- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
4.3.3 Функциональные требования общих критериев
Функциональные требования к системе защиты информации ПОБ выбираются из рассматриваемых в ОК одиннадцати функциональных классов, поименованных аббревиатурами на английском языке.
Аудит безопасности (FAU: Security audit). Аудит системы безопасности - это распознавание, регистрация, хранение и анализ информации, относящейся к системе безопасности.
Связь (FCO: Communication). Выполнение требований этого класса гарантирует, что передающий информацию не сможет отказаться от посланного сообщения, а принимающий - от его получения.
Криптографическая поддержка (FCS: Cryptographic support). Класс содержит семейства требований по управлению криптографическими ключами и операциями.
Защита данных пользователя (FDP: User data protection). Класс определяет требования безопасности, относящиеся к защите данных пользователя при вводе, выводе и хранении информации.
Идентификация и аутентификация (FIA: Identification and authentication). Требования этого класса имеют дело с определением и верификацией пользователей, их полномочий в системе, а также с правильной привязкой атрибутов безопасности к каждому пользователю.
Управление безопасностью (FMT: Security management). Класс содержит требования по управлению атрибутами и данными функций безопасности, а также ролями безопасности.
Секретность (FPR: Privacy). Реализация требований данного класса обеспечит защиту пользователя от раскрытия и злоупотреблений его полномочиями другими пользователями.
Защита функций безопасности ПОБ (FPT: Protection of the TSF). Класс содержит функциональные требования, относящиеся к целостности и управлению механизмами безопасности системы (независимо от специфики реализуемой политики безопасности).
Использование ресурсов (FRU: Resource utilisation). Требования этого класса обеспечивают доступность необходимых ресурсов (таких, как возможность обработки и/или хранения), а также защиту в случае блокировки функциональных возможностей, вызванных отказами системы.
Доступ к ПОБ (FTA: TOE access). Класс определяет функциональные требования контроля за установленным сеансом работы пользователя независимо от требований по идентификации и аутентификации.
Надежный маршрут/канал (FTP: Trusted path/channels). Класс обеспечивает требования:
надежного коммуникационного маршрута между пользователями и функциями безопасности системы;
надежного канала связи между функциями безопасности системы.
4.3.4 Требования гарантии "Общих критериев"
Стандарт вводит следующие классы гарантии, поименованные аббревиатурами на английском языке:
Управление конфигурацией (ACM: Configuration management). УК обеспечивает сохранение целостности ПОБ требованием дисциплины и управления при уточнении и модификации ПОБ. УК предотвращает несанкционированные изменения, добавления или удаления в ПОБ, гарантируя таким образом совпадение ПОБ и документации, используемых для оценки, с теми, что подготовлены для распространения.
Поставка и функционирование (ADO: Delivery and operation). Класс гарантии ADO определяет требования к мерам, процедурам и стандартам, касающимся надежной поставки, инсталляции и эксплуатационного использования ПОБ, гарантирующие, что защита безопасности, предложенная ПОБ, не скомпрометирована в процессе перемещения, инсталляции, запуска и функционирования.
Разработка (ADV: Development). Этот класс гарантии определяет требования к пошаговому уточнению функций безопасности из обобщенной спецификации ПОБ в ЦБ сверху вниз к фактической реализации. Каждое из результирующих представлений функций безопасности обеспечивает информацию, которая помогает эксперту при сертификации определить, удовлетворены ли функциональные требования ПОБ.
Руководящие документы (AGD: Guidance documents). Класс гарантии определяет требования понятности и полноты эксплуатационной документации, предоставляемой разработчиком. Документация для конечных пользователей и для администраторов - важный фактор безопасного функционирования ПОБ.
Жизненный цикл (ALC: Life cycle support). Этот класс точно определяет модель жизненного цикла для всех шагов разработки ПОБ, в том числе процедур и политики устранения изъянов, правильного использования инструментов и методов, а также мер безопасности, применяемых для защиты среды разработки; класс, таким образом, определяет требования к гарантии.
Испытания (ATE: Tests). Данный класс гарантии устанавливает требования к испытаниям, которые демонстрируют, что функции безопасности удовлетворяют функциональным требованиям безопасности ПОБ.
Оценка уязвимых мест (AVA: Vulnerability assessment). Данный класс гарантии определяет требования, направленные на идентификацию уязвимых мест, сохраняющихся при эксплуатации. Точнее, он выявляет уязвимые места, введенные при построении, функционировании, неправомерном использовании или неправильном конфигурировании ПОБ.
Дополнительные требования к поддержке гарантии рассматриваются в отдельном классе "Обслуживание гарантии" (AMA: Maintenance of assurance) с использованием структуры класса. Данный класс гарантии направлен на обеспечение уровня гарантии, чтобы ПОБ продолжал соответствовать своей цели безопасности при изменениях в ПОБ или его среде. Каждое из семейств в этом классе идентифицирует действия разработчика и оценщика, выполняемые после того, как ПОБ успешно оценен, хотя некоторые требования могут быть применены и во время оценки.
Таким образом, стандарт "ISO/IEC 15408: 1999. Информационная технология - Методы и средства защиты информации - Критерии оценки безопасности ИТ" важен в качестве перспективной основы для создания согласованной с международными требованиями национальной нормативно-методической базы информационной безопасности.