- •Защита информации
- •Содержание
- •Раздел 1. Основные понятия и определения 8
- •Раздел 2. «Криптографические методы защиты информации» 30
- •Раздел 3. «Методы защиты сетей» 59
- •Введение
- •Раздел 1. Основные понятия и определения Лекция 1. Основные понятия защиты информации и правовые основы защиты информации
- •1. Основные понятия защиты информации
- •1.1 Характеристики информации с точки зрения ее защиты
- •1.2 Угрозы безопасности информации
- •1.3 Уязвимости информационных систем
- •1.4 Атаки
- •1.5 Способы обеспечения защиты информации
- •2. Правовые основы защиты информации
- •2.1 Конституция Российской Федерации
- •2.2 Гражданский кодекс рф об охране интеллектуальной собственности
- •2.3 Федеральные законы в области защиты информации
- •2.4 Уголовный Кодекс рф о преступлениях в сфере компьютерных технологий
- •2.5 Государственные стандарты в области защиты информации
- •2.6 Понятие и виды защищаемой информации по законодательству рф
- •2.7 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •Лекция 2. Основные модели и механизмы контроля доступа к информационным системам
- •3. Основные модели и механизмы контроля доступа к информационным системам
- •Абстрактные модели доступа
- •Раздел 2. «Криптографические методы защиты информации» Лекции 3, 4. Симметричное шифрование
- •1. Понятие о криптографии
- •2. Классификация алгоритмов шифрования
- •3. Шифрование с секретным ключом
- •3.1 Алгоритмы традиционного шифрования
- •3.2 Современные алгоритмы шифрования
- •3.3 Аппаратное и программное шифрование
- •Лекция 5. Асимметричное шифрование
- •1. Шифрование с открытым ключом
- •1.1 Принципы шифрования с открытым ключом
- •1.2 Алгоритм rsa
- •1.3 Алгоритмы распределение ключей
- •Лекция 6. Функции хэширования и цифровые подписи
- •1. Аутентификация сообщений и функции хэширования
- •1.2 Алгоритмы хэширования
- •2. Цифровые подписи
- •2.1 Цифровые подписи
- •2.2 Непосредственная цифровая подпись
- •2.3 Арбитражная цифровая подпись
- •Лекция 7. Методы и протоколы аутентификации
- •Взаимная аутентификация
- •1.1 Аутентификация на основе традиционного шифрования
- •1.2 Аутентификация на основе шифрования с открытым ключом
- •1.3 Протоколы аутентификации
- •1.4 Система аутентификации Kerberos
- •Сервер аутентификации
- •1.5 Система аутентификации х.509
- •Одношаговая аутентификация
- •Раздел 3. «Методы защиты сетей» Лекция 8. Виды атак при передаче данных по сетям
- •1. Прослушивание сети
- •2. Сканирование сети
- •3. Генерация пакетов
- •4. Перенаправление трафика
- •5. Несанкционированный обмен данными
- •6. Атаки типа «отказ в обслуживании»
- •6.1. Истощение ресурсов узла или сети
- •6.2. Атаки, вызывающие сбой системы
- •6.3. Изменение конфигурации или состояния узла
- •Перенаправление трафика на несуществующий узел
- •Лекции 9, 10. Средства защиты информации, передаваемой по открытым сетям
- •1. Средства подготовки защищенных сообщений
- •2. Средства автоматической защиты передаваемых данных
- •2.1 Виды автоматической защиты каналов связи
- •2.2 Защита на Канальном уровне
- •2.3 Защита на сетевом уровне
- •2.4 Защита на Транспортном уровне
- •2.5 Протокол защищенных электронных транзакций set
- •Лекция 11, 12. Защита периметра корпоративных сетей
- •1. Виртуальные частные сети
- •1.1 Построение vpn на базе сетевой ос
- •1.2 Построение vpn на базе маршрутизаторов
- •1.3 Построение vpn на базе межсетевых экранов
- •1.4 Построение корпоративных vpn в России
- •2. Защита периметра корпоративной сети от несанкционированного доступа
- •2.1 Принципы организации брандмауэров
- •2.2 Виды межсетевых экранов
- •2.3 Конфигурации установки межсетевых экранов
- •Лекция 13. Обнаружение атак
- •1. Признаки атак
- •2. Классификация систем обнаружения атак
- •2.1 Системы анализа защищенности
- •2.2 Классические системы обнаружения атак
- •Модуль управления компонентами.
- •2.3 Обманные системы
- •2.4 Системы контроля целостности
- •Лекции 14, 15. Выбор системы обнаружения атак
- •1. Анализ защищаемой системы
- •2. Системы обнаружения атак Internet Security Systems
- •3. Системы обнаружения атак Cisco Systems
- •4. Системы обнаружения атак Symantec
- •5. Свободно распространяемые продукты: Snort
- •Лекция 16. Методы защиты от несанкционированного использования программ
- •1. Необходимость защиты программ от несанкционированного использования
- •2. Регистрационные коды для программ
- •3. Привязка к носителям информации
- •4. Аппаратные ключи защиты
- •4.1 Виды аппаратных ключей
- •5. Использование навесных защит
- •Обзор рынка средств защиты программ
- •Лекция 17. Технические средства защиты информации
- •1. Методы инженерно-технической защиты информации
- •2. Виды защиты информации от утечки по техническим каналам
- •Экранирование электромагнитных волн
- •Безопасность оптоволоконных кабельных систем
- •Особенности слаботочных линий и сетей как каналов утечки информации
- •Лекция 18. Вредоносные программы и защита от них
- •Классификация вредоносных программ.
- •1.1 По вредоносной нагрузке
- •1.2 По методу размножения
- •1.3 Классификация вирусов.
- •2. Симптомы заражения
- •3. Методы защиты от вредоносных программ
- •Антивирусные программы
- •Заключение
- •Библиографический список
- •Шнайер, Брюс. Прикладная криптография [Текст] /Брюс Шнайер. - м.: Издательство Триумф, 2003. – 816 с.
- •Скляров, д. Искусство защиты и взлома информации [Текст] /д.Скляров. - Спб.: Издательство «бхв-Перербург», 2004. – 288 с.
1.4 Построение корпоративных vpn в России
При всех своих достоинствах западные VPN-продукты имеют один общий недостаток, который в некоторых случаях обесценивает все преимущества. Этот недостаток – экспортно-импортные ограничения на средства криптографической защиты. Большинство имеющихся на российском рынке VPN-продуктов поставляется с криптоалгоритмом DES с длиной ключа 56 битов. При использовании суперЭВМ типа Cray такие алгоритмы взламываются путем прямого перебора ключей за 13 часов.
Государственным предприятиям, организациям и банкам России запрещено использование средств защиты информации, не прошедших государственную сертификацию Гостехкомиссии при Президенте РФ. Для таких организаций использование импортных VPN изначально отпадает. Рассмотрим отечественные VPN-продукты.
Криптографический комплекс ШИП
Криптографический комплекс ШИП (Шифратор IP-пакетов) производится МО ПНИЭИ (www.security.ru). Это отдельное программно-аппаратное устройство (криптошлюз), которое осуществляет сквозное шифрование всего исходящего из локальной сети трафика. Шифрование производится на базе протокола SKIP (Simple Key management for Internet Protocol).
В комплекс ШИП входят следующие продукты:
Сам программно-аппаратный комплекс ШИП, который осуществляет защиту данных в соответствии с ГОСТ 28147-89.
Центр управления ключевой структурой. Он используется для периодической смены ключей шифрования и аудита работы VPN.
Описание работы и опыта эксплуатации ШИП можно найти на сайте производителя www.security.ru.
Программные продукты серии ЗАСТАВА
Продукты серии ЗАСТАВА производит компания ЭЛВИС+ (www.elvis.ru). Эта серия включает в себя 9 программных продуктов различного назначения, работающих под управлением ОС Windows 95/98/NT и Solaris Sparc/Intel:
Межсетевой экран ЗАСТАВА (с возможностью организации VPN)
ЗАСТАВА – Персональный клиент
ЗАСТАВА – Корпоративный клиент
Центр управления ЗАСТАВА
ЗАСТАВА – Сервер
ЗАСТАВА – Офис
Персональный центр сертификации ЗАСТАВА
Корпоративный центр сертификации ЗАСТАВА
Сервер сертификатов ЗАСТАВА
С помощью продуктов серии ЗАСТАВА можно создавать VPN различного масштаба: от нескольких десятков (Персональный центр сертификации) до нескольких десятков тысяч рабочих станций и серверов (Корпоративный центр сертификации). Защищенные каналы могут быть организованы как вне защищаемой сети, так и внутри нее.
Еще одно качество продуктов ЗАСТАВА делает их уникальными для российского рынка. VPN-продукты ЗАСТАВА не имеют встроенных криптоалгоритмов. Все криптоалгоритмы – внешние, они взаимодействуют с продуктами ЗАСТАВА через специально разработанный интерфейс. Это качество предоставляет два преимущества:
Снимает с данного программного обеспечения экспортно-импортные ограничения
Предоставляет пользователю полную свободу в выборе криптоалгоритма для своей VPN
В рамках одной сети существует возможность использования нескольких криптоалгоритмов, поскольку ЗАСТАВА может одновременно поддерживать до 256 криптомодулей.
В настоящее время ЗАСТАВА работает с двумя основными модулями преобразования информации: модулем кодирования информации фирмы ЛАН-Крипто (www.lancrypto.ru), реализующим алгоритм ВЕСТА-2М (отраслевой стандарт газовой промышленности России), и с криптомодулем Crypton-Emulator фирмы АНКАД (www.ancud.ru), реализующим базовый отечественный криптоалгоритм ГОСТ 28147-89. Длина ключа в обоих алгоритмах – 256 битов, что обеспечивает их высокую стойкость.