- •Лекции по курсу:
- •4. Защита от нсд в ос 19
- •5. Криптографические методы защиты информации 25
- •6. Компьютерная стеганография и ее применение 38
- •1.2. Основные понятия
- •2. Комплексное обеспечение информационной безопасности
- •2.1. Угрозы безопасности и каналы утечки информации
- •2.2. Классификация методов защиты информации. Специфика программных методов
- •2.3. Правовое обеспечение информационной безопасности
- •3. Защита от нсд к информации в корпоративных системах
- •3.1. Способы нсд и защиты от него кс
- •3.2. Способы аутентификации пользователей кс
- •3.3. Организация базы учетных записей пользователей
- •3.4. Защита от локального нсд
- •3.4.1. Аутентификация на основе паролей
- •3.4.2. Аутентификация на основе модели рукопожатия
- •3.4.3. Программно-аппаратная защита от локального нсд
- •3.4.4. Аутентификация на основе биометрических характеристик
- •3.4.5. Аутентификация по клавиатурному «почерку»
- •3.4.6. Аутентификация по «росписи» мышью
- •3.5. Защита от удаленного нсд
- •3.5.1. Протоколы pap и s/Key
- •3.5.2. Протокол chap
- •3.5.3. Протокол Kerberos
- •3.5.4. Программно-аппаратная защита от удаленного нсд
- •3.6. Защита от несанкционированной загрузки ос
- •4. Защита от нсд в ос
- •4.1. Разграничение прав пользователей в открытых версиях ос Windows
- •4.2. Дискреционное и мандатное управление доступом к объектам. Классификации безопасности компьютерных систем и информационных технологий
- •4.2.1. Дискреционное управление доступом
- •4.2.2. Мандатное управление доступом
- •4.2.3. Классификации
- •4.3. Разграничение прав пользователей в защищенных версиях ос Windows
- •4.4. Разграничение прав доступа к объектам компьютерных систем
- •4.4.1. Разграничение прав доступа к объектам в защищенных версиях ос Windows
- •4.4.2. Аудит событий безопасности в защищенных версиях Windows
- •4.4.3. Разграничение прав пользователей в ос Unix
- •5. Криптографические методы защиты информации
- •5.1.Элементы теории чисел
- •5.2. Симметричные криптосистемы и их использование
- •5.2.1. Способы построения симметричных криптосистем
- •5.2.2. Абсолютно стойкий шифр. Генерация, хранение, распространение ключей
- •5.2.3. Криптосистема des и ее модификация
- •5.2.4. Криптосистема гост 28147-89
- •5.2.5. Использование симметричных криптосистем. Примеры
- •5.3. Асимметричные криптографические системы
- •5.3.1. Принципы создания и основные свойства асимметричных криптосистем
- •5.3.2. Асимметричная криптосистема rsa
- •5.3.3. Криптосистемы с открытым ключом
- •5.3.4. Применение асимметричной криптографии
- •5.3.4.1. Электронная цифровая подпись и ее применение
- •5.3.4.2. Эцп «вслепую» и ее применение
- •5.3.4.3. Протокол защищенного обмена данными
- •5.3.4.4.Программа pgp
- •5.3.4.5. Криптографический интерфейс приложений Windows
- •5.3.4.6. Шифрующая файловая система Windows
- •6. Компьютерная стеганография и ее применение
- •7. Защита от вредоносных программ
- •7.1. Вредоносные программы и их классификация
- •7.2. Загрузочные и файловые вирусы
- •7.3. Методы обнаружения и удаления вирусов
- •7.4. Программы-закладки и защита от них
- •8. Защита программ от копирования
- •8.1. Принципы создания система защиты от копирования
- •8.2. Защита инсталляционных дисков и настройка по на характеристики компьютера
- •8.3. Противодействие исследованию алгоритмов работы системы защиты от копирования
- •9. Защита информации в глобальных компьютерных сетях
3. Защита от нсд к информации в корпоративных системах
3.1. Способы нсд и защиты от него кс
классификация НСД
защита от НСД
Классификация НСД:
подбор паролей и др. аутентифицирующей информации, 2 способа:
полный перебор; если N – мощность алфавита, используемого в пароле, а K – max длина пароля, то среднее время взлома t*NK/2;
по специальному словарю;
использование подключения к системе в момент временного отсутствия легального пользователя;
подключение к линии связи в момент завершения сеанса легального пользователя;
«маскарад» – выдача себя за легального пользователя:
похищение носителя с ключевой информацией;
перехват пароля:
внедрение закладки, сохраняющей ввод с клавиатуры;
имитация панели для ввода имени и пароля;
социальная инженерия (мошенничество) – метод программируемого взаимоотношения с человеком для достижения цели;
мистификация;
аварийный способ – искусственное создание ситуации отказа в работе отдельных служб атакуемой системы. Цель – отключить средства защиты, нарушить политику безопасности (пример – алгоритм Чижова);
профессиональный взлом:
тщательный анализ ПО;
поиск уязвимостей в ПО ЗИ;
анализ выбранной политики безопасности;
попытка внедрения вредоносных программ.
Направления защиты от НСД:
аутентификация,
разграничение доступа (разграничение полномочий),
шифрование.
3.2. Способы аутентификации пользователей кс
Способы аутентификации:
пользователь знает что-то, что подтверждает его подлинность:
парольная аутентификация;
модель рукопожатия (запрос-ответ) – секретное правило преобразования информации;
пользователь что-то имеет, что подтверждает его подлинность:
материальные носители с ключевой информацией;
магнитные носители;
штрих-коды (со специальным составом, препятствующим сканированию);
touch memory;
token (маркер, брелок);
smart card;
пользователь и есть то лицо, за которое себя выдает (биометрические признаки):
характеристики работы пользователя за компьютером (скорость доступа, клавиатурный почерк, роспись мышью);
ввод специфической информации (решение некоторой логической задачи);
аутентификация на основе БЗ об уровне знаний, культуры пользователя (экспертная система аутентификации).
3.3. Организация базы учетных записей пользователей
понятия
Unix
Windows, алгоритмыWindows NTиLAN Manager
Пусть i – пользователь, RIDi – идентифицирующий номер пользователя (relational identifier), IDi – логическое имя учетное записи пользователя, Di – дескриптор, описатель учетной записи (связь логического имени с физическим лицом), Si – случайная величина.
Пусть Pi – некоторая аутентифицирующая информация (очевидно ее нельзя хранить в открытом виде), Fi – функция преобразования F(Pi, Si) (функция шифрования или хеширования Pi), Gi – информация о правах и полномочиях пользователей системы.
Unix
Учетные записи находятся в файле /etc/passwd (обычно открыт для чтения всем). В современных системах используется затенение (/etc/shadow, /etc/master.passwd). В Linux запрещен доступ по чтению.
Gi: UIDi или GIDi (для группы), home dir, shell
Si: 2-3 символа
Pi и Si используются в качестве начального ключа (вектора) для шифрования магической строки M (8 пробелов): EPi,Si(M) = F(Pi, Si). Для шифрования – алгоритм DES.
Windows NT/2000/XP Pro
База учетных записей: реестр (HKLM\SAM), файл Windows\System32\config\SAM.
Gi: набор битов, задающий привилегии пользователя. Случайные значения не поддерживаются. 2 функции F:
алгоритмWindows NT,
алгоритмLAN Manager.
Алгоритм Windows NT:
максимальная длина пароля – 14 символов,
преобразование в кодировкуUnicode,
применение функции хеширования: hi = H(Pi) (16 байт),
шифрование: F(Pi, Si) = ERIDi(hi) (алгоритм DES).
Алгоритм LAN Manager:
максимальная длина пароля – 14 символов,
преобразование буквенных символов пароля к верхнему регистру: Piup = Uppercase (Pi),
разделение на 2 7-байтовые половины: Piup = Pi1 || Pi2,
шифрование магической строкой M = “kgs!@#$%”: hi = EPi1(M) || EPi2(M),
F(Pi, Si) = ERIDi(hi).