень.

SSL (Secure Socket Layer) - сімейство криптографічних протоколів, призначене для обміну криптованными повідомленнями через сокет.

STRIDE (Spoofing, Tampering with data, Repudiation, Denial of service, Elevation of privilege) – формула компанії Microsoft для визначення видів атак.

Tampering with data – атака шляхом перекручування або псування даних.

Tripwire - системні програми (для UNIX), що перевіряють, чи не змінювалися деякі файли й директорії, наприклад, файли, що містять паролі.

Trustworthy Computing (TWC) Initiative – ініціатива корпорації Microsorft (2002), спрямована на поліпшення безпеки розроблювального коду.

Аутентификация (authentication) – ідентифікація користувачів при вході в систему.

Безпека (security) – захист від зовнішніх атак.

Брандмауер (firewall) – системне програмне забезпечення для захисту локальної мережі від зовнішніх атак, що як би утворить стіну між "довіреними" й "не довіреними" комп'ютерами.

Вірус – фрагмент коду, що вбудовується у звичайні програми з метою порушення працездатності цих програм і всієї комп'ютерної системи.

Вхід у пастку (Trap Door) – атака шляхом використання логина або пароля, що дозволяє уникнути перевірок, пов'язаних з безпекою.

Журнал аудита (audit log) – системний журнал підсистеми безпеки, у який записується час, користувач і тип кожної спроби доступу до системних об'єктів і структур.

Закритий ключ (private key) – ключ, відомий тільки користувачеві й застосовуваний їм для декриптования даних.

Ключ криптования ( encryption key ) – секретний параметр алгоритму криптования, від якого залежить результат його роботи.

Криптование на основі відкритого ключа – метод криптографії, заснований на використанні пари ключів: на принципі, при якому користувачеві відомі два ключі: відкритий ключ для декриптования даних і закритий ключ для криптования даних.

Криптографія – перетворення зрозумілого тексту в зашифрований текст із метою захисту інформації.

Логин (login, loginname) – зареєстроване ім'я користувача для входу в систему.

Відмова в обслуговуванні (Denial of Service – Do) – атака на сервер шляхом створення його штучного перевантаження з метою перешкоджати його нормальній роботі.

Відкритий ключ ( public key) – ключ, відомий всім користувачам, і використовуваний для криптования даних.

Пароль (password) – секретне кодове слово, асоційоване й вводи в секретному режимі разом з логином.

Переповнення буфера (Buffer Overrun) – атака шляхом використання помилки в програмі (переповнення буфера в пам'яті) для звертання до пам'яті іншого користувача або процесу з метою порушення її цілісності.

Троянська програма (Trojan Horse) – атакуюча програма, що "підробляється" під деяку корисну програму, але при своєму запуску зловмисно використає своє оточення, наприклад, одержує й використає конфіденційну інформацію.

Хробак (Worm) – зловмисна програма, що використає механізми самовідтворення (розмноження) і поширюється через мережу.

Короткі підсумки

Безпека -захист від зовнішніх атак. У цей час вона особливо важлива у зв'язку з ростом киберпреступности. Будь-яка програмна система повинна мати підсистему безпеки, що захищає від несанкціонованого доступу, зловмисної модифікації, руйнування, випадкового уведення невірної інформації.

Аутентификация (ідентифікація) користувачів найчастіше реалізується через логины й паролі. Паролі повинні зберігатися в секреті, періодично мінятися, не бути угадува легко.

Розрізняються наступні види атак: троянські програми; входи в пастку (обхід підсистеми безпеки); використання переповнення стека або буфери; хробаки - програми, що самовідтворюються, розповсюджувані через мережу; віруси - фрагменти коду, що приєднуються до звичайних програм зі шкідливими цілями; відмова в обслуговуванні - створення штучного перевантаження сервера з метою домогтися його відмови.

Сучасні типи атак: phishing - вивудження конфіденційної інформації в користувача; pharming - перенапрямок користувача на ворожі web-сайти; tampering with data - перекручування або псування даних; spoofing - підробка під певного користувача з метою зловживання його повноваженнями; elevation of privilege - спроба розширити повноваження до повноважень адміністратора системи зі зловмисними цілями.

Ініціатива Trustworthy Computing (TWC) фірми Microsoft (2002) спрямована на підвищення безпеки коду й посилення уваги до питань безпеки. Основні принципи TWC: безпека, надійність, збереження конфіденційності інформації, коректність й оперативність бізнесу. Фірма Microsoft фінансувала навчання основам TWC, розроблена й впровадила нову схему SDLC життєвого циклу розробки безпечних програм. Суть SDLC полягає в тім, що безпеки приділяється постійна увага на всіх етапах життєвого циклу, виконується аналіз ризиків, пов'язаних з безпекою, статичні перевірки й тестування коду на безпеку, у розробці беруть участь зовнішні експерти по безпеці.

Формули безпеки, запропоновані фірмою Microsoft:

SD3C (secure in design, by default, in deployment + communication) - принципи розробки безпечного коду;

STRIDE (spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege) - класифікація атак;

DREAD (damage, reproducibility, exploitability, affected users, discoverability) - схема оцінки збитку від атак.

Міри боротьби, що рекомендують, з атаками: перевірка на підозрілі приклади активності; використання журналів аудита; періодичне сканування системи на предмет дір у безпеці; перевірки на короткі паролі, на зміну системних файлів і директорій і т.д.

Брандмауер - системне програмне забезпечення, що грає роль стіни між довіреними комп'ютерами локальної мережі й всіма іншими.

Методи виявлення спроб злому комп'ютерних систем: аудит і ведення журналу; tripwire (системних програм автоматичної перевірки стану системних файлів і директорій); спостереження за послідовністю системних викликів.

Криптографія - перетворення зрозумілого тексту в зашифрований з метою захисту інформації. Схема криптования повинна залежати не від секретного алгоритму, а від його секретного параметра (ключа криптования). Найбільше часто використовувані методи: асиметричне криптование на основі використання відкритого й схованого ключів; DES. Приклад криптования - SSL, використовуваний в Web-технологіях для уведення конфіденційної інформації через Web-сайти.

Розрізняються чотири рівні безпеки комп'ютерів у США - D, C, B, A, від мінімальної безпеки до використання формальних методів для забезпечення безпеки.

Безпека в Windows NT заснована на ідентифікаторах безпеки кожного користувача й на дескрипт орах безпеки оброблюваних об'єктів.

Безпека в.NET найбільш розвинена. Вона включає безпеку доступу до коду, безпека на основі свідчень про двійкову зборку, безпека на основі ролей, керуванні безпекою на основі атрибутів і викликів системних методів.

Набір для практики

Питання

1. Що таке безпека?

2. Від яких дій повинна захищати підсистема безпеки?

3. Що таке аутентификация і яким методом вона виконується?

4. Що таке троянська програма?

5. Що таке вхід у пастку (trap door)?

6. Як організована атака типу переповнення буфера?

7. Що таке мережний хробак?

8. Що таке комп'ютерний вірус?

9. У чому суть атаки типу відмова в обслуговуванні?

10. Що таке phishing?

11. Що таке pharming?

12. Що таке tampering with data?

13. Що таке spoofing?

14. Що таке elevation of privilege?

15. У чому суть й які принципи Trustworthy Computing Initiative фірми Microsoft?

16. Які особливості схеми життєвого циклу SDLC?

17. Що таке SD3C?

18. Що таке STRIDE?

19. Що таке DREAD?

20. Які рекомендують методы, що, боротьби з атаками?

21. Що таке журнал аудита?

22. Що таке брандмауер?

23. Які рекомендують методы, що, виявлення спроб злому системи?

24. Що таке криптографія?

25. У чому суть схеми криптования на основі відкритого зі схованого ключів?

26. У чому суть методу криптования DES?

27. Що таке SSL і де використається ця технологія криптования?

28. Які рівні безпеки комп'ютерів у США?

29. Як організована безпека в Windows NT?

30. Як організована безпека в.NET?

Вправи

1. Реалізуйте схему аутентификации користувачів за допомогою логинов і паролів.

2. Запропонуєте метод захисту від атаки типу переповнення буфера.

3. Реалізуйте програму перевірки незмінності системних файлів і директорій.

4. Реалізуйте програму перевірки незмінності системних шляхів (path).

5. Реалізуйте метод криптования на основі відкритого й схованого ключів.

6. Реалізуйте алгоритм криптования DES.

Теми для курсових робіт, рефератів, есе

1. Методи організації безпеки в операційних системах (реферат).

2. Сучасні методи криптографії (реферат).

3. Trustworthy Computing Initiative (реферат).

4. Реалізація схеми аутентификации користувачів за допомогою логинов і паролів (курсова робота).

5. Розробка й реалізація методу захисту від атаки типу переповнення буфера (курсова робота).

6. Реалізація програми перевірки незмінності системних файлів і директорій (курсова робота).

7. Реалізація програми перевірки незмінності системних шляхів (path) (курсова робота).

8. Реалізація методу криптования на основі відкритого й схованого ключів (курсова робота).

Змістовий модуль 4. ОС Linux