- •Проблема защиты информации и подходы к ее решению.
- •Основные понятия защиты информации.
- •Угрозы безопасности и каналы утечки информации.
- •Классификация методов и средств защиты информации. Специфика программных средств.
- •Правовое обеспечение защиты информации.
- •Способы нарушения защищенности информации и защиты от него в компьютерных системах.
- •Организация базы учетных записей пользователей в ос Unix.
- •Организация базы учетных записей пользователей в ос Windows
- •Способы аутентификации пользователей.
- •Аутентификация пользователей на основе паролей.
- •Аутентификация пользователей на основе модели «рукопожатия».
- •Программно-аппаратная защита от локального несанкционированного доступа.
- •Аутентификация пользователей на основе их биометрических характеристик.
- •Протоколы прямой аутентификации.
- •Протоколы непрямой аутентификации.
- •Протокол ipSec.
- •Виртуальные частные сети.
- •Разграничение прав пользователей в ос Windows.
- •Дискреционное, мандатное и ролевое разграничение доступа к объектам.
- •Подсистема безопасности ос Windows.
- •Разграничение доступа к объектам в ос Windows.
- •Разграничение прав пользователей в ос Unix.
- •Разграничение доступа к объектам в ос Unix.
- •Аудит событий безопасности в ос Windows и Unix.
- •Средства защиты информации в глобальных компьютерных сетях.
- •Стандарты оценки безопасности компьютерных систем и информационных технологий.
- •Часть 1 «Введение и общая модель». Определение методологии оценки безопасности и требований безопасности (функциональных требований и требований доверия).
- •Часть 2 «Функциональные требования безопасности». Универсальный систематизированный каталог с возможностью добавления новых требований.
- •Часть 3 «Требования доверия к безопасности». Систематизированный каталог требований доверия и шкала оценочных уровней доверия (от 1 до 7).
- •Элементы теории чисел.
- •Способы симметричного шифрования.
- •Абсолютно стойкий шифр. Генерация, хранение и распространение ключей.
- •Криптографическая система des и ее модификации.
- •Криптографическая система гост 28147-89.
- •Применение и обзор современных симметричных криптосистем.
- •Принципы построения, свойства и применение асимметричных криптосистем.
- •Криптографическая система rsa.
- •Криптографические системы Диффи-Хеллмана, Эль-Гамаля и эллиптических кривых.
- •Электронная цифровая подпись и ее применение. Функции хеширования.
- •Протокол ssl.
- •Криптографический интерфейс приложений ос Windows.
- •Файловая система с шифрованием в ос Windows.
- •Компьютерная стеганография и ее применение.
- •Принципы построения систем защиты от копирования.
- •Защита инсталляционных дисков и установленного программного обеспечения.
- •Защита программных средств от изучения.
- •Вредоносные программы, их признаки и классификация.
- •Программные закладки и защита от них.
- •Методы обнаружения и удаления вредоносных программ.
-
Аудит событий безопасности в ос Windows и Unix.
Назначение аудита безопасности
-
Определение истинных виновников компьютерных правонарушений и причин, способствовавших их возникновению.
-
Обнаружение подготовительных действий к совершению компьютерного правонарушения.
-
Немедленная реакция на событие, связанное с безопасностью компьютерной системы (в ОС Windows не реализовано).
Основные требования политики аудита
-
Ассоциирование пользователя с событием аудита;
-
обязательность аудита стандартного набора событий – идентификации и аутентификации пользователя, доступа к объектам, уничтожения объектов, действий привилегированного пользователя и др.;
-
наличие необходимого набора атрибутов записи журнала аудита – даты и времени события, логического имени инициировавшего событие пользователя, типа события, признака успешного или неудачного завершения вызвавшего событие действия, имени связанного с событием объекта;
-
возможность фильтрации записей журнала аудита;
-
поддержка и защита от несанкционированного доступа к журналу аудита.
Аудит безопасности в ОС Windows
-
Журнал аудита содержится в файле windows \ System32 \ Config \ secevent.evt, а доступ к нему осуществляется с помощью административной функции «Просмотр событий» Панели управления Windows.
Возможна регистрация следующих событий:
-
вход пользователей в систему;
-
доступ субъектов к объектам;
-
доступ к службе каталогов Active Directory;
-
изменение политики безопасности;
-
использование привилегий;
-
отслеживание процессов;
-
системные события;
-
события входа в систему;
-
управление учетными записями пользователей и групп;
-
доступ к глобальным системным объектам;
-
использование прав на архивацию и восстановление объектов.
-
Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита.
-
При аудите использования привилегий регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности). Следует отметить, что не все объективно опасные привилегии входят в этот список.
К системным событиям, которые могут регистрироваться в журнале аудита, относятся:
-
перезагрузка операционной системы;
-
завершение работы операционной системы;
-
загрузка пакета аутентификации;
-
запуск процесса входа (Winlogon);
-
сбой при регистрации события в журнале аудита;
-
очистка журнала аудита;
-
загрузка пакета оповещения об изменении в списке пользователей.
Другие параметры аудита (Windows 7 и старше)
-
Максимальный размер журнала аудита.
-
Реакция операционной системы на его переполнение:
-
затирать старые события при необходимости (реакция по умолчанию);
-
архивировать журнал при заполнении, не перезаписывать события;
-
не переписывать события (очистить журнал вручную).
-
Аудит доступа к объектам
-
Используется системный список контроля доступа SACL, содержимое которого формируется администратором системы.
-
Элементы ACE списка SACL имеют один и тот же тип и содержат заголовок ACE, маску регистрируемых в журнале аудита прав доступа и SID пользователя или группы, чьи попытки доступа к объекту должны регистрироваться (если в ACE не указан SID, то регистрируются попытки доступа к объекту всех пользователей).
Расширенная политика аудита (Windows 7 и старше)
Пример. Изменение аудита использования прав:
-
Использование прав, не затрагивающее конфиденциальные данные.
-
Использование прав, затрагивающее конфиденциальные данные.
-
Аудит других событий использования прав.
Пример. Изменение аудита доступа к объектам:
-
Файловой системы.
-
Общих папок.
-
Объектов ядра.
-
Реестра.
-
Диспетчера учетных записей безопасности.
-
Других событий доступа к объектам.
-
И другие параметры.
Администраторы и аудиторы
-
Для обеспечения безопасности информации в КС целесообразно разделить полномочия администраторов КС и аудиторов (пользователей с правами доступа к файлу аудита). Если этого не сделать, то возникнет ситуация, при которой установка параметров политики безопасности и проверка ее соблюдения сосредоточатся в одних руках.
-
В ОС Windows можно сделать так, что просматривать и очищать журнал аудита, а также управлять списками SACL объектов доступа смогут только члены группы аудиторов компьютерной системы (право «Управление аудитом и журналом безопасности»).
-
Но полномочия на изменение значений параметров политики аудита при этом сохранятся у членов группы администраторов компьютерной системы.
Аудит событий безопасности в ОС Unix
Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:
-
acct – регистрация команд, выполненных пользователем;
-
loginlog – регистрация неудачных попыток входа;
-
sulog – регистрация использования команды su;
-
wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;
-
security – сообщения подсистемы безопасности;
-
vold.log – регистрация ошибок внешних устройств и др.
-
Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.
-
В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.
-
Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).
Сообщение аудита в ОС Unix
-
имя программы, при выполнении которой было сгенерировано сообщение;
-
источник сообщения (модуль операционной системы);
-
приоритет (важность) сообщения;
-
содержание сообщения.
Параметры аудита в ОС Unix
Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:
-
селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);
-
описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).
Расширение аудита в ОС Linux
В ОС Linux, начиная с версии ядра 2.6, существует возможность аудита попыток доступа к файлам и выполнения системных вызовов (демон auditd). Основные дополнительные возможности этой службы:
-
Ротация файла аудита (его перезапись при переполнении).
-
Задание максимального размера файла аудита.
-
Аудит попыток доступа к файлам.
-
Утилиты для определения параметров аудита, фильтрации записей аудита, формирования отчетов на основе журналов аудита.