- •Лекции по курсу:
- •4. Защита от нсд в ос 19
- •5. Криптографические методы защиты информации 25
- •6. Компьютерная стеганография и ее применение 38
- •1.2. Основные понятия
- •2. Комплексное обеспечение информационной безопасности
- •2.1. Угрозы безопасности и каналы утечки информации
- •2.2. Классификация методов защиты информации. Специфика программных методов
- •2.3. Правовое обеспечение информационной безопасности
- •3. Защита от нсд к информации в корпоративных системах
- •3.1. Способы нсд и защиты от него кс
- •3.2. Способы аутентификации пользователей кс
- •3.3. Организация базы учетных записей пользователей
- •3.4. Защита от локального нсд
- •3.4.1. Аутентификация на основе паролей
- •3.4.2. Аутентификация на основе модели рукопожатия
- •3.4.3. Программно-аппаратная защита от локального нсд
- •3.4.4. Аутентификация на основе биометрических характеристик
- •3.4.5. Аутентификация по клавиатурному «почерку»
- •3.4.6. Аутентификация по «росписи» мышью
- •3.5. Защита от удаленного нсд
- •3.5.1. Протоколы pap и s/Key
- •3.5.2. Протокол chap
- •3.5.3. Протокол Kerberos
- •3.5.4. Программно-аппаратная защита от удаленного нсд
- •3.6. Защита от несанкционированной загрузки ос
- •4. Защита от нсд в ос
- •4.1. Разграничение прав пользователей в открытых версиях ос Windows
- •4.2. Дискреционное и мандатное управление доступом к объектам. Классификации безопасности компьютерных систем и информационных технологий
- •4.2.1. Дискреционное управление доступом
- •4.2.2. Мандатное управление доступом
- •4.2.3. Классификации
- •4.3. Разграничение прав пользователей в защищенных версиях ос Windows
- •4.4. Разграничение прав доступа к объектам компьютерных систем
- •4.4.1. Разграничение прав доступа к объектам в защищенных версиях ос Windows
- •4.4.2. Аудит событий безопасности в защищенных версиях Windows
- •4.4.3. Разграничение прав пользователей в ос Unix
- •5. Криптографические методы защиты информации
- •5.1.Элементы теории чисел
- •5.2. Симметричные криптосистемы и их использование
- •5.2.1. Способы построения симметричных криптосистем
- •5.2.2. Абсолютно стойкий шифр. Генерация, хранение, распространение ключей
- •5.2.3. Криптосистема des и ее модификация
- •5.2.4. Криптосистема гост 28147-89
- •5.2.5. Использование симметричных криптосистем. Примеры
- •5.3. Асимметричные криптографические системы
- •5.3.1. Принципы создания и основные свойства асимметричных криптосистем
- •5.3.2. Асимметричная криптосистема rsa
- •5.3.3. Криптосистемы с открытым ключом
- •5.3.4. Применение асимметричной криптографии
- •5.3.4.1. Электронная цифровая подпись и ее применение
- •5.3.4.2. Эцп «вслепую» и ее применение
- •5.3.4.3. Протокол защищенного обмена данными
- •5.3.4.4.Программа pgp
- •5.3.4.5. Криптографический интерфейс приложений Windows
- •5.3.4.6. Шифрующая файловая система Windows
- •6. Компьютерная стеганография и ее применение
- •7. Защита от вредоносных программ
- •7.1. Вредоносные программы и их классификация
- •7.2. Загрузочные и файловые вирусы
- •7.3. Методы обнаружения и удаления вирусов
- •7.4. Программы-закладки и защита от них
- •8. Защита программ от копирования
- •8.1. Принципы создания система защиты от копирования
- •8.2. Защита инсталляционных дисков и настройка по на характеристики компьютера
- •8.3. Противодействие исследованию алгоритмов работы системы защиты от копирования
- •9. Защита информации в глобальных компьютерных сетях
3.6. Защита от несанкционированной загрузки ос
Проще всего осуществляется на уровне BIOS Setup. Структура:
Standard
Advanced
…
Set User Password
Set Supervisor Password
Установить пароль на загрузку ОС: Standard\Password := System, max длина пароля – 8 символов.
+: простота и надежность
–: 1 пароль для всех пользователей, невозможность восстановления пароля, существование технических паролей
Обезопаситься от загрузки с несанкционированного носителя.
Установить Supervisor password; если установлен, то по паролю пользователя нельзя изменить настройки.
Защита от прерывания обычного хода загрузки: msdos.sys – [Options] BootKeys = 0.
4. Защита от нсд в ос
4.1. Разграничение прав пользователей в открытых версиях ос Windows
профиль пользователя
действия администратора
ограничения
проблемы
хранение ограничений
Открытыеверсии: Windows 9x/Me/XP Home Edition.Права пользователя здесь – профиль.
Профиль пользователя:
структура рабочего стола,
главное меню,
последние используемые документы,
…
ограничения прав,
пароль.
Пароль используется для защиты профиля учетной записи.
Действия администратора:
включить пароль для профиля,
зарегистрировать всех пользователей, которые могут работать на рабочей станции,
ограничить права отдельных учетных записей (редактор системных правил, System Policy Editor, poledit.exe).
Ограничения:
на уровне локального компьютера:
ограничения на выбираемый пароль (min длина, буквенно-цифровой пароль),
отмена кэширования паролей,
отмена общего доступа к ресурсам компьютера,
…
на уроне локального пользователя:
определение списка разрешенных к запуску программ,
удаление из главного меню потенциально опасных команд («Выполнить», «Найти», «Сеанс MS-DOS»),
запрет использования функций панели управления,
скрытие значков дисков,
запрет доступа к сети,
запрет изменения структуры рабочего стола и главного меню,
запрет редактирования реестра.
Существует пользователь, профиль которого загружается по умолчанию (если не вводить имя и пароль) – Default. Профиль нового пользователя основывается на профиле Default.
Проблемы:
все ограничения касаются только программ, разработанных Microsoft,
запрет на редактирование реестра относится только к программе regedit.exe.
Хранение ограничений
Информация сохраняется в реестре или в профиле пользователя:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ProfileList\ (HKCU).
Хранение ограничений в неодноранговой сети:
локально, в реестре,
в файле на сервере (например, config.pol в директории NetLogon).
4.2. Дискреционное и мандатное управление доступом к объектам. Классификации безопасности компьютерных систем и информационных технологий
4.2.1. Дискреционное управление доступом
Дискреционное управления доступом – Discretionary Access Control, DAC.
Каждый объект имеет владельца (по умолчанию – тот, кто создал объект).
Владелец имеет право управления доступом.
Управление доступом основано на матрице доступа, строки которой соответствуют субъектам доступа, столбцы – объектам, а элементами которой являются списки контроля доступа (DACL, Discretionary Access Control List).
В системе матрица может храниться «по столбцам» (DACL) или по строкам (права доступа пользователей).
Права доступа в Windows:
общие (generic) – для совместимости с ОС, построенных по стандарту POSIX: чтение, запись, выполнение;
стандартные (применимы к любому объекты): удаление, чтение, запись DACL;
специальные (привязаны к виду объекта).
Должен существовать привилегированный пользователь с полномочиями присвоения прав пользования любым объектам (присвоение только себе, а не другим).
Достоинство: самая хорошо изученная модель.
Недостатки:
нельзя контролировать утечку конфиденциальной информации;
статичность: например, после открытия документа права доступа не изменяются;
слабая защита от вредоносных программ.