1) Имитовставка – контрольная комбинация, которая зависит от открытых данных и секретного ключа, и добавляется к зашифрованным данным. Предназначена для обнаружения всех случайных или преднамеренных изменений в массиве информации. Злоумышленник, не имеющий ключа, не может вычислить имитовставку и не может подобрать данные под заданную имитовставку. Кодом имитовставки является MAC – message authentication code.

2) BitLocker выполняет две взаимодополняющие, но различные функции. Во-первых, он обеспечивает шифрование всего тома ОС Windows. Во-вторых, на компьютерах с совместимым доверенным платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска WindowsVista. BitLocker шифрует весь том ОС Windows со всеми данными. По умолчанию для шифрования используется алгоритм AES с 128-битным ключом. Сам ключ может храниться в TPM (микроконтроллер, который может хранить защищённую информацию) или в USB-устройстве. BitLocker шифрует том, а не физический диск.

3) TPM (Trusted Platform Module )- микроконтроллер, который может хранить защищённую информацию. Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимыми микрочипом TPM и BIOS. Под совместимыми понимается версия 1.2 TPM и BIOS, поддерживающая TPM и статический корень измерения доверия, определенный в спецификациях TCG. Однако компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker.

4) Классификация межсетевых экранов согласно руководящему документу ФСТЭК. Показатели защищенности. - Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности - пятый, самый высокий – первый. Показатели защищенности: Управление доступом (фильтрация данных и трансляция адресов), Идентификация и аутентификация, Регистрация, Администрирование: идентификация и аутентификация, Администрирование: регистрация, Администрирование: простота использования, Целостность, Восстановление, Тестирование, Руководство администратора защиты, Тестовая документация, Конструкторская (проектная) документация.

5) Руководящие документы в области ЗИ. Доктрина Информационной безопасности 09.09.02 - совокупность официальных взглядов на цели и задачи, принципы основного направления обеспечения информационной безопасности. Основа для формирования политики в области ЗИ. Базовый закон в ЗИ – закон об Информационных Технологиях 27.07.06 - требует от обладателя информации: 1.обеспечение безопасности от YCL; 2. своевременное обнаружение актов мародерства; 3. предупреждение возможных неблагоприятных последствий; 4. Незамедлительное восстановление информации или уничтожение при НСД; 5. Постоянный контроль ЗИ.

6) Сертификация - подтверждение соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров. Чтобы исключить проблему подмены открытых ключей необходимо использовать сертификаты. Для устранения соответствия между человеком и электронным ключом используется сертификат открытых ключей. Цифровые сертификаты выдаются либо государством, либо внешним коммерческим агентством.

Шаги: 1) сертифицированное агентство создаёт пару ключей: секретный ключ, открытый ключ

2) оно подписывает открытый ключ своим личным ключом

3) пользователь создаёт пару из закрытых и открытых ключей

4) пользователь передаёт свой открытый ключ в сертификационное агентство

5) Сертифицированное агентство оставляет копию ключа у себя, а другую копию передаёт пользователю.

Сертификат - цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется стандартом на его формат.

Х.509 – международный стандарт. Впервые в 1988 году, 2-я версия – 1983 год, 3-я в 1986 году.

Выделяют следующие основные поля сертификации:

• Номер версии стандарта: Х.509.3

• Указывается уникальный порядковый номер сертификата

• Название алгоритма ЭЦП и хеш-функции, используемых в сертификационном агентстве для подписи сертификата

• Имя СА

• Срок действия (обычно на 1 год)

• Имя хозяина ОК (общая длина < 259 символов)

Обычно следующие поля:

1. обозначение страны: (.ru)

2. имя организации (не более 64 символов)

3. имя пользователя (<64 символов)

4. до 4-х имен подорганизаций (необязательное подполе)

5. сам открытый ключ, здесь можно дополнительно указать информацию об алгоритме электронно цифровой подписи и хеш-функции, которые будут использоваться хозяином открытого ключа.

6. Электронно цифровая подпись сертификационного агентства, которая гарантирует, что ключ не подменен и принадлежит конкретному лицу.

Vezign – наиболее уважаемое СА в мире, в России – Криптопро.

Аутентификация клиентов с помощью сертификатов.

Сервер, проводящий аутентификацию, не хранит пароль, либо другую секретную информацию о пользователях, они предоставляют ее сами. Задача хранения секретной информации, в роли которой выступает личный ключ пользователя, возлагается на самих пользователей, что обеспечивает очень хорошее масштабирование данного решения. При аутентификации, пользователь передает серверу свой сертификат, который он подписывает своим ЛК. Сторона (сервер), проводящая аутентификацию, берет из сертификата ОК пользователя и, с его помощью, проверяет ЭЦП под сертификатом. Положительный результат проверки свидетельствует, что пользователь обладает ЛК, соответствующим данному ОК. Затем с помощью ОК в сертификате СА проверяется подпись СА в сертификате пользователя. Положительный результат проверки свидетельствует о том, что пользователь зарегистрирован в соответствующем СА, а указанный в сертификате ОК и другие сведения действительно принадлежат ему.

7) Лицензирование - проведение специальных мероприятий заявителя, аттестации руководителя предприятия. Любая деятельность, связанная с ЗИ – лицензируется. А именно: 1) Разработка, 2)Производство, 3) Распределение, 4) Тех.обслуживание 5) Криптографические средства.

8) Стеганография, в отличие от криптографии, скрывает от непосвященных лиц сам факт существования секретных сообщений. Такие скрытые сообщения могут включаться в различные внешне безобидные данные и передаваться вместе с ними вне какого-либо подозрения со стороны. Стеганография основана на замене шумовых компонент исходным текстом. Информация, в которой скрывается сообщение, называется контейнером.

Методы:

Суррогатная Стеганография-Информация д.б. достаточно шумной чтобы скрывать небольшое изменение в их беспорядочности. Селектирующая Стеганография– заранее подбирается несколько контейнеров и информация прячется в тот, в котором мы будем максимально приближены к модели первоначального шума. Недостаток: можно спрятать мало данных при большом объёме работы.

Конструирующая Стеганография – подбираем само сообщение так, чтобы оно в минимальной степени изменяло модель первоначального шума. Недостатки: сложность моделирования и соединения со стойким алгоритмом шифрования.

Существует два вида контейнеров: 1) Потоковые (телефонная связь). Это поток, про который нельзя сказать, когда он начнется, когда закончится и сколько будет длиться. При этом проблемой является синхронизация скрываемой информации. 2) случайного доступа (графические, звуковые, видео файлы фиксированного размера). Здесь размер контейнера известен. Недостаток – они меньшего размера, а значит можно спрятать мало информации. Выбор контейнера: Музыка – громкая, низкого качества. Изображение - пестрое, без четких геометрических линий, желательно малоизвестное.

9) Цифровые водяные знаки обеспечивают защиту авторских прав. Помещаются в графические, звуковые и видео файлы и могут извлекаться из них с помощью специальных прог. При этом они несут инф-ию о том, кому принадлежат авторские права.

10) Доступ ко всем именованным и некоторым неименованным объектам Windows 2000/XP можно контролировать благодаря дескрипторам безопасности объекта. В который включены следующие поля:

• версия идентификатора безопасности; • идентификатор безопасности владельца объекта; • идентификатор безопасности группы; • дискреционный список контроля доступа; • системный список контроля доступа; • набор служебных флажков.

11) Дискреционный список контроля доступа (DACL) перечисляет права пользователей и групп на доступ к объекту. В DACL используются типы «доступ разрешен» и «доступ запрещен». ACL – это DACL и SACL вместе.

12) Системный список контроля доступа (SACL) определяет, какие записи аудита будут генерироваться системой. В SACL находятся записи типа «системный аудит», используемые для ведения журнала безопасности.

13) Виды симметричных шифров - Симметричный шифр делится на поточный и блочный. Поточный обрабатывает информацию побитно. Может использоваться при последовательной связи, когда поток может прерываться и возобновляться. Блочный шифр более распространен. Все криптопреобразования выполняются над блоками информации определенной длины (32 или 64 бит). К блочным шифрам относятся криптографические сети, которые состоят из многократных повторений – раундов (циклов).

14) Сеть Вайнштеля - является обратимой, даже если функция F не является таковой. Для дешифровки шифрованного текста используется такой же алгоритм. На вход подается шифрованный текст, а ключи используются в определенном порядке. Примером сети Вайнштеля является DES по алгоритму шифрования ГОСТ 28.147-89.

15) Внешнее коммерческое сертификационное агентство используется: 1) Когда действительность ключа должна быть подтверждена доверенной 3-й стороной 2) Не хватает ресурсов, времени для формирования инфраструктуры ключей 3) Необходима совместимость сертификатов. Сертифицированное агентство может осуществлять сертификацию: Открытых ключей владельцев сервера; открытых ключей клиентов; открытых ключей электр. почты; Разработчиков ПО. В случае потери пользователем своего личного ключа сертифицированное агентство должно создавать и поддерживать список отозванных сертификатов.

16) SAM – диспетчер учетных записей, который работает в БД учетных записей (SAD) – в ней хранятся все уч. записи юзеров, групп, комп-ов и доменов.

17) SRM – монитор безопасности, обеспечивает проверку всех запросов на доступ к ресурсам.

18) Аутентификация пользователей при входе в систему - Пользователь при входе в систему указывает свое имя и пароль. Они могут сравниваться с базой учетных записей, которые могут находиться либо на компьютере, входя при использовании локальной учетной записи ,либо на домене. После успешной аутентификации становятся доступны ресурсы компьютера или домена.

19) LSA - подсистема локального администратора. Local Security Authority –Локальный администратор безопасности подсистема защиты в Windows NT. Предоставляет пользователям доступ в систему, управляет локальными правилами безопасности (политикой защиты), процессом аутентификации пользователя, ведёт журнал аудита.

20) Причины повышения актуальности проблемы защиты информации, возможные способы похищения компьютерной информации. Внешние и внутренние угрозы. Внутренняя угроза: ошибки в работе сетевых серверов; ошибки обслуживающего персонала; Нештатное функционирование сетевого и системного ПО; Ошибки в ПО и системных рабочих станциях, позволяющие получить доступ к информации; Ошибки в реализации сетевых протоколов, позволяющие получить доступ к информации; Преднамеренный или непреднамеренный сбой системы. Внешняя угроза: несанкционированный доступ к компьютерной информации; снятие информации за счет электромагнитного излучения, утечка по цепям электропитания. Снятие инф-ии при использовании визуальных каналов утечки.

21) Mandatory Integrity Control - Для реализации мандатного принципа контроля доступа каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их места соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Комплекс средств защиты должен реализовать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов

22) Принципы защиты информации:

1. Многоуровневая организация: Предполагает ранжирование инф-ии по степени ее конфиденциальности. (Открытая информация и Информация ограниченного доступа)

2. Принцип системности: Предполагает учесть все уязвимые места, возможные объекты и направления атаки, пути проникновения злоумышленников.

3. Принцип непрерывности защиты: Защита инф-ии, начиная с самых ранних этапов проектирования изделия, на этапе эксплуатации, вплоть до кончины системы.

4. Принцип разумной достаточности: Соответствие затрат на защиту стоимости защищаемой информации.

5. Принцип гибкой системы защиты: Возможность усовершенствования или расширения системы защиты.

23) Привилегии пользователей

Разрешение на выполнение действия выдается после сравнения идентификатора безопасности. Некоторые действия пользователя не связаны с объектом. Возможность резервного копирования не зависит от возможного разрешения на них.

Предоставляются специальные права пользователя:

1. Привилегия. Заносятся в маркер доступа. Могут выполнять ряд специфичных операций (резерв.копирование).

2. Вход в систему. Возможность пользователя входить в систему. Позволяют создавать маркер доступа. Локальный вход: вход по сети, в качестве службы, пакетного задания.

Начиная с WindowsXP появилась пара прав связанных с терминальным доступом.

24) Маркер доступа(md)

При входе пользователя в систему локальный администратор безопасности создает MD. В нем указываются поля:

1. SID пользователя и групп, в которые он входит.

2. Набор привилегий пользователя.

3. SID владельца и дискреционный список контроля доступа (DACL), который будет присваиваться вновь созданному объекту.

4. Уникальный локальный идентификатор, маркер, сессии и версии маркера.

5. Тип маркера (первичный, в процесс олицетворения).

6. Уровень олицетворения.

7. Признак ограниченного маркера, идентификатор терминального сеанса.

Монитор безопасности – единственная система безопасности, которая работает на уровне ядра. Использует MD при попытке пользователя получить доступ.

25) Олицетворение - Windows разрешает одному процессу взять атрибуты другого процесса по средствам олицетворения. Сервер обычно использует контекст безопасности тех, чьи запросы выполняются. При установке связи с сервером клиент может указать уровень олицетворения, которое следует использовать серверу.

26) Указ президента РФ №334 от 3 апреля 1995 года:

• Запретить использование государственным организациям и предприятиям криптографических средств защиты, а также средств электронной подписи, не имеющих сертификатов ФСБ.

• Запретить размещение госзаказа на предприятиях использующих несертифицированные средства защиты.

• Запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией без лицензии ФСБ.

• Запретить ввоз на территорию РФ криптосредств иностранного производства без лицензии Министерства внешней торговли или ФСБ.

27) Криптографические средства – средства, реализующие криптографические алгоритмы, предназначенные для ЗИ, входящие в систему защита от НСД; это средства, реализующие электронные подписи, а также средства для изготовления и распространения ключевой информации.

К шифровальным средствам относятся:

1. Средства шифрования реализующие криптографическое преобразование информации для защиты от НСД.

2. Средства имитозащиты, предназначенные для защиты от ложной информации.

3. Средства электронно-цифровой подписи.

4. Средства изготовления ключей.

Криптология – наука, которая занимается проблемой ЗИ путем её преобразования. Выделяют 2 направления:

1. Криптография – занимается поиском и исследованием математических методов преобразования информации.

2. Криптоанализ – исследует возможности расшифровки информации без знания ключа.

Эти два направления тесно связаны друг с другом: криптография обеспечивает ЗИ, а криптоанализ доказывает устойчивость шифров ко взлому.

Криптографическая система - криптосистема с секретным ключом или симметричная криптосистема, если в ней любые 2 стороны перед тем, как связаться друг с другом, должны заранее договориться об общем секретном ключе. т.е. один и тот же ключ используется как при шифровании, так и при расшифровании. Криптографическая система называется криптосистемой ограниченного использования, если её стойкость основывается на сохранении самих алгоритмов шифрования и дешифрования. Криптографическая система называется криптосистемой общего использования, если её стойкость основывается на секретности сравнительно короткого ключа, который вырабатывается конкретным пользователем. К современным криптосистемам предъявляются следующие требования:

1. Расшифровать шифрованное сообщение можно только при знании ключа.

2. Число итераций, нужное для расшифровки должно иметь строгую нижнюю оценку.

3. Знание алгоритма шифрования не должно влиять на надёжность защиты.

4. Длина шифрованного текста должна быть равна длине исходного текста.

5. Незначительное изменение ключа должно приводить к существенному изменению шифрованного сообщения и др.

Цель криптоанализа: поиск способов расшифровки текста без знания ключа.

Постановление правительства РФ №608 от 26.06.95 «О сертификации средств ЗИ»: «Для ЗИ, содержащей гос. тайну, должны использоваться только сертифицированные средства ЗИ. При этом криптографические средства должны быть отечественного производства и использовать алгоритм, одобренный ФСБ»