- •Защита информации
- •Содержание
- •Раздел 1. Основные понятия и определения 8
- •Раздел 2. «Криптографические методы защиты информации» 30
- •Раздел 3. «Методы защиты сетей» 59
- •Введение
- •Раздел 1. Основные понятия и определения Лекция 1. Основные понятия защиты информации и правовые основы защиты информации
- •1. Основные понятия защиты информации
- •1.1 Характеристики информации с точки зрения ее защиты
- •1.2 Угрозы безопасности информации
- •1.3 Уязвимости информационных систем
- •1.4 Атаки
- •1.5 Способы обеспечения защиты информации
- •2. Правовые основы защиты информации
- •2.1 Конституция Российской Федерации
- •2.2 Гражданский кодекс рф об охране интеллектуальной собственности
- •2.3 Федеральные законы в области защиты информации
- •2.4 Уголовный Кодекс рф о преступлениях в сфере компьютерных технологий
- •2.5 Государственные стандарты в области защиты информации
- •2.6 Понятие и виды защищаемой информации по законодательству рф
- •2.7 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •Лекция 2. Основные модели и механизмы контроля доступа к информационным системам
- •3. Основные модели и механизмы контроля доступа к информационным системам
- •Абстрактные модели доступа
- •Раздел 2. «Криптографические методы защиты информации» Лекции 3, 4. Симметричное шифрование
- •1. Понятие о криптографии
- •2. Классификация алгоритмов шифрования
- •3. Шифрование с секретным ключом
- •3.1 Алгоритмы традиционного шифрования
- •3.2 Современные алгоритмы шифрования
- •3.3 Аппаратное и программное шифрование
- •Лекция 5. Асимметричное шифрование
- •1. Шифрование с открытым ключом
- •1.1 Принципы шифрования с открытым ключом
- •1.2 Алгоритм rsa
- •1.3 Алгоритмы распределение ключей
- •Лекция 6. Функции хэширования и цифровые подписи
- •1. Аутентификация сообщений и функции хэширования
- •1.2 Алгоритмы хэширования
- •2. Цифровые подписи
- •2.1 Цифровые подписи
- •2.2 Непосредственная цифровая подпись
- •2.3 Арбитражная цифровая подпись
- •Лекция 7. Методы и протоколы аутентификации
- •Взаимная аутентификация
- •1.1 Аутентификация на основе традиционного шифрования
- •1.2 Аутентификация на основе шифрования с открытым ключом
- •1.3 Протоколы аутентификации
- •1.4 Система аутентификации Kerberos
- •Сервер аутентификации
- •1.5 Система аутентификации х.509
- •Одношаговая аутентификация
- •Раздел 3. «Методы защиты сетей» Лекция 8. Виды атак при передаче данных по сетям
- •1. Прослушивание сети
- •2. Сканирование сети
- •3. Генерация пакетов
- •4. Перенаправление трафика
- •5. Несанкционированный обмен данными
- •6. Атаки типа «отказ в обслуживании»
- •6.1. Истощение ресурсов узла или сети
- •6.2. Атаки, вызывающие сбой системы
- •6.3. Изменение конфигурации или состояния узла
- •Перенаправление трафика на несуществующий узел
- •Лекции 9, 10. Средства защиты информации, передаваемой по открытым сетям
- •1. Средства подготовки защищенных сообщений
- •2. Средства автоматической защиты передаваемых данных
- •2.1 Виды автоматической защиты каналов связи
- •2.2 Защита на Канальном уровне
- •2.3 Защита на сетевом уровне
- •2.4 Защита на Транспортном уровне
- •2.5 Протокол защищенных электронных транзакций set
- •Лекция 11, 12. Защита периметра корпоративных сетей
- •1. Виртуальные частные сети
- •1.1 Построение vpn на базе сетевой ос
- •1.2 Построение vpn на базе маршрутизаторов
- •1.3 Построение vpn на базе межсетевых экранов
- •1.4 Построение корпоративных vpn в России
- •2. Защита периметра корпоративной сети от несанкционированного доступа
- •2.1 Принципы организации брандмауэров
- •2.2 Виды межсетевых экранов
- •2.3 Конфигурации установки межсетевых экранов
- •Лекция 13. Обнаружение атак
- •1. Признаки атак
- •2. Классификация систем обнаружения атак
- •2.1 Системы анализа защищенности
- •2.2 Классические системы обнаружения атак
- •Модуль управления компонентами.
- •2.3 Обманные системы
- •2.4 Системы контроля целостности
- •Лекции 14, 15. Выбор системы обнаружения атак
- •1. Анализ защищаемой системы
- •2. Системы обнаружения атак Internet Security Systems
- •3. Системы обнаружения атак Cisco Systems
- •4. Системы обнаружения атак Symantec
- •5. Свободно распространяемые продукты: Snort
- •Лекция 16. Методы защиты от несанкционированного использования программ
- •1. Необходимость защиты программ от несанкционированного использования
- •2. Регистрационные коды для программ
- •3. Привязка к носителям информации
- •4. Аппаратные ключи защиты
- •4.1 Виды аппаратных ключей
- •5. Использование навесных защит
- •Обзор рынка средств защиты программ
- •Лекция 17. Технические средства защиты информации
- •1. Методы инженерно-технической защиты информации
- •2. Виды защиты информации от утечки по техническим каналам
- •Экранирование электромагнитных волн
- •Безопасность оптоволоконных кабельных систем
- •Особенности слаботочных линий и сетей как каналов утечки информации
- •Лекция 18. Вредоносные программы и защита от них
- •Классификация вредоносных программ.
- •1.1 По вредоносной нагрузке
- •1.2 По методу размножения
- •1.3 Классификация вирусов.
- •2. Симптомы заражения
- •3. Методы защиты от вредоносных программ
- •Антивирусные программы
- •Заключение
- •Библиографический список
- •Шнайер, Брюс. Прикладная криптография [Текст] /Брюс Шнайер. - м.: Издательство Триумф, 2003. – 816 с.
- •Скляров, д. Искусство защиты и взлома информации [Текст] /д.Скляров. - Спб.: Издательство «бхв-Перербург», 2004. – 288 с.
2.3 Конфигурации установки межсетевых экранов
Помимо случая, когда МЭ представлен отдельной системой (фильтрующим маршрутизатором или шлюзом), возможны и более сложные конфигурации, которые чаще всего и используются в реальной практике. Чаще всего используются следующие три конфигурации МЭ.
МЭ с экранированным одноточечным бастионным узлом (рис.1). В этом случае МЭ состоит из двух систем: фильтрующего маршрутизатора и бастионного узла. Как правило, маршрутизатор при этом настраивается следующим образом: а) из потока данных из внешней сети во внутреннюю пропускаются только пакеты, предназначенные для бастионного узла б) из потока данных из внутренней сети во внешнюю пропускаются только пакеты, исходящие из бастионного узла. Бастионный узел выполняет задачи аутентификации и функции прокси-сервера. Нарушителю для вторжения во внутреннюю сеть приходится преодолевать защиту двух отдельных систем.
МЭ с экранированным двухточечным бастионным узлом (рис.2). Если в случае с одноточечным бастионом будет взломана защита фильтрующего маршрутизатора, поток данных может пойти из внешней сети прямо в узлы внутренней сети, минуя бастион. Конфигурация с двухточечным бастионом создана, чтобы физически исключить возможность появления такой бреши. Все преимущества системы с одноточечным бастионом при этом остаются в силе. В этом случае все узлы внутренней сети в принципе не могут быть подключены к внешней сети, минуя сетевой адаптер.
Брандмауэр с экранированной подсетью (рис.3). В этой конфигурации два фильтрующих маршрутизатора: один между бастионным узлом и глобальной сетью, второй – между бастионным узлом и внутренней сетью. Такая конфигурация создает изолированную подсеть, которая может состоять из одного бастионного узла, но может включать и другие узлы (согласно принятой политике безопасности). Такая изолированная подсеть называется еще демилитаризованной зоной (DMZ). Из всех рассмотренных вариантов такая конфигурация создает самую надежную защиту. Она предусматривает три уровня защиты от нарушителей. Внешний маршрутизатор объявляет в Интернет только о существовании одной экранированной подсети, внутренняя сеть остается невидимой. Точно так же внутренний маршрутизатор сообщает узлам внутренней сети только о существовании экранированной подсети, и внутренние узлы не имеют возможности прямого выхода в Интернет. В DMZ часто располагают серверы: FTP, SMTP, DNS.
Пример брандмауэра
Для организации серьезной профессиональной защиты специалисты рекомендуют межсетевой экран PIX Firewall 525 компании Cisco Systems. Это аппаратно-программный брандмауэр, реализованный как отдельное устройство. Устройство снабжено собственной операционной системой. Характеристики брандмауэра:
Высокая производительность и пропускная способность до 170 Мб/с
Возможность поддержки до 256 000 одновременных ТСР-соединений
Объединение пакетного и прикладного шлюзов
Простота и надежность в эксплуатации
Возможность обеспечения качества услуг посредством протокола резервирования ресурсов
Данный вариант защиты обладает высокой эффективностью и достаточной безопасностью. Стоимость от 4500$.
Распределенные межсетевые экраны
Распределенные межсетевые экраны – это дополнительное программное обеспечение, распределенное по всем корпоративным серверам. Необходимость в них появилась в связи с тем, что при росте локальной сети производительность традиционного брандмауэра может стать «узким местом», ограничивающим скорость передачи данных. Кроме того, распределенные межсетевые экраны, как правило, обладают значительно меньшей стоимостью.
Технология распределенных экранов появилась недавно. Пример такого экрана – CyberwallPLUS. Эти межсетевые экраны обеспечивают дополнительный уровень защиты платформ под управлением Windows NT/2000. Существуют версии этого экрана для сервера и рабочей станции: CyberwallPLUS-SV и CyberwallPLUS-WS.
CyberwallPLUS-SV позволяет закрыть все неиспользуемые порты сервера. Он обеспечивает обнаружение известных типов атак, предотвращает DoS-атаки и сканирование портов.
Распределенные межсетевые экраны рекомендуется применять помимо основного, расположенного на бастионном хосте.
Сертификация межсетевых экранов
Для коммерческого применения межсетевой экран должен пройти сертификацию. Осуществляет это Международная ассоциация компьютерной безопасности. Список МЭ, сертифицированных этой организацией, можно найти по адресу: www.icsa.net.
В России сертификацию средств защиты осуществляет Гостехкомиссия при Президенте РФ. Существует руководящий документ Гостехкомиссии при Президенте РФ по межсетевым экранам. Он вышел в 1997 г. Его полный текст можно найти на узле www.infotecs.ru/gtc/RD_ekran.htm. В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от несанкционированного доступа.
Согласно этому документу, устанавливается 5 классов защищенности МЭ: самый низкий 5, самый высокий 1. В Руководящем документе есть статьи, регламентирующие правила хранения секретной государственной информации. Например, информация с грифом «секретно» должна размещаться в сетях, защищенных МЭ с классом защиты не ниже 3, «совершенно секретно» - не ниже 2, «особой важности» - не ниже 1-го класса защиты.