- •Защита информации
- •Содержание
- •Раздел 1. Основные понятия и определения 8
- •Раздел 2. «Криптографические методы защиты информации» 30
- •Раздел 3. «Методы защиты сетей» 59
- •Введение
- •Раздел 1. Основные понятия и определения Лекция 1. Основные понятия защиты информации и правовые основы защиты информации
- •1. Основные понятия защиты информации
- •1.1 Характеристики информации с точки зрения ее защиты
- •1.2 Угрозы безопасности информации
- •1.3 Уязвимости информационных систем
- •1.4 Атаки
- •1.5 Способы обеспечения защиты информации
- •2. Правовые основы защиты информации
- •2.1 Конституция Российской Федерации
- •2.2 Гражданский кодекс рф об охране интеллектуальной собственности
- •2.3 Федеральные законы в области защиты информации
- •2.4 Уголовный Кодекс рф о преступлениях в сфере компьютерных технологий
- •2.5 Государственные стандарты в области защиты информации
- •2.6 Понятие и виды защищаемой информации по законодательству рф
- •2.7 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •Лекция 2. Основные модели и механизмы контроля доступа к информационным системам
- •3. Основные модели и механизмы контроля доступа к информационным системам
- •Абстрактные модели доступа
- •Раздел 2. «Криптографические методы защиты информации» Лекции 3, 4. Симметричное шифрование
- •1. Понятие о криптографии
- •2. Классификация алгоритмов шифрования
- •3. Шифрование с секретным ключом
- •3.1 Алгоритмы традиционного шифрования
- •3.2 Современные алгоритмы шифрования
- •3.3 Аппаратное и программное шифрование
- •Лекция 5. Асимметричное шифрование
- •1. Шифрование с открытым ключом
- •1.1 Принципы шифрования с открытым ключом
- •1.2 Алгоритм rsa
- •1.3 Алгоритмы распределение ключей
- •Лекция 6. Функции хэширования и цифровые подписи
- •1. Аутентификация сообщений и функции хэширования
- •1.2 Алгоритмы хэширования
- •2. Цифровые подписи
- •2.1 Цифровые подписи
- •2.2 Непосредственная цифровая подпись
- •2.3 Арбитражная цифровая подпись
- •Лекция 7. Методы и протоколы аутентификации
- •Взаимная аутентификация
- •1.1 Аутентификация на основе традиционного шифрования
- •1.2 Аутентификация на основе шифрования с открытым ключом
- •1.3 Протоколы аутентификации
- •1.4 Система аутентификации Kerberos
- •Сервер аутентификации
- •1.5 Система аутентификации х.509
- •Одношаговая аутентификация
- •Раздел 3. «Методы защиты сетей» Лекция 8. Виды атак при передаче данных по сетям
- •1. Прослушивание сети
- •2. Сканирование сети
- •3. Генерация пакетов
- •4. Перенаправление трафика
- •5. Несанкционированный обмен данными
- •6. Атаки типа «отказ в обслуживании»
- •6.1. Истощение ресурсов узла или сети
- •6.2. Атаки, вызывающие сбой системы
- •6.3. Изменение конфигурации или состояния узла
- •Перенаправление трафика на несуществующий узел
- •Лекции 9, 10. Средства защиты информации, передаваемой по открытым сетям
- •1. Средства подготовки защищенных сообщений
- •2. Средства автоматической защиты передаваемых данных
- •2.1 Виды автоматической защиты каналов связи
- •2.2 Защита на Канальном уровне
- •2.3 Защита на сетевом уровне
- •2.4 Защита на Транспортном уровне
- •2.5 Протокол защищенных электронных транзакций set
- •Лекция 11, 12. Защита периметра корпоративных сетей
- •1. Виртуальные частные сети
- •1.1 Построение vpn на базе сетевой ос
- •1.2 Построение vpn на базе маршрутизаторов
- •1.3 Построение vpn на базе межсетевых экранов
- •1.4 Построение корпоративных vpn в России
- •2. Защита периметра корпоративной сети от несанкционированного доступа
- •2.1 Принципы организации брандмауэров
- •2.2 Виды межсетевых экранов
- •2.3 Конфигурации установки межсетевых экранов
- •Лекция 13. Обнаружение атак
- •1. Признаки атак
- •2. Классификация систем обнаружения атак
- •2.1 Системы анализа защищенности
- •2.2 Классические системы обнаружения атак
- •Модуль управления компонентами.
- •2.3 Обманные системы
- •2.4 Системы контроля целостности
- •Лекции 14, 15. Выбор системы обнаружения атак
- •1. Анализ защищаемой системы
- •2. Системы обнаружения атак Internet Security Systems
- •3. Системы обнаружения атак Cisco Systems
- •4. Системы обнаружения атак Symantec
- •5. Свободно распространяемые продукты: Snort
- •Лекция 16. Методы защиты от несанкционированного использования программ
- •1. Необходимость защиты программ от несанкционированного использования
- •2. Регистрационные коды для программ
- •3. Привязка к носителям информации
- •4. Аппаратные ключи защиты
- •4.1 Виды аппаратных ключей
- •5. Использование навесных защит
- •Обзор рынка средств защиты программ
- •Лекция 17. Технические средства защиты информации
- •1. Методы инженерно-технической защиты информации
- •2. Виды защиты информации от утечки по техническим каналам
- •Экранирование электромагнитных волн
- •Безопасность оптоволоконных кабельных систем
- •Особенности слаботочных линий и сетей как каналов утечки информации
- •Лекция 18. Вредоносные программы и защита от них
- •Классификация вредоносных программ.
- •1.1 По вредоносной нагрузке
- •1.2 По методу размножения
- •1.3 Классификация вирусов.
- •2. Симптомы заражения
- •3. Методы защиты от вредоносных программ
- •Антивирусные программы
- •Заключение
- •Библиографический список
- •Шнайер, Брюс. Прикладная криптография [Текст] /Брюс Шнайер. - м.: Издательство Триумф, 2003. – 816 с.
- •Скляров, д. Искусство защиты и взлома информации [Текст] /д.Скляров. - Спб.: Издательство «бхв-Перербург», 2004. – 288 с.
1.1 Построение vpn на базе сетевой ос
Это наиболее дешевое решение, позволяющее построить VPN средствами самой операционной системы. Это решение считается оптимальным для построения VPN внутри локальной сети, и для VPN-интранет для небольших компаний, для защиты некритичной информации.
Наиболее часто для построения таких VPN используются ОС Windows NT, Windows 2000 и Windows XP. В системе Windows NT для построения VPN используется протокол PPTP. Однако он имеет очень много уязвимых мест в отношении защиты. В ОС Windows 2000 реализован новый протокол IPSec. Однако независимые испытания показали проблемы с безопасностью и у этой ОС. Следующее усиление защиты произошло в версии Windows XP/Whistler сервер, в которой введена аутентификация пользователя с использованием XML.
Однако информацию, критичную для пользователя, таким способом лучше не защищать.
1.2 Построение vpn на базе маршрутизаторов
Некоторые компании предоставляют возможность построения защищенных каналов средствами программного обеспечения маршрутизаторов. Безусловный лидер на рынке маршрутизаторов – компания Cisco Systems. Построение VPN каналов на базе маршрутизаторов Cisco производится средствами самой операционной системы Cisco IOS, начиная с версии 12. Если на пограничные маршрутизаторы локальных сетей установлена такая ОС, то можно сформировать корпоративную VPN, состоящую из совокупности защищенных виртуальных туннельных каналов типа точка-точка. Такие каналы будут работать между маршрутизаторами.
Однако из-за экспортных ограничений для шифрования данных в этих каналах будет использоваться алгоритм DES с длиной ключа 56 бит, что недостаточно в современных условиях. |
Недавно появился новый продукт компании – Cisco VPN Client. Он позволяет строить защищенные соединения типа точка-точка между рабочими станциями и маршрутизаторами Cisco. Это делает возможным построение VPN в локальных сетях.
Для организации VPN-туннеля маршрутизаторы Cisco используют в настоящее время протокол Канального уровня L2TP. Этот протокол обеспечивает инкапсуляцию пакетов протоколов Сетевого уровня (IP, IPX, NetBEUI) в пакеты Канального уровня протокола РРР. Протокол L2TP не зависит от транспортного уровня, поэтому может передавать сообщения через разнородные сети. Однако для создания VPN-туннеля с помощью этого протокола необходимо, чтобы все промежуточные маршрутизаторы поддерживали этот протокол. Это трудно гарантировать (далеко не все маршрутизаторы являются современными маршрутизаторами Cisco).
По этой причине Cisco начала разработку программного обеспечения для маршрутизаторов с применением другого протокола – IPSec. Он является одним из самых проработанных Интернет-протоколов в плане безопасности. Однако этот протокол содержит достаточно большой объем служебной информации. На низкоскоростных каналах связи это может вызвать существенное снижение скорости передачи данных.
1.3 Построение vpn на базе межсетевых экранов
Некоторые специалисты считают построение VPN на базе межсетевых экранов оптимальным решением для защиты от атак из открытых сетей. Существуют программные продукты, которые выполняют и функции межсетевых экранов, и средства для построения VPN. В качестве примера приведем продукт компании CheckPoint – Firewall-1/VPN-1.
В состав этого продукта входят межсетевой экран Firewall-1, набор средств для построения VPN – VPN-1, средства обнаружения вторжений RealSecure, средства управления полосой пропускания FloodGate, и другие.
Система VPN-1 включает в себя средства для построения защищенных каналов в локальных сетях и в Интернете. Они реализованы на базе стандарта IPSec, имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей.
По данным последних исследований, продукция компании CheckPoint занимает 52% мирового рынка VPN. Однако это системы с высокой стоимостью в пересчете на одно рабочее место, и они предъявляют очень высокие требования к производительности межсетевых экранов. Вся нагрузка по криптообработке ложится на них.