- •Конспект лекций
- •Специальные материалы, способы защиты и кодирования информации
- •090900 «Информационная безопасность»
- •Содержание
- •Тема 9. Комплекс средств защиты информации в распределенных вычислительных сетях 114
- •Тема 10 Защита электронных документов 123
- •Тема 11 Методы и средства обеспечения целостности и достоверности используемого программного кода 195
- •Тема 12.Методы защиты программного обеспечения от внедрения на этапе его эксплуатации и сопровождения программных закладок 227
- •Тема 13 Основные подходы к защите программ от несанкционированного копирования 232
- •Тема 1. Основные понятия в области информационной безопасности
- •Тема 2. Направления, методы и средства обеспечения информационной безопасности
- •2.1. Основные направления обеспечения информационной безопасности
- •2.2. Классификация методов и средств защиты информации
- •2.1. Основные направления обеспечения информационной безопасности
- •2.2. Классификация методов и средств защиты информации
- •Тема 3. Основы законодательства России по вопросам защиты информации
- •Тема 4. Разработка политики безопасности
- •Тема 5. Проведение анализа риска
- •5.1. Основные этапы анализа риска
- •5.2. Предварительный этап анализа риска
- •5.3. Идентификация активов
- •Основные активы информационной системы предприятия
- •5.4. Анализ угроз
- •5.5. Оценка рисков
- •Логарифмическая частота угрозы
- •5.6. Выбор и проверка защитных мер
- •Тема 6 планирование обеспечения информационной безопасности
- •6.1. План защиты
- •6.2. План обеспечения непрерывной работы и восстановления функционирования автоматизированной системы
- •6.3. Реализация планов
- •6.1. План защиты
- •6.2. План обеспечения непрерывной работы и восстановления функционирования автоматизированной системы
- •Восстановительные работы.
- •6.2.1. Меры реагирования на нарушения
- •6.2.2. Восстановительные работы
- •6.3. Реализация планов
- •Тема 7. Механизмы обеспечения информационной безопасности
- •Основные механизмы и средства интегрированной системы информационной безопасности предприятия
- •7.1. Идентификация и аутентификация
- •7.2. Идентификация и аутентификация
- •Примеры методов биометрии
- •7.3. Разграничение доступа
- •Фрагмент матрицы установления полномочий
- •7.4. Регистрация и аудит
- •7.5. Криптография
- •7.7. Экранирование
- •Типы межсетевых экранов и уровни модели iso osi
- •Экран как средство разграничения доступа
- •Тема 8. Антивирусные средства
- •8.1. Общая характеристика и классификация компьютерных вирусов
- •8.2. Общая характеристика средств нейтрализации компьютерных вирусов
- •8.3. Классификация методов защиты откомпьютерных вирусов
- •8.4. Уровни и методы антивирусной защиты
- •8.5. Обзор современных антивирусных средств
- •8.5.1. Комплект антивирусных средств dsav
- •8.5.2. Интегрированная антивирусная система avp
- •Тема 9. Комплекс средств защиты информации в распределенных вычислительных сетях
- •Тема 10 Защита электронных документов
- •10.1. Основы организации защиты электронных документов
- •10.1.Основные мероприятия по обеспечению защиты электронных документов
- •10.2. Технология применения цифровой подписи.
- •10.2.1 Общая организация цифровой подписи
- •10.2.2. Архитектура алгоритмов цп
- •10.2.3 Постановка подписи
- •10.2.4. Проверка подписи
- •10.2.5. Критерии (показатели эффективности)
- •10.2.6. Нападения
- •10.3. Особенности применения цифровой подписи
- •10.4. Защита электронных платежей
- •10.5. Анализ нарушений в системе электронных расчетов и платежей
- •10.6. Основы криптографической защиты электронных документов
- •10. 6.1. Основные требования к криптосистемам
- •10.6.2. Основные требования к криптосистемам
- •10.6.3. Реализация криптографических методов
- •Тема 11 Методы и средства обеспечения целостности и достоверности используемого программного кода
- •11.1. Методы защиты программ от несанкционированных изменений
- •11.2. Краткое описание криптографических средств контроля целостности и достоверности программ
- •11.3. Краткое описание основных криптографических методов защиты данных
- •11.1. Методы защиты программ от несанкционированных изменений
- •11.2. Краткое описание криптографических средств контроля целостности и достоверности программ
- •11.3. Краткое описание основных криптографических методов защиты данных
- •Открытый ключевой обмен Диффи-Хеллмана и криптосистемы с открытым ключом
- •Электронная цифровая подпись
- •Криптографические протоколы
- •Тема 12.Методы защиты программного обеспечения от внедрения на этапе его эксплуатации и сопровождения программных закладок
- •12.1.Классификация средств исследования программ
- •12.2. Методы защиты программ от исследования
- •12.3.Анализ программ на этапе их эксплуатации
- •12.1. Классификация средств исследования программ
- •12.2. Методы защиты программ от исследования
- •12.3. Анализ программ на этапе их эксплуатации
- •Тема 13 Основные подходы к защите программ от несанкционированного копирования
- •13.1. Основные функции средств защиты от копирования
- •13.3. Методы противодействия динамическим способам снятия защиты программ от копирования
- •13.1. Основные функции средств защиты от копирования
- •13.2. Основные методы защиты программ откопирования
- •Метод привязки к идентификатору
- •Методы, основанные на работа с переходами и стеком
- •Манипуляции с кодом программы
- •13.3. Методы противодействия динамическим способам снятия защиты программ от копирования
- •Библиографический список Основная литература
- •Дополнительная литература
Типы межсетевых экранов и уровни модели iso osi
№ |
Уровень модели OSI |
Протоколы Интернет |
Тип межсетевого экрана |
|
Прикладной |
Telnet, FTP, DNS, NFS, PING, SMTP, HTTP |
Шлюз прикладного уровня Межсетевой экран экспертного уровня |
|
Представления данных |
|
|
|
|
Сеансовый |
TCP, UDP |
Шлюз сеансового уровня |
|
|
Транспортный |
TCP, UDP |
|
|
|
Сетевой |
IP, ICMP |
Межсетевой экран с фильтрацией пакетов |
|
|
Канальный |
|
|
|
|
Физический |
|
|
1. Межсетевые экраны с фильтрацией пакетов (packet-filtering firewall) представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их с сконфигурированной таблицей правил.
Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным недостатком является их уязвимость для IP-спуфинга - замены адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
2. Шлюзы сеансового уровня (circuit-level gateway) контролируют допустимость сеанса связи. Они следят за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние IP-адреса, т.е. исключают IP-спуфинг. Однако, т.к. системы контролируют пакеты только на сеансовом уровне, то и отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
3. Шлюзы прикладного уровня (application-level gateway) проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип брандмауэра, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб Internet (HTTP, FTP, telnet и т.д.) и служат для проверки сетевых пакетов на наличие достоверных данных. Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Internet из-за узости каналов связи, но существенно при работе во внутренней сети - intranet. К недостаткам можно добавить необходимость (а значит и дополнительные временные и экономические затраты) в разработке новых программ-посредников при внедрении новой службы Internet.
4. Межсетевые экраны экспертного уровня (stateful inspection firewall) сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что, теоретически, должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают прямое соединение между авторизованным клиентом и внешним хостом, то они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остаются вопрос: обеспечивают они меньшую безопасность АС по сравнению со шлюзами прикладного уровня или нет.