- •Экзаменационные вопросы и билеты Теоретические вопросы
- •Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
- •Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- •Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- •Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- •Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- •Понятие политики безопасности информационных систем. Назначение политики безопасности.
- •Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- •Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
- •Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
- •Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- •Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- •Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- •Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- •Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- •Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- •Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- •Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- •Биометрические средства идентификации и аутентификации пользователей.
- •Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- •Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- •Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- •Законодательный уровень применения цифровой подписи.
- •Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- •Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- •Средства обеспечения информационной безопасности в ос Windows’2000. Разграничение доступа к данным. Групповая политика.
Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
Идентификация - процедурой распознавания субъекта по его идентификатору
Аутентифика́ция (англ. authentication) — процедура проверки подлинности
Пароль – набор символов, вводимый пользователем или системой ввода информации для аутентификации пользователя.
Парольные схемы - наиболее распространенные схемы аутентификации пользователей.
Используют различные типы парольных схем:
простой пароль;
однократный пароль;
схема с нулевым разглашением;
по некоторому проверочному значению;
с использованием пароля для получения криптографического ключа.
Использование парольных схем имеет ряд недостатков:
Разглашение параметров учетной записи:
Возможен подбор пароля в интерактивном режиме;
Подсматривание;
Преднамеренная передача пароля его владельцем постороннему лицу;
Захват базы данных парольной схемы;
Перехват переданной информации по сети;
Хранение пароля в доступном месте;
Вмешательство в функционирование компонентов парольной системы:
Внедрение программных закладок;
Обнаружение и использование ошибок, допущенных при разработке системы;
Выведение парольной системы из строя.
Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
Обычно выделяют 3 группы методов аутентификации.
1) Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски "I have" ("у меня есть").
Такими объектами могут быть:
-смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и ОС, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.
-электронные USB-ключи (токен, USB-брелок) – это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных. Проще говоря токен — это подобие USB-флешки с защищенной памятью, где может храниться ценная информация: пароли, цифровые сертификаты, ключи шифрования и электронно-цифровые подписи.
2) Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация - "I know" ("я знаю"). Например, аутентификация по паролю.
3) Аутентификация пользователя по его собственным уникальным характеристикам - "I am" ("я есть"). Эти методы также называются биометрическими.
Биометрические средства идентификации и аутентификации пользователей.
Все биометрические системы работают практически по одинаковой схеме. Во-первых, система запоминает образец биометрической характеристики (запись). Затем полученная информация обрабатывается и преобразовывается в математический код. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной БД для идентификации личности.