- •1) Методы и средства защиты компьютерной информации
- •2) Предмет защиты информации.
- •3) По уровню важности информация подразделяется на:
- •5) Машинное представление информации, как объекта защиты.
- •6) Информация, как объект права собственности
- •7) Информация, как коммерческая тайна.
- •9) Этапы эволюции систем обработки информации. Особенности данных систем.
- •10) Под системностью, как составной частью скп, понимается:
- •11) Требования к ксзи в вс
- •12) Эволюция информационно-вычислительных систем и технологии обработки информации:
- •13) Этапы движения и преобразования информации в ивс. Цикл обращения информации в ивс.
- •14) Объекты защиты информации. Классификация объектов защиты информации (ози).
- •15) Концептуальная модель безопасности информации (кмби)
- •16) Основные угрозы безопасности данных в кс.
- •17) Основные каналы утечки инф в вс
- •18) Классификация каналов нсд в зависимости от физической природы путей переноса информации.
- •19) Основные способы нсд к конфиденциальной информацией через техническое средство ивс. Способы подключения.
- •20) Возможные уязвимые места ивс и асод, построенных на их базе.
- •21) Методы и сзд или и. Классификация.
- •22) Организационные сзи в современных вс и асод.
- •23) Организационные мероприятия зи и их хар-ки в соврем вс и асод.
- •24) Физические средства защиты информации в вс и асод. Основные свойства и особенности применения.
- •25) Аппаратные сз. Осн особ-сти применения.
- •26) Программные сз. Осн особ-сти применения.
- •27) Криптографические сзи в вс и асод. Осн понятия и особ-сти.
- •28) Криптосистемы с секретными ключами. Общие принципы построения симметричных криптосистем.
- •29) Примеры станд ш-я д-х. Стандарт шифрования des. Подмн-во станд-тов, построенных на базе des.
- •33) Дискреционный метод д-па к инф в вс. Основные особ-сти, дост-ва и нед-ки.
- •34)Мандатный метод д-па к инф в вс. Основные особ-сти, дост-ва и нед-ки.
- •35) Разделение привилегий на доступ.
- •37) Идентификация и установление подлинности польз-лей в вс.
- •38) Идентификация и установление подлинности технических систем.
- •40) Структура алгоритма типич проц-ры идент-ции и аутен-ции польз-ля.
- •41) Идентификация и установление подлинности информации на средствах ее отображения и печати.
- •42) Модель кс и вс с безопасной обработкой информации.
- •43) Концептуальные основы построения защиты информации от нсд в вс.Возмож каналы нсд. Классиф-я.
- •61) Программно-аппаратный комплекс зд Менует 2000.Осн хар-ки.
- •66) Основные треб-я рд гдк, Предъявл-ые к ас по классам з-сти.
43) Концептуальные основы построения защиты информации от нсд в вс.Возмож каналы нсд. Классиф-я.
В любой системе и в том числе в системе, удовлетворяющей модели с безопасной обработкой информации, имеется некоторое множество возможных каналов НСД (ВК НСД)
Для построения ЗИ желательно на каждой ВК НСД или сразу на нескольких установить соответствующую преграду. Чем больше количество ВК НСД перекрыто средствами защиты, то
1) выше вероятность непреодоления данной системы защиты
2) система безопасности имеет более высокий уровень.
В реальной ВС структура система ЗИ бывает:
1. многозвеновая
2. многоуровневая
Количество перекрываемых ВК НСД во многом зависит от квалификации нарушителя.
ВК НСД может классифицировать по классам:
1. все ВК НСД возможные в данной ВС на текущий момент
2. все ВК НСД, кроме побочного ЭМ излучения и машинных носителей с остатками информации, подлежащие защите специалистами криптографическими методами.
3.*терминалы пользователей (рабочие станции)
* аппаратура регистрации, документирования и отображения информации
* машинные и бумажные носители информации
* средства загрузки ПО.
* технологические пульты и органы управления
* внутренний монтаж аппаратуры
* линии связи между аппаратными средствами
4* терминалы пользователей
* бумажные и машинные носители
* средства загрузки ПО
ВК НСД делятся на 2 вида:
I. контролируемые ВК НСД
II. неконтролируемые ВК НСД
К ним относятся:
I. *терминалы пользователей и рабочих станций
* средства отображения и документирования информации
* средства загрузки ПО
* пульты и органы управления
* внутренний монтаж аппаратуры
* ПЭМИ
* побочные наводки информации в сетях электропитания, заземление аппаратуры, вспомогательных и посторонних коммуникаций, размещенных вблизи аппаратуры ВС.
Примечание: В случае ПЭМИ и наводках информации они относятся к классу контролируемых ВК НСД, если уровень опасного сигнала не выходит за пределы контролируемого зоны объекта размещения ВС. Уровень этого сигнала периодически измеряется в пределах и за пределами этой зоны.
Вывод: В соответствии с моделью защиты ВС, удовлетворяющий требованиям информационной безопасности, средства защиты, перекрывающие ВК НСД, образуют виртуальный контролируемый защитный контур.
II.* машин, носители ПО и информации, выносимые за пределы ВС
* долговременное ЗУ с остатками информации, выносимыми за пределы ВС
* внешние каналы связи
* мусорная корзина
Вывод: Средства защиты, перекрывающие перечисленные каналы образуют виртуальный неконтролируемый защитный контур.
С учетом большого количества пользователей, имеющих, как правило, доступ к рабочим станциям и терминалам, а также информации внутри ВС, требуется создание встроенной системы контроля и разграничения доступа.
С целью замыкания контура защиты из нескольких различных по исполнению преград недостаточно только перекрытия всех ВК НСД. Дополнительно требуются обеспечение их взаимодействия между собой, т.е. объединения в единый постоянно действующий механизм
44) Порядок проектирования и разработки системы ЗИ в ВС.
Этапы:
1. Анализ заданных требований к ИВС или АСОД на предмет определения перечня структуры динамики стоимости обрабатываемых данных, подлежащих защите
2. Выбор модели по 566ведения потенциал нарушителя.
3. Выявление модели поведения потенциального нарушителя.
3. Выявление в данной ИВС или АСОД макимально возможного количества ВК НСД в соответствии с моделью поведения потенциального нарушителя.
4. Анализ выявленных ВК НСД и выбор готовых или разработка новых средств защиты, способных их перекрыть с заданной прочностью.
5. Осуществляется качественная и количественная оценка «прочности» каждого из применяемых средств защиты.
6. Осуществляется проверка возможности адаптации средств защиты в разрабатываемую АСОД или ИВС.
7. Создание в разрабатываемой ИВС или АСОД средств централизованного управления и контроля.
8. Количественная и качественная оценка прочности системы защиты в случае НСД с отдельными показателями по контролируемым и неконтролируемым ВК НСД.
Следствие: Предложенный подход к принципа построения СЗИ подчеркивает ряд принципиальных средств предмета защиты, потенциальных угроз, защитных, преград , которые в отличие от используемых раннее концепций, должны учитываться при создании эффективной СЗИ.
Свойства:
1) информация – есть объект права собственности, следовательно подлежит защите от НСД
2) время жизни (жизненный цикл) информации, как объекта защиты.
3) разные источники места и время приложения случайных и преднамеренных НСД
4) наличие достаточно простой модели поведения потенциального нарушителя
5) степень охвата ВС функциональным контролем и средствами повышения достоверности информации, определяющая вероятность появления случайных НСД.
6) ВК НСД к информации.
7) Степень замыкания преграды вокруг предмета защиты, определяющая вероятность ее обхода нарушителем
8) Деление ВК НСД на контролируемые и неконтролируемы
9) Зависимость прочности преграды, обладающей способностью контроля НСД от способности преграды к своевременному обнаружению и блокировки НСД.
60) Сис-ма разграничения д-па к инф в ВС. Dallas Lock. Осн. хар-ки.
Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде WINDOWS 2000, WINDOWS ХР.
Система «Dallas Lock 7.0» представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов.
СЗИ НСД Dallas Lock 7.0 (в дальнейшем система защиты, СЗИ) обеспечивает
• защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
• разграничение полномочий пользователей по доступу к ресурсам файловой системы.
Ограничения
1) При наличии на компьютере нескольких дисков операционная система и СЗИ должны быть установлены на диск С:.
2) Не допускается инсталляция СЗИ в каталоги, содержащие в имени русские символы.
3) Для инсталляции и активации СЗИ необходимо обладать правами администратора.
4) На время активации и деактивации СЗИ необходимо отключать антивирусную защиту в BIOS компьютера и программные антивирусные средства.
Система запрещает посторонним лицам доступ к ресурсам компьютера и позволяет разграничить полномочия ПОЛЬЗОВАТЕЛЕЙ при работе на компьютере.
Запрос пароля при входе на ПЭВМ инициируется до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля.
Число зарегистрированных пользователей на каждом защищенном компьютере ограничивается размером свободного дискового пространства и может достигать максимального значения 8192.
Возможно ограничение круга доступных объектов (дисков, папок и файлов) компьютера.
Обеспечивается ограничение доступа ПОЛЬЗОВАТЕЛЕЙ к компьютеру по дате.
Возможно назначить пользователю дату начала и окончания работы на защищенном компьютере.
Обеспечивается ограничение доступа ПОЛЬЗОВАТЕЛЕЙ к компьютеру по времени.
Таймер компьютера может быть защищен от вмешательства ПОЛЬЗОВАТЕЛЕЙ.
В электронных журналах фиксируются действия ПОЛЬЗОВАТЕЛЕЙ по работе на компьютере
Пользователи могут самостоятельно менять личные пароли для входа на компьютер.
Возможно запретить пользователю самостоятельно менять пароль входа.
Система позволяет осуществлять удаленное администрирование.