- •Введение
- •Основные понятия и определения предмета защиты информации
- •Правовое обеспечение информационной безопасности
- •Статья 272 ук рф
- •Статья 273 ук рф
- •Статья 274 ук рф
- •Статья 146 ук рф
- •Статья 147 ук рф
- •Организационно – распорядительная документация
- •Концепция защиты свт и ас от нсд к информации
- •1.3. Санкционированный и несанкционированный доступ
- •1.4. Угрозы безопасности и каналы реализации угроз
- •1.5. Основные принципы обеспечения информационной безопасности
- •1.6. Ценность информации
- •1.7. Меры обеспечения безопасности компьютерных систем
- •1.8. Характеристика способов защиты компьютерной информации
- •2. Разграничение доступа к ресурсам
- •Политики безопасности
- •Дискреционные политики безопасности
- •Мандатные политики безопасности
- •Контроль доступа, базирующийся на ролях
- •Политика безопасности сети
- •3. Идентификация и аутентификация субъектов
- •3.1. Классификация подсистем идентификации и аутентификации субъектов
- •3.2. Парольные системы идентификации и аутентификации пользователей
- •Методы и средства криптографической защиты
- •4.1. Принципы криптографической защиты информации
- •4.2. Традиционные симметричные криптосистемы
- •4.2.1. Шифрование методом замены
- •Шифрование методом Цезаря
- •Простая моноалфавитная замена
- •Шифр Гронсфельда
- •Шифрование методом Вернама
- •4.2.2. Шифрование методами перестановки
- •Метод простой перетановки
- •Алгорита Гамильтона
- •Шифрование методом гаммирования
- •4.3.Элементы криптоанализа
- •4.4. Современные симметричные системы шифрования
- •4.5. Асимметричные криптосистемы
- •4.5.1. Принципы асимметричного шифрования
- •4.5.2. Однонаправленные функции
- •Целочисленное умножение
- •Модульная экспонента
- •4.5.3. Алгоритм шифрования rsa
- •Алгоритм формирования ключевой пары пользователем а
- •Шифрование и дешифрование сообщений в криптосистеме rsa
- •Действия получателя а
- •Действия отправителя b
- •Действия пользователя a
- •4.6. Сравнение симметричных криптосистем с асимметричными
- •Контроль целостности информации. Электронно-цифровая подпись
- •5.1. Проблема обеспечения целостности информации
- •Алгоритм вычисления контрольной суммы
- •5.2. Функции хэширования и электронно-цифровая подпись
- •5.3. Инфраструктура открытых ключей pki
- •Структура, сервисы и архитектура pki
- •Политика и регламент pki
- •Программные средства поддержки pki
- •Хранение и распределение ключевой информации
- •Типовые схемы хранения ключевой информации
- •Алгоритм идентификации и аутентификации для схемы 1
- •Алгоритм идентификации и аутентификации для схемы 2
- •Защита баз данных аутентификации в ос Windows nt и unix
- •Алгоритм хэширования lanman
- •Алгоритм хэширования ntlm
- •Иерархия ключевой информации
- •Распределение ключей
- •Распределение ключевой информации с использованием центров распределения ключей
- •Прямой обмен сеансовыми ключами между пользователями
- •Протокол Диффи-Хеллмана
- •Протоколы безопасной удаленной аутентификации пользователей
- •Протокол chap (Challenge Handshaking Authentication Protocol)
- •Протокол одноразовых ключей s/key
- •Реализация метода «запрос-ответ» в oc Windows при сетевой аутентификации
- •Алгоритм формирования ответа
- •7. Защита от разрушающих программных воздействий
- •7.1. Понятие разрушающего программного воздействия
- •Модели взаимодействия прикладной программы и рпв
- •Компьютерные вирусы как класс рпв
- •Классификация файловых вирусов по способу заражения
- •Перезаписывающие вирусы
- •Вирусы-компаньоны
- •Защита от рпв. Изолированная программная среда
- •Эвристическая методика выявления рпв в bios
- •8. Защита информации в компьютерных сетях
- •8.1. Основные угрозы и причины уязвимости сети internet
- •Классификация типовых удаленных атак на интрасети.
- •Анализ сетевого трафика
- •Подмена доверенного субъекта
- •Введение ложного объекта компьютерной сети
- •Отказ в обслуживании (DoS)
- •Сканирование компьютерных сетей
- •Ограничение доступа в сеть. Межсетевые экраны
- •Фильтрующие маршрутизаторы (пакетные фильтры)
- •Шлюзы сетевого уровня
- •Шлюз прикладного уровня
- •Виртуальные частные сети (vpn)
- •Протокол skip
- •Доменная архитектура в Windows nt. Служба Active Directory
- •Централизованный контроль удаленного доступа. Серверы аутентификации
- •Прокси – сервер
- •9. Защита программного обеспечения
- •9.1. Проблема защиты программного обеспечения
- •Модульная архитектура технических средств защиты по
- •9.3.Функционирование подсистем и модулей системы защиты по
- •9.4.Электронные ключи hasp
- •9.4. Защита по от изучения
- •9.4.1. Базовые методы нейтрализации систем защиты
- •Понятие и средства обратного проектирования
- •Локализация кода модуля защиты
- •Базовые методы противодействия отладчикам
- •Защита от отладчиков реального режима
- •Защита от отладчиков защищенного режима
- •Базовые методы противодействия дизассемблированию по
- •Защита от отладки
- •Использование недокументированных инструкций
- •Шифрование кода программы
- •Лабораторный практикум
- •10.1. Помехоустойчивые коды
- •10.2. Алгоритм кодирования и декодирования Хаффмена
- •Порядок выполнения лабораторной работы
- •Контрольные вопросы
- •Дискреционная модель политики безопасности
- •Порядок выполнения лабораторной работы
- •Контрольные вопросы
- •Подсистемы парольной аутентификации пользователей
- •Порядок выполнения лабораторной работы
- •Контрольные вопросы
- •Методы криптографической защиты информации
- •Порядок выполнения лабораторной работы
- •Контрольные вопросы
- •Литература
Порядок выполнения лабораторной работы
Возьмите свою фамилию, подсчитайте частоту встречающихся символов.
Постройте дерево Хаффмена. Определите коды символов.
Составьте новое слово из символов полученного алфавита,
Закодируйте слово.
Переправьте закодированное слово для декодирования вместе со словарем.
Получите для декодирования словарь и код, декодируйте сообщение.
Контрольные вопросы
Что такое помехоустойчивые коды?
Чем определяется расстояние по Хеммингу между двумя сообщениями?
В чем отличие кодов с обнаружением ошибки и кодов с исправлением ошибки?
В чем заключается принцип построения дерева Хаффмена?
Что необходимо для декодирования по алгоритму Хаффмена?
Дискреционная модель политики безопасности
Цель работы – изучение проблем реализации политик информационной безопасности в компьютерных системах на примере дискреционной модели.
Теоретический материал – разделы 2.1, 2.2.
Порядок выполнения лабораторной работы
Пусть множество S возможных операций субъектов над объектами компьютерной системы задано в виде: S = {«Доступ на чтение», «Доступ на запись», «Передача прав»}.
Возьмите из дискреционной матрицы доступов информацию о количестве субъектов и объектов компьютерной системы, соответственно Вашему варианту (вариантом является порядковый номер в группе).
1. Выберите идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, количество пользователей задано для Вашего варианта). Например, множество из 3 идентификаторов пользователей {Ivan, Sergey, Boris}.
2. Один из пользователей - субъектов должен являться администратором системы. Для него права доступа ко всем объектам системы должны быть установлены как полные.
3. Пользователь может иметь несколько прав доступа к некоторому объекту компьютерной системы, иметь полные права, либо совсем не иметь прав.
Для реализации модели матрицы доступов используется массив размерности M x N, где M – количество субъектов, N – количество объектов. Права доступов в ячейках матрицы доступов закодированы трехбитовыми числами от 0 до 7. Считаем, что 1-й бит - бит доступа по чтению, 2-й бит -бит доступа по записи, 3-й бит - бит передачи прав.
-
Код прав субъекта
Разрешенные типы доступов
000
Полный запрет
001
Передача прав
010
Запись
011
Запись, Передача прав
100
Чтение
101
Чтение, Передача прав
110
Чтение, Запись
111
Полный доступ
Формируем дискреционную матрицу доступа субъектов к объектам.
10.1. Дискреционная матрица доступов.
Идентификатор субъекта |
Объект 1 |
Объект 2 |
Объект 3 |
Объект 4 |
|
Файл_1 |
Файл_2 |
CD-RW |
Флоппи-дисковод |
Igor |
111 |
111 |
111 |
111 |
Boris |
100 |
000 |
110 |
111 |
Ivan |
101 |
110 |
111 |
000 |
Lexa |
000 |
100 |
100 |
000 |
Renat |
000 |
100 |
100 |
000 |
При работе с дискреционной моделью политики безопасности система, в которой работает выбранная политика безопасности будет запрашивать идентификатор пользователя, проверять его по своей базе. В случае успешной идентификации пользователя осуществляется вход в систему, в случае неуспешной – выводится соответствующее сообщение о запрете входа в систему. При входе в систему после успешной идентификации пользователя, на экране несложно организовать вывод списка всех объектов системы с указанием прав доступа к ним со стороны идентифицированного пользователя. Работа с дискреционной моделью может осуществляться, например в виде:
User: Boris
Идентификация прошла успешно, добро пожаловать в систему
Перечень Ваших прав:
Объект1: Чтение
Объект2: Запрет
Объект3: Чтение, Запись
Объект4: Полные права
Жду ваших указаний >
После вывода на экран перечня прав доступа пользователя к объектам компьютерной системы, система будет ждать указаний пользователя на осуществление действий над объектами. После получения команды от пользователя, на экран будет выводиться сообщение об успешности либо не успешности операции. При выполнении операции передачи прав (grant) модифицируется матрица доступов. Диалог может быть организован, следующим образом:
Жду ваших указаний > read
Над каким объектом производится операция? 1
Операция прошла успешно
Жду ваших указаний > write
Над каким объектом производится операция? 2
Отказ в выполнении операции. У Вас нет прав для ее осуществления
Жду ваших указаний > grant
Право на какой объект передается? 3
Отказ в выполнении операции. У Вас нет прав для ее осуществления
Жду ваших указаний > grant
Право на какой объект передается? 4
Какое право передается? read
Какому пользователю передается право? Ivan
Операция прошла успешно
Жду ваших указаний > quit
Работа пользователя Boris завершена. До свидания.
User:
Организовать работу с дискреционной моделью безопасности в рамках работы с виртуальной системой.
Вариант |
Количество субъектов доступа (пользователей) |
Количество объектов доступа |
1 |
3 |
3 |
2 |
4 |
4 |
3 |
5 |
4 |
4 |
6 |
5 |
5 |
7 |
6 |
6 |
7 |
3 |
7 |
3 |
4 |
8 |
4 |
4 |
9 |
3 |
5 |
10 |
4 |
6 |
11 |
5 |
3 |
12 |
6 |
4 |
13 |
7 |
4 |
14 |
4 |
5 |
15 |
5 |
6 |