- •Билет №1.
- •Режим простой замены и имитовставки по гост 28147-89.
- •Подсистема Windows BitLocker.
- •Классификация межсетевых экранов согласно руководящему документу фстэк. Показатели защищенности.
- •Руководящие документы в области зи. Понятие сертификации и лицензирования.
- •Виды симметричных шифров. Понятие криптографической сети, образующие функции.
- •Внешние и корпоративные сертификационные агентства(са). Иерархическая структура са.
- •Основные компоненты системы безопасности Windows. Аутентификация пользователей при входе в Windows.
- •Причины повышения актуальности проблемы зашиты информации, возможные способы похищения компьютерной информации.
- •Внешние и внутренние угрозы. Меры и принципы защиты информации. Виды защищаемой информации.
- •Причины появления сертификатов. Понятие сертификата. Структура сертификата. Организация сертификации. Цепочки доверия.
- •Права и привилегии пользователей. Их назначение и определение в Windows. Маркеры и субъекты доступа в Windows. Понятие Олицетворения.
- •Указ Президента рф №334. Понятие шифровальных средств.
- •Аутентификация клиентов с помощью сертификатов.
- •Уязвимые места облегчающие получение паролей в Windows. Возможные мероприятия по повышению уровня защиты базы учетных записей в Windows.
- •Уголовный кодекс о компьютерных преступлениях. Ответственность за нарушение авторских прав.
- •Протокол ssl.
- •Возможности настройки политики учетных записей в Windows. Редактор шаблонов. Оснастка консоли «Анализ и настойка безопасности».
- •Родительский контроль (рк)
- •Понятие криптологии, ее основные направления … Криптографические системы общего и ограниченного использования. Требования к криптосистемам.
- •Понятие и подсистемы ас. Порядок оценки свт. Требования по защите информации ограниченного доступа.
- •ПодсистемаWindows Service Harding в Windows Vista/7. Предотвращение выполнения данных(dep). Контроль учетных записей(uac).
- •Шифрование блока информации по гост 28147-89. Формирование подключей шифрования. Достоинства алгоритма гост 28147-89. Режим гаммирования.
- •Классификация сзи по уровню контроля отсутствия недекларируемых воздействий. Основные показатели.
- •Исследование разрешений ntfs в WindowsNt. Особенности исследования разрешений ntfs и управления наследованием и владением начиная с Windows 2000.
- •Режим гаммирования и гаммирование с обратной связью по гост 28147-89.
- •Показатели защищенности свт от нсд.
- •Предопределенные идентификаторы безопасности. Относительные идентификаторы. Изменения идентификаторов при создании и удалении учетных записей на компьютере.
Руководящие документы в области зи. Понятие сертификации и лицензирования.
ФЗ 128 от 8 августа 2001г. «Лицензирование отдел. видов деятельности»: необходимо получение лицензии на деятельность по разработке, производству, распространению, техническому обслуживанию криптографических средств, предоставлению услуг в области шифрования. Также по разработке и производству средств защищающих конф. информацию и гос. тайны.
Лицензирование включает в себя:
Проведение экспертизы заявителем
Аттестацию руководителем
Экспертизу используемых изделий
Выдачу лицензии
Постановление правительства РФ № 333 от 15.04.95: «За лицензирование работ, связанных с гос. тайной отвечает ФСБ».
Лицензированию на создаваемые средства ЗИ выдает федеральная служба по техническому и экспертному контролю (ФСТЭК).
Лицензию на криптосредства выдает ФСБ.
Операторам, осуществляющим обработку персональных данных, в случае если их система относится к 1 или 2 классу или к распределенному 3 классу должны получать лицензию на осуществление деятельности по технической защите конф. информации.
Сертификация средств ЗИ – постановление РФ № 608 «О сертификации средств ЗИ» 1995г. «Для ЗИ, содержащей гос. тайну, должны использоваться только сертифицированные средства ЗИ. При этом криптографические средства должны быть отечественного производства и использовать алгоритм, одобренный ФСБ».
За сертификацию СЗИ от НСД отвечает ФСТЭК, а криптосредства – ФСБ.
Руководящие документы в области ЗИ
Доктрина ИБ РФ 9 сентября 2000г.
Закон «Об информации, ИТ, ЗИ» 149 ФЗ от 26 июня 2006г.
Законы «О гос. тайне», «О коммерческой тайне», «О персональных данных».
ГОСТ 15408, 13334, 2700.1
При защите от НСД необходимо руководствоваться положениями руководящих документов ФСТЭК.
Важное значение в практической деятельности по ЗИ имеют специальные требования и рекомендации (СТР, СТР-К).
Указ президента РФ № 334 от 03.04ю95 «Запретить использование гос. организациям криптографических средств, не имеющих сертификатов ФСБ, включая средства создания электронной подписи. Запретить размещение гос. заказов на предприятиях, использующих подобные средства».
«Запретить деятельность юрид. и физ. лиц, связанную с разработкой, производством, реализацией и эксплуатацией криптосредств, а также оказание услуг в области криптографии без лицензии ФСБ».
«Запретить ввоз в РФ криптосредств иностранного производства без согласования с ФСБ».
Постановление правительства РФ № 957 от 29.02.07 «Положение о лицензировании отдельных видов деятельности, связанной с криптографическими средствами».
К криптосредствам относятся:
Средства шифрования, предназначенные для ЗИ при хранении и передаче
Средства линии защиты, предназначенные для защиты от ложной информации
Средства электронного допуска
Средства создания ключей
Сами ключевые документы
Понятие, история и базовые принципы стеганографии. Особенности, возможности, характеристики поддерживаемые форматы стеганографических программ. Форматы файлов, используемые стеганографией. Цифровые водяные знаки.
Стеганография идет дальше криптографии. Ее цель – скрыть сам факт существования сообщения. В стеганографии используется то, что значительная часть информации шумит, т.е. имеются помехи. Шум имеется и в любом массиве результатов измерений. В графических файлах и звуковых. Эта шумящая информация может использоваться для скрытия сообщений.
В графическом формате bmp на каждый пиксель отводится 24 бита. По 8 бит на 3 цвета. Эти 8 бит определяют интенсивность соответствующего цвета. Человеческий глаз неспособен воспринимать изменение младших бит соответствующего цвета, что позволяет скрывать информацию в младших битах каждого цвета. Плотность упаковки составляет 12,5%. Можно прятать информацию в 2х младших битах. Данный контейнер должен быть достаточно шумным. Метод называется суррогатной стеганографией. Шум может иметь определенные статические характеристики.
Стремятся сохранить припрятанную информацию, используя статический шум. Один из возможных подходов: генерирование нескольких альтернативных контейнеров и выбор подходящего для скрытой информации. Это называется селективной стеганографией. Можно попытаться смоделировать характеристики шума и сконструировать само припрятанное сообщение, чтобы модель шума изменилась минимальным образом. Это называется конструирующей стеганографией.
Выделяют 2 класса контейнеров:
Поток непрерывных данных, подобно цифровой телефонной связи. О нем предварительно нельзя сказать, когда начинается и когда заканчивается и насколько продолжительным будет. В этом случае нет возможности заранее узнать, какими будут последующие шумовые биты, что приводит к необходимости включать управляющие биты в поток в реальном масштабе времени. Скрывающие биты могут выбираться с помощью специальных генераторов, которые задают расстояние между последовательностью бит. Трудно представляется момент, когда определяется скрываемое сообщение. Не должно быть явной синхронизирующей последовательности. Обычно сообщение начинается либо на границе с пакетом, либо приводится к определенным синхроимпульсам.
Файлы растрового изображения, которые имеют фиксированную длину и называются контейнером случайного доступа. Они лишены недостатков предыдущих контейнеров. Отправитель заранее знает размер, его содержание и может определенным образом упрятать информацию. Недостатком является ограниченный объем контейнера. Для достижения наилучшего результата целесообразно использовать звуковые файлы не лучшего качества, но громкие. Изображение лучше использовать пестрое, без четких геометрических фигур и без обширных монотонных участков. Не стоит использовать широко-известные изображения.
Стеганография может использоваться для сокрытия секретной информации, для преодоления системы контроля контента. Может использоваться для защиты авторских прав, водяные знаки.
Водяные знаки создаются невидимыми и распознаются ПК. Для надежной защиты водяные метки должны обладать следующими качествами:
Невидимость
Помехоустойчивость
Защищенность (стойкость к повышенным искажениям)
Водяная метка должна сохраняться при уменьшении / увеличении изображения и других манипуляциях с ним.
Еще одной разновидностью водяных знаков является fingerprinting. При этом в изображение помещается информация не только об авторе, но и информация о покупателе (например серийный номер).
Поддержка водяных знаков стоит определенных денег. Имеется ряд фирм, которые на этом специализируются. Они ведут соответствующие базы знаков, с помощью которых можно проверить принадлежность производителя. Существует ПО, которое осуществляет сканирование web-серверов, с целью поиска мультимедиа файлов с водяными знаками.
Дескрипторы безопасности объекта доступа, их структура. Понятие дискреционных и системных списков доступа. Основные поля ACL. Записи контроля доступа. Типы и структура. Типы прав доступа. Разрешение NTFS.
Доступ ко всем именованным и некоторым неименованным объектам Windows 2000, ХР можно контролировать благодаря дескрипторам безопасности (security descriptor) объекта.
В дескриптор безопасности включены следующие поля:
1 – версия идентификатора безопасности;
2 – идентификатор безопасности и владельца объекта;
3 – идентификатор безопасности группы;
4 – дискреционный список контроля доступа;
5 – системный список контроля доступа;
6 – набор служебных (контрольных) флажков.
Дискреционный список контроля доступа (Discretionary Access Control, DACL) перечисляет права пользователей и групп на доступ к объекту. Права каждой учетной записи содержатся в отдельной записи контроля доступа.
Системный список контроля доступа (System Access Control List, SACL) определяет, какие записи аудита будут генерироваться системой.
DACL и SACL включают в себя следующие поля данных: 1-версия; 2- размер в байтах; 3-число записей контроля доступа (Access Control Entry- ACE); 4- массив записей контроля доступа (Access Control Entry);
Существует три типа записей контроля доступа: два – для DACL и один для SACL. В DACL используются типы – «доступ разрешен» и «доступ запрещен». В SACL находятся записи типа «системный аудит», используемые для ведения журнала безопасности. Каждая запись содержит следующие поля: тип записей контроля доступа – ACE; набор флагов, определяющих правила наследования; маска доступа; идентификатор безопасности учетной записи, к которой должна быть применима маска доступа.
ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты.
Файловая система NTFS была разработана специально для Windows NT. Она обеспечивает:
- защиту файлов и каталогов при локальном доступе;
- возможность динамического сжатия файлов и каталогов на разделах с кластером не более 4 Кб;
- целостность данных и восстановление.
Каждая операция ввода/вывода, изменяющая файл на томе NTFS, рассматривается как транзакция и может выполняться как неделимый блок. При модификации файла пользователем фиксируется вся информация для повторения или отката транзакции. Если транзакция проведена успешно, то производится модификация файла, а иначе NTFS проводит откат транзакции. Для практического администрирования применяются стандартные разрешения NTFS – «полный доступ», «изменить», «чтение и выполнение», «список содержимого папки», «чтение», «запись» и т.д.
Билет №3