- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
Р ис. 5а. Схема симметричного шифрования
Приведем формулу для расшифрования:
M = Dk2(C).
Здесь D — алгоритм расшифрования, которым ваш адресат обрабатывает сообщение C с целью получить посланное ему сообщение M. Если система построена верно и ключи не перепутаны (ключ k2 может быть и не равен ключу k1), то адресат примет именно то, что ему передали. При этом никто другой не сможет это сообщение подсмотреть, поскольку по Интернету оно пересылается в виде нечитаемой шифровки.
Какие же бывают алгоритмы шифрования? Прежде всего, они делятся на два вида: симметричные и асимметричные. Остановимся на них более подробно.
5.1 Алгоритмы с секретным ключом
Данные алгоритмы чаще называются алгоритмами симметричного шифрования. Все они используют один и тот же ключ как для шифрования, так и для расшифрования информации. Если вы собираетесь отсылать кому-либо сообщения, зашифрованные симметричным алгоритмом, то должны позаботиться о том, чтобы каждый получатель имел копию вашего секретного ключа.
Единственный серьезный недостаток алгоритмов симметричного шифрования: перед обменом сообщениями необходимо каким-либо образом передать получателю секретный ключ. Причем не через Интернет, а только «из рук в руки», на дискете обычной почтой или курьерской службой. Это является сложностью, но достаточно сделать это один раз, после чего можно шифровать письма хоть целый год (эксперты рекомендуют регулярно менять ключ). При возможном перехвате ключа, злоумышленнику ничего не стоит расшифровать сообщение.
Такой алгоритм очень удобен и при шифровании файлов для себя, чтобы хранить их в защищенном виде на собственном компьютере. Существует множество программ для шифрования информации на своем компьютере. Среди них особо следует выделить программы «прозрачного» шифрования, т. е. незаметного для пользователя. Такие программы обычно применяются для шифрования целиком логических дисков компьютера. Их можно настроить один раз, а потом они будут автоматически зашифровывать все, что пишется на диск, и точно так же автоматически расшифровывать все, что считывается с диска. Удобно, быстро и безопасно.
Однако, несмотря на неудобство передачи ключей, есть и программы, позволяющие симметрично шифровать информацию именно для передачи через Интернет. Обычно они бывают востребованы там, где информация исключительно секретна, и пользователи подобных систем жертвуют удобством ради повышенной безопасности. Предположим, что вы общаетесь по защищенной электронной почте с тремя пользователями. В этом случае не стоит задействовать один ключ — если кто-либо из ваших адресатов его упустит, вся переписка окажется под угрозой вскрытия. Чаще всего при таком шифровании предпочитают сетевые наборы. Каждый набор принадлежит одному из пользователей и содержит несколько ключей для его связи с любым из остальных. То есть для того чтобы дать злоумышленнику прочитать всю свою переписку, нужно умудриться потерять полностью сетевой набор. Для простоты понимания совокупность сетевых наборов представляют обычно в виде матрицы, каждая строка которой содержит набор ключей одного из пользователей всей системы шифрования.
Примеры используемых в настоящее время симметричных алгоритмов:
отечественный стандарт шифрования ГОСТ 28147-89. Сильный алгоритм с длинным ключом - чем длиннее ключ, тем лучше защита, хотя и несколько медленнее. В нем пока еще не найдено изъянов (или об этом успешно молчат ). Кстати, этот алгоритм является обязательным для применения в государственных организациях России, а также в негосударственных, но обменивающихся с ними конфиденциальной информацией;
алгоритм DES (Data Encryption Standard). Слишком нестойкий из-за чересчур короткого ключа (слишком давно разработан), но все еще активно применяется, поскольку давно стал общемировым стандартом;
алгоритм AES (Advanced Encryption Standard). Новый алгоритм, предлагаемый в качестве общемирового стандарта вместо DES. Выбирался Американским Институтом стандартов из 15 алгоритмов-претендентов. И что удивительно, победили вовсе не американцы, а двое криптографов из Бельгии с оригинальным и, согласно исследованиям, не имеющим недостатков алгоритмом Rijndael.