- •Оглавление
- •1. Если функция непрерывна на отрезке, то она ограничена на нем.
- •2. Теорема Вейерштрасса:
- •3. Теорема Больцано-Коши:
- •3. Степенные ряды. Первая теорема Абеля. Параметры и радиус сходимости. Равномерная сходимость степенного ряда. Непрерывность суммы. Почленная дифференцируемость. Ряд Тейлора.
- •7. Законы больших чисел и предельные теоремы: неравенство Маркова, неравенство Чебышева, теорема Чебышева, центральная предельная теорема.
- •10. Многочлены. Кольцо многочленов над кольцом с единицей. Делимость многочленов, теорема о делении с остатком. Значение и корень многочлена. Теорема Безу.
- •12. Сравнения и вычеты. Кольцо вычетов. Малая терема Ферма. Сравнения первой степени. Китайская теорема об остатках.
- •15. Алгоритмы поиска в последовательно организованных файлах. Бинарный и интерполяционный поиск. Поиск в файлах, упорядоченных по вероятности. Самоорганизующиеся файлы. Оценки трудоемкости.
- •16. Основные понятия защиты информации (субъекты, объекты, доступ, граф доступов, информационные потоки). Постановка задачи построения защищённой автоматизированной системы. Ценность информации.
- •18. Модель системы безопасности hru. Основные положения модели. Теорема об алгоритмической неразрешимости проблемы безопасности в произвольной системе.
- •1. Санкционированное получение прав доступа.
- •2. Похищение прав доступа
- •20. Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Базовая теорема безопасности (bst).
- •Теорема bst (Basic Security Theorem).
- •21. Основные положения критериев tcsec. Фундаментальные требования компьютерной безопасности. Требования классов защиты.
- •23. Общая характеристика операционных систем (ос). Назначение и возможности систем семейств unix, Windows.
- •24. Основные механизмы безопасности средств и методы аутентификации в ос, модели разграничения доступа, организация и использование средств аудита.
- •Методы аутентификации в ос.
- •Модели разграничения доступа.
- •25. Субъекты в операционных системах (основные определения, содержимое дескрипторов процессов и потоков, переключение процессов и потоков).
- •26. Методы и средства обеспечения конфиденциальности информации в операционных системах семейства Windows nt и Linux.
- •27. Методы и средства обеспечения целостности информации в операционных системах семейства Windows nt и Linux.
- •28. Методы и средства обеспечения доступности информации в операционных системах семейства Windows nt и Linux.
- •29. Источники угроз и общие методы защиты от них в операционных системах Windows nt и Linux.
- •30. Компоненты системы защиты операционных систем семейства Windows nt и их характеристика.
- •31. Объекты в ос. Модель разграничения доступа в операционных системах семейства Windows nt.
- •Модель разграничения доступа.
- •32. Права, привилегии, суперпривилегии и вход пользователей в ос семейства Windows nt. Права учетных записей.
- •Привилегии
- •Этапы входа пользователя
- •33. Компоненты системы защиты, модель разграничения доступа и способности в операционных системах семейства Linux.
- •Способности процесса.
- •34. Вредоносное программное обеспечение. Классификация, принципы работы, способы выявления и противодействия.
- •36. Локальные вычислительные сети ieee 802.3. Методы и средства обеспечения безопасности в проводных сетях.
- •37. Беспроводные локальные сети ieee 802.11. Методы и средства обеспечения безопасности в беспроводных сетях.
- •38. Виртуальные лвс. Типы vlan. Стандарт ieee 802.1q. Формат маркированного кадра Ethernet ieee 802.1p/q. Правила продвижения пакетов vlan 802.1q.
- •39. Межсетевые экраны. Классификация межсетевых экранов. Типовое размещение межсетевого экрана в лвс. Архитектура межсетевых экранов. Политика межсетевых экранов. Понятие dmz. Трансляция ip-адресов.
- •40. Системы обнаружения атак. Классификация систем обнаружения атак. Типовая архитектура систем обнаружения атак. Методы обнаружения информационных атак в системах обнаружения атак.
- •41. Языки запросов. Языки описания данных. Языки манипулирования данными. Особенности языковых средств управления и обеспечения безопасности данных в реляционных субд.
- •42. Транзакции. Свойства acid транзакций. Управление восстановлением. Алгоритм aries. Двухфазная фиксация.
- •43. Транзакции. Свойства acid транзакций. Управление параллельностью. Блокировки. Строгий протокол двухфазной блокировки.
- •44. Технологии удалённого доступа и системы баз данных, тиражирование и синхронизация в распределённых системах баз данных.
- •Классификация демаскирующих признаков и их характеристики
- •Технические каналы утечки информации, классификация и характеристика
- •Оптические каналы утечки информации. Способы и средства противодействия наблюдению в оптическом диапазоне.
- •Канал утечки информации за счет пэмин
- •Каналы утечки акустической информации.
- •Материально-вещественные каналы утечки информации.
- •Специальные технические средства предназначенные для негласного получения информации (закладные устройства). Классификация, принципы работы, методы противодействия.
- •Задачи и принципы инженерно-технической защиты информации.
- •Способы и средства инженерной защиты и технической охраны объектов.
- •Методики оценки возможности утечки информации.
- •1. Методика оценки возможности утечки информации по оптическому каналу
- •2. Методика оценки возможности утечки информации по акустическому каналу
- •3. Методика оценки возможности утечки информации по радиоэлектронному каналу
- •4. Методика оценки возможности утечки информации по вещественному каналу
- •Методики оценки эффективности применяемых мер защиты информации.
- •Оценка защищенности информации от утечки за счет пэмин
- •Способы и средства информационного скрытия речевой информации от подслушивания. Энергетическое скрытие акустического сигнала.
- •Основные методы защиты информации техническими средствами.
- •Основные понятия криптографии. Модели шифров. Блочные и поточные шифры. Понятие криптосистемы. Ключевая система шифра. Основные требования к шифрам.
- •Системы шифрования с открытыми ключами: rsa, системы Эль-Гамаля, системы на основе «проблемы рюкзака».
- •60. Цифровая подпись. Общие положения. Цифровые подписи на основе шифросистемы с открытыми ключами стандартов гост р и dss.
- •Функции хэширования. Требования предъявляемые к функциям хэширования. Ключевые функции хэширования. Безключевые функции хэширования.
- •Проблемы и перспективы развития криптографических методов защиты. Криптосистемы на основе эллиптических кривых. Алгоритм электронной подписи на основе эллиптических кривых ecdsa.
- •63. Объекты правового регулирования при создании и эксплуатации системы информационной безопасности
- •64. Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов
- •65. Система международных и российских правовых стандартов. Стандарт bs7799
- •66. Требования Доктрины информационной безопасности рф и ее реализация в существующих системах информационной безопасности
- •67. Значение и отличительные признаки методик служебного расследования фактов нарушения информационной безопасности от расследования других правонарушений
- •69. Понятие и основные организационные мероприятия по обеспечению информационной безопасности
- •70. Политика информационной безопасности как основа организационных мероприятий. Основные требования к разработке организационных мероприятий
- •71. Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности
- •72. Разграничение прав доступа как основополагающее требование организационных мероприятий и их практическая реализация на объекте защиты
- •73. Иерархия прав и обязанностей руководителей и исполнителей при построении системы информационной безопасности, их взаимодействие
- •74. Аудит системы информационной безопасности на объекте как основание для подготовки организационных и правовых мероприятий. Его критерии, формы и методы.
- •75. Общая характеристика и этапы проведения работ по обеспечению информационной безопасности автоматизированной информационной системы
- •76. Анализ защищенности автоматизированной информационной системы
- •77. Методы оценки информационной безопасности ас
- •78. Пути повышения надежности и отказоустойчивости информационной системы.
- •79. Технология обнаружения воздействия нарушителя на работу автоматизированной информационной системы
- •80. Основные принципы формирования нормативно-методических документов по обеспечению безопасности информации организации.
- •81. Жизненный цикл автоматизированной информационной системы. Этапы жизненного цикла.
- •82. Классические модели жизненного цикла автоматизированной информационной системы. Современные концепции и модели жизненного цикла.
- •1. Классические модели жизненного цикла
- •1.2 Современные стратегии конструирования программного обеспечения
- •1.3 Быстрая разработка приложений (Rapid Application Development)
- •1.4 Быстрая разработка приложений
- •1.4 Компонентно-ориентированная модель.
- •1.5. Экстремальное программирование (xp – extreme programming)
- •83. Порядок создания автоматизированных систем в защищенном исполнении.
- •84. Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении.
- •85. Разработка технического задания на создание автоматизированной системы в защищенном исполнении. Этапы и виды работ.
- •86. Структурный подход к разработке программного обеспечения автоматизированной системы. Общие понятия. Основные модели структурного подхода. Метод пошаговой детализации.
- •87. Объектно-ориентированный подход к разработке программного обеспечения автоматизированной системы. Общие понятия. Общая характеристика моделей. Общие понятия об языке uml.
- •88. Тестирование программного обеспечения. Модели тестирования белого и черного ящика. Виды испытания и их характеристика.
- •89. Разработка аппаратного обеспечения (рао) автоматизированной системы. Этапы разработки. Общая характеристика этапов.
- •Этапы разработки
- •90. Научно-исследовательская разработка для создания новых видов аппаратного обеспечения
- •91. Опытно-конструкторская разработка новых видов аппаратного обеспечения.
- •92. Подготовка производства изделия на предприятии–изготовителе.
- •93. Применение средств криптографической защиты информации при проектировании автоматизированных систем в защищенном исполнении.
- •94. Особенности построения систем электронной цифровой подписи.
- •95. Подходы к разработке систем электронных платежей. Принципы функционирования платежных систем.
- •96. Концепции хранилищ данных. Свойства хранилищ данных. Архитектуры сппр с использованием концепции хранилищ данных.
- •97. Организация хранилищ данных. Многомерная модель данных. Факты и измерения. Информационные потоки хранилищ данных. Etl-процесс.
27. Методы и средства обеспечения целостности информации в операционных системах семейства Windows nt и Linux.
В руководящих документах Гостехкомиссии РФ целостность информации определяется следующим образом:
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения). (РД ГТК. Защита от несанкционированного доступа к информации. Термины и определения (30.03.1993)).
Угроза нарушения целостности. Предполагает любое незапланированное и несанкционированное изменение информации, хранящейся в системе или передаваемой из одной системы в другую. Санкционированными изменениями считаются те, которые сделаны уполномоченными лицами с обоснованной целью (например, запланированное изменение документов или базы данных). Целостность может быть нарушена в результате преднамеренных и непреднамеренных действий человека, а также – в результате возникновения случайной ошибки программного или аппаратного обеспечения.
Windows
В ОС семейства Windows присутствуют следующие механизмы обеспечения целостности:
WFP (Windows File Protection) и WRP (Windows Resource Protection);
возможность организации замкнутой программной среды;
проверка цифровой подписи драйверов;
средства восстановления системы;
возможности файловой системы NTFS(в том числе возможность создание программного RAID-массива);
Windows File Protection (Система защиты файлов Windows, сокр. англ. WFP) — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения. Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке. В ОС семейства Windows NT это %WinDir%\System32\Dllcache.
Все файлы, устанавливаемые операционной системой (такие, как DLL, EXE, SYS, OCX и др.), защищены от изменения или удаления. Цифровая подпись этих файлов хранится в специальном каталоге. Изменение вышеназванных системных файлов разрешено только немногочисленным специальным компонентам, например, Windows Installer (Msiexec.exe) или Установщик пакетов (англ. Package Installer, Update.exe). В противном случае файл возвращается в исходное состояние без каких-либо запросов или сообщений. Лишь тогда, когда Windows File Protection не удаётся найти требуемый файл самостоятельно, производится поиск в локальной сети, Интернете или выдаётся запрос пользователю с просьбой вставить установочный диск в дисковод.
Windows Resource Protection (сокр. WRP) — технология, используемая в ОС Windows Vista, Windows 7, Windows Server 2008 взамен Windows File Protection. Она защищает ключи реестра и папки, наряду с критически важными системными файлами. Методы, используемые этой технологией для защиты ресурсов, заметно отличаются от аналогичных приёмов Windows File Protection. Windows Resource Protection работает, устанавливая дискретные списки доступа (DACLs) и ACL для защищаемых объектов. Разрешение на чтение-запись WRP-защищённых объектов допускается лишь процессам, использующим службу Windows Modules Installer (TrustedInstaller.exe). Теперь даже у администраторов нет прав полного доступа к системным файлам.
WRP также защищает некоторые важные каталоги. Папка, содержащая только WRP-защищённые файлы, может быть заблокирована таким образом, что создание в ней файлов или подкаталогов разрешено лишь доверенному процессу. Возможна частичная блокировка, которую могут обойти администраторы. Важнейшие ключи реестра также защищаются; все его под-ключи и значения нельзя изменить. К тому же, WRP копирует в каталог %WinDir%\WinSxS\Backup только те файлы, что необходимы для перезагрузки системы, а не все, как это делает Windows File Protection, архивирующая в папку Dllcache содержимое системных каталогов целиком. Таким образом, Windows Resource Protection применяет более эффективные и гибкие инструменты защиты данных.
ЗПС в Windows может быть реализована следующими средствами:
Запрет на изменение списков автоматически загружаемых программ и драйверов
Политики ограниченного использования программ (SRP). Можно рассматривать политики SRP как аналог набора правил брандмауэра. Можно создать более общее правило, запрещающее или разрешающее запуск приложений, для которых не создано отдельных правил. Например, можно настроить общее правило, разрешающее запуск любых программ, и при этом отдельным правилом запретить запуск некоторых программы. Можно также запретить запуска любых приложений и далее создавать правила SRP, разрешающие запуск конкретных приложений. Можно создавать различные типы правил SRP, в том числе правило для зоны безопасности (Internet, Intranet, Trusted/Restricted sites, Local computer), правило для пути к исполняемому объекту, правило для сертификата и правило для хеша. Существует возможность указать доверенных издателей, какие файлы считаются исполняемыми и цель применения.
В ОС семейства Windows встроено несколько средств для восстановления работоспособности операционной системы в случае повреждения загрузочной области или системных файлов. Восстановление системы может выполнятся следующим образом:
возврат к «последней известной исправной» конфигурации (выбирается в загрузочном меню операционной системы).
запуск компьютера в безопасном режиме и попытка устранить неполадку (выбирается в загрузочном меню операционной системы).
использование консоли восстановления Windows.
использование службы восстановления системы.
Служба восстановления системы по расписанию создаёт в специальном каталоге на жёстком диске контрольные точки восстановления. Также возможно самостоятельно создать контрольную точку. В любой момент времени возможно выполнить «откат» системы к любой из существующих контрольных точек. При этом содержимое системных каталогов и каталогов с установленными программами будет приведено к состоянию на момент создания контрольной точки.
В новых версиях ос семейства Windows (Windows 7, Vista, Server 2008, Server 2008 R2) значительно расширены возможности штатных средств для восстановления системы. В частности, добавлена служба архивация системы, позволяющая без использования стороннего ПО автоматически делать резервные копии произвольных файлов и каталогов в соответствии с заданным расписанием резервного копирования, а также возможно создавать образы целых разделов жёсткого диска, образы системы. Созданные образы наряду с контрольными точками восстановления можно использовать для восстановления операционной системы.
4) Файловая система NTFS, применяемая в современных версиях ОС Windows является журналируемой ФС. Ведение журнала дисковой активности позволяет быстро выполнить восстановление тома в случае сбоя подачи питания или других системных проблем. Данная функция обеспечивает целостность метаданных файловой системы, а не конкретных файлов. NTFS также может работать с RAID-массивами. При записи данных на диск NTFS взаимодействует с диспетчером томов, а тот – с драйвером жесткого диска. Windows NT поддерживает на программном уровне три уровня RAID: 0, 1, 5.
Linux
В ОС семейства Linux присутствую следующие механизмы обеспечения целостности информации:
журналируемая файловая система
контроль целостности системных файлов
организация программных raid-массивов
замкнутая программная среда
расширенные атрибуты файловой системы
Файловые системы, применяемые в современных дистрибутивах ОС Linux поддерживают журналирование. Журналируемая файловая система сохраняет список изменений, которые она будет проводить с файловой системой, перед фактическим их осуществлением. Эти записи хранятся в отдельной части файловой системы, называемой журналом. Как только изменения файловой системы внесены в журнал, она применяет эти изменения к файлам или метаданным, а затем удаляет эти записи из журнала. Записи журнала организованы в наборы связанных изменений файловой системы.
При перезагрузке компьютера программа монтирования может гарантировать целостность журналируемой файловой системы простой проверкой лог-файла на наличие ожидаемых, но не произведённых изменений и последующей записью их в файловую систему. То есть, при наличии журнала в большинстве случаев системе не нужно проводить проверку целостности файловой системы. Соответственно, шансы потери данных в связи с проблемами в файловой системе значительно снижаются.
По типу внесения в журнал журналируемые ФС, применяемые в Linux подразделяются на:
в режиме обратной связи (журналируются только метаданные): XFS, ext3fs;
упорядоченные (журналируются только метаданные синхронно относительно данных): JFS2, ext3fs (по умолчанию), ReiserFS (основной);
в режиме данных (журналируются как метаданные, так и данные): ext3fs;
В некоторых дистрибутивах Linux осуществляется контроль целостности базы данных пользователей и паролей, а также наиболее важных системных библиотек и конфигурационных фалов. В случае обнаружения несанкционированных изменений в контролируемых файлах возможно три варианта развития событий в зависимости от настроек системы:
не предпринимаются никакие действия
отправляется оповещение администратору
запрещается запуск системы до тех пор пока администратор не подтвердит, либо не устранит внесённые изменения
В ОС семейства Linux возможна организация штатными средствами RAID-массивов, реализуемых не аппаратно, а программно. В качестве RAID контроллера выступает драйвер операционный системы. Таким образом, можно организовать RAID 0, RAID 1 или RAID 5. Поддержка работы с аппаратными RAID контроллерами также присутствует.
Для организации ЗПС штатными средствами ос Linux используется chroot-окружение и ограничения и слежения за системными вызовами с помощью systrace.
Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура каталогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подкаталоге будут подкаталоги /bin, /lib, /etc и другие. При запуске сервиса выполняется системный вызов chroot() (изменение корневого каталога), где в качестве параметра задается каталог, который содержит нужную структуру каталогов, похожую на корневую файловую систему.
Большинство известных сервисов поддерживают запуск в chroot-окружении (например, Apache и BIND). Может быть несколько chroot-каталогов - по одному на каждый сервис, который выполняется в chroot-окружении. Что это дает? При взломе сервиса хакер получит доступ не к корневой файловой системе, а только к тому каталогу, который был сделан для сервиса корневым.
Systrace — менеджер доступа к системным вызовам. С его помощью можно задать, какими программами и как могут делаться системные вызовы. Грамотное использование systrace может существенно снизить риски, присущие запуску неграмотно написанных или нестабильно работающих программ. Политики systrace могут задавать ограничения пользователям совершенно независимо от разрешений Unix. Например, можно задать для определенного процесса набор правил, разрешающих ему создавать или открывать файлы только в определенной директории или запретить выполнять внешние приложения, кроме заданных.
Расширенные атрибуты файловой системы — это специальные флаги доступа, назначаемые файлам и каталогам. В файловых системах, применяемых в ОС Linux существует несколько таких флагов. Для обеспечения целостности могут применяться следующие атрибуты:
- Append система позволяет открывать данный файл с целью его дополнения и не позволяет никаким процессам перезаписывать или усекать его.Если данный атрибут применяется к директории процесс может создавать или модифицировать файлы в этой директории , но не удалять их.
- Immutable система запрещает любые изменения данного файла. В случае директории, процессы могут модифицировать файлы уже содержащиеся в данной директории, но не могут удалять файлы или создавать новые.
- Undelete когда приложение запрашивает файл на удаление, система должна сохранить блоки на диске, на которых расположен данный файл, чтобы потом его можно было восстановить.