- •Проблема защиты информации и подходы к ее решению.
- •Основные понятия защиты информации.
- •Угрозы безопасности и каналы утечки информации.
- •Классификация методов и средств защиты информации. Специфика программных средств.
- •Правовое обеспечение защиты информации.
- •Способы нарушения защищенности информации и защиты от него в компьютерных системах.
- •Организация базы учетных записей пользователей в ос Unix.
- •Организация базы учетных записей пользователей в ос Windows
- •Способы аутентификации пользователей.
- •Аутентификация пользователей на основе паролей.
- •Аутентификация пользователей на основе модели «рукопожатия».
- •Программно-аппаратная защита от локального несанкционированного доступа.
- •Аутентификация пользователей на основе их биометрических характеристик.
- •Протоколы прямой аутентификации.
- •Протоколы непрямой аутентификации.
- •Протокол ipSec.
- •Виртуальные частные сети.
- •Разграничение прав пользователей в ос Windows.
- •Дискреционное, мандатное и ролевое разграничение доступа к объектам.
- •Подсистема безопасности ос Windows.
- •Разграничение доступа к объектам в ос Windows.
- •Разграничение прав пользователей в ос Unix.
- •Разграничение доступа к объектам в ос Unix.
- •Аудит событий безопасности в ос Windows и Unix.
- •Средства защиты информации в глобальных компьютерных сетях.
- •Стандарты оценки безопасности компьютерных систем и информационных технологий.
- •Часть 1 «Введение и общая модель». Определение методологии оценки безопасности и требований безопасности (функциональных требований и требований доверия).
- •Часть 2 «Функциональные требования безопасности». Универсальный систематизированный каталог с возможностью добавления новых требований.
- •Часть 3 «Требования доверия к безопасности». Систематизированный каталог требований доверия и шкала оценочных уровней доверия (от 1 до 7).
- •Элементы теории чисел.
- •Способы симметричного шифрования.
- •Абсолютно стойкий шифр. Генерация, хранение и распространение ключей.
- •Криптографическая система des и ее модификации.
- •Криптографическая система гост 28147-89.
- •Применение и обзор современных симметричных криптосистем.
- •Принципы построения, свойства и применение асимметричных криптосистем.
- •Криптографическая система rsa.
- •Криптографические системы Диффи-Хеллмана, Эль-Гамаля и эллиптических кривых.
- •Электронная цифровая подпись и ее применение. Функции хеширования.
- •Протокол ssl.
- •Криптографический интерфейс приложений ос Windows.
- •Файловая система с шифрованием в ос Windows.
- •Компьютерная стеганография и ее применение.
- •Принципы построения систем защиты от копирования.
- •Защита инсталляционных дисков и установленного программного обеспечения.
- •Защита программных средств от изучения.
- •Вредоносные программы, их признаки и классификация.
- •Программные закладки и защита от них.
- •Методы обнаружения и удаления вредоносных программ.
-
Способы нарушения защищенности информации и защиты от него в компьютерных системах.
Основные способы несанкционированного доступа к информации в КС
-
непосредственное обращение к объекту;
-
создание программно-аппаратных средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием так называемых «люков»);
-
модификация средств защиты (например, внедрение программных закладок);
-
внедрение в аппаратные средства КС программных или аппаратных механизмов, нарушающих структуру и функции этих средств (например, путем загрузки на компьютере иной ОС).
Вспомогательные способы НСД к информации в КС
-
«ручной» или программный подбор паролей;
-
подключение к КС в момент кратковременного прекращения работы легального пользователя, не заблокировавшего свой терминал;
-
подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального удаленного пользователя;
-
выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем идентифицирующей информации;
-
создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легальный объект КС (например, один из ее серверов);
-
создание условий для возникновения в работе КС сбоев;
-
тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление уязвимостей в программных средствах защиты информации в КС, внедрение программных закладок.
Основные способы защиты от НСД к компьютерной информации
-
Аутентификация субъектов КС (пользователей и процессов);
-
авторизация субъектов (наделение их индивидуальным набором прав и привилегий в КС, включая права доступа к объектам с конфиденциальной информацией);
-
аудит всех потенциально опасных действий субъектов в КС (их учет и регистрация в спецжурнале).
Необходимость ведения регистрационной базы данных
Присвоение каждому пользователю КС уникального имени позволяет предоставить разным пользователям КС различный уровень прав в ней и дает возможность полного учета всех действий пользователя в системе в журнале аудита.
Типичная структура учетной записи в регистрационной базе данных
-
имя (идентификатор) пользователя IDi;
-
полное имя пользователя и его должность в организации Di;
-
случайное значение, генерируемое при регистрации пользователя в КС, Si, или относительный номер учетной записи RIDi;
-
аутентифицирующая пользователя информация Pi (например, хеш-значение его пароля);
-
информация о правах пользователя в КС Gi.
Причины использования Si (RIDi)
Применяются при вычислении хеш-значения пароля пользователя для:
-
усложнения подбора пароля по его хеш-значению;
-
предотвращения возможности одному пользователю получить полномочия другого при случайном совпадении их паролей.
Учетные записи групп
Для удобства назначения полномочий пользователям КС они могут объединяться в группы в соответствии с должностным положением пользователей в организации и (или) их принадлежностью одному из ее структурных подразделений.
Информация о группах пользователей также размещается в регистрационной базе данных КС.
Предопределенные учетные записи
Создаются автоматически при установке системы (их имена фиксированы, но в некоторых системах могу быть изменены).
Примерами являются учетные записи администратора (суперпользователя), группы администраторов, гостя (анонимного пользователя), а также учетные записи псевдопользователей.
Псевдопользователи
Учетные записи могут создаваться и для компонентов самой системы (ее ядра или отдельных служб).
Эти учетные записи не соответствуют пользователям-физическим лицам.
Доступ к регистрационной базе данных
Доступ к базе данных учетных записей КС как по чтению, так и по записи должен быть разрешен только привилегированному пользователю (администратору).
Если разрешен доступ по записи (без права добавления данных), то:
-
Пользователь i после входа в КС изменяет аутентифицирующую информацию в учетной записи пользователя j на аутентифицирующую информацию из своей учетной записи, сохраняя при этом «старую» информацию из учетной записи j.
-
Пользователь завершает сеанс работы с КС и возобновляет его уже как пользователь j.
-
Нарушитель применяет полномочия другого пользователя.
-
Нарушитель восстанавливает аутентифицирующую информацию в учетной записи j и завершает сеанс работы с КС
Если к регистрационной базе данных КС разрешен доступ по чтению, то нарушитель сможет скопировать ее на собственный носитель или просто в другой файл и осуществить попытку подбора аутентифицирующей информации (например, пароля) привилегированного пользователя.