- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
4.3.6 Использование стандарта ”Общих критериев” в снг
В 1997-1999 гг. в соответствии с методологией ОК в Институте технической кибернетики Национальной академии наук Белоруссии разработаны проекты общих требований к профилям защиты и ПЗ межсетевого экрана сетевого и транспортного уровней. Создан гипертекстовый справочник АИС-ОК для представления на русском и английском языках общих критериев, и на его основе разработана система проектирования профилей защиты и оценки продуктов и систем ИТ.
В России также ведутся работы по внедрению ОК. На международном конгрессе "Телекоммуникации в аспекте национальной безопасности" (16-18.11.1998, Санкт-Петербург) было решено использовать ОК для разработки согласованных руководств по построению безопасных информационных систем, а также межгосударственных функциональных стандартов стран СНГ - профилей защиты для систем специального назначения, в кредитно-финансовой сфере, POS-терминалов и электронных банковских технологий и т. п. На конгрессе была принята рекомендация "заинтересованным органам государственного управления, предприятиям и организациям принять участие в разработке и внедрении документов на основе "Общих критериев оценки безопасности информационных технологий", созданных странами ЕС и Северной Америки совместно с ISO".
В рамках СНГ для оценки безопасности компьютерных продуктов и систем в качестве межгосударственного стандарта в области информационной безопасности можно было бы использовать ISO/IEC 15408 - "Общие критерии". Применение ISO будет способствовать признанию сертификатов безопасности различных стран и послужит основой для вхождения в международную систему стандартизации и сертификации в области оценки безопасности информационных технологий. Этот стандарт может лечь в основу разработки функциональных стандартов - пользовательских профилей защиты, позволяющих определить требования к продуктам и системам ИТ, разработать методики испытаний на соответствие этим профилям. В международной практике стандартизации в области ИТ такой подход получил название функциональной стандартизации. Он позволяет на основе конкретных сценариев защиты нормировать параметры, требования и процедуры, создавая лаконичные и однозначные документы - стандартизованные профили.
5. Криптографические модели
Интернет, представляет собой не только всемирное хранилище данных, но и транспортную среду для передачи различной информации. Нередко возникает необходимость в передаче приватной информации по открытым каналам связи, таким как интернет. Существует угроза в нарушении конфиденциальности. Примером тому может служить перехват деловой переписки одной фирмы, её конкурентом. Проблема
Соответствующие средства защиты: шифрование информации и применение электронной цифровой подписи (ЭЦП), которая не позволит что-либо изменить на пути следования письма или пересылаемом документе и даст возможность точно установить, кто именно является автором пришедшего сообщения.
Шифрование — это преобразование информации из открытой формы в закрытую (зашифрованную). Существует, естественно, и обратный процесс (расшифрование).
Математически процесс шифрования сообщения M с помощью алгоритма шифрования E выглядит так:
С = Ek1(M),
где C — полученное в результате шифрования сообщение, k1 — ключ шифрования. Обычно алгоритмы шифрования не являются секретными (например, современный российский алгоритм шифрования ГОСТ 28147–89 опубликован как стандарт) и известны всем, а вот ключ — это тот самый секретный элемент, который позволяет зашифровать сообщение так, чтобы никто другой, не имеющий ключа, не смог его прочитать.
Ключ шифрования обычно представляет собой просто набор цифр, который получают со специальных датчиков случайных чисел, чтобы ключ был абсолютно случайным и ни один из злоумышленников не смог его спрогнозировать и вычислить. Такой ключ может храниться, например, в файле на дискете, на смарт-карте или на брелоках, подключаемых к USB-порту компьютера. Главное, никто не должен получить ваш персональный ключ, кроме тех, кому вы сами его дадите (чтобы расшифровать то, что было вами зашифровано).