- •Вопрос 1. Понятие национальной безопасности рф, национальные интересы России.
- •Вопрос 2. Информационная безопасность в системе национальной безопасности рф.
- •Вопрос 3. Основные принципы обеспечения инф безопасности рф.
- •Вопрос 4. Классификация национальных интересов в информационной сфере по принадлежности интересов.
- •Вопрос 5. Классификация национальных интересов в информационной сфере по важности интересов.
- •Вопрос 6. Понятие информационной безопасности.
- •Вопрос 7. Понятие целостности информации. Вопрос 8. Понятие доступности информации. Вопрос 9. Понятие конфиденциальности информации.
- •Вопрос 10. Понятие угрозы информационной безопасности.
- •Вопрос 11. Классификация угроз по характеру.
- •Вопрос 12. Классификация угроз по локализации источника.
- •Вопрос 13. Классификация угроз по цели реализации угрозы.
- •Вопрос 14. Понятие и классификация уязвимостей информации.
- •Вопрос 15. Классификация уязвимостей по степени риска.
- •Вопрос 16. Список стандартных названий общепринятых уязвимостей.
- •Вопрос 17. Понятие и классификация атак на информационную безопасность.
- •Вопрос 18.Локальные атаки.
- •Вопрос 19. Удаленные атаки.
- •Вопрос 20. Атаки на поток данных.
- •Вопрос 21. Методы обеспечения информационной безопасности в рф.
- •Вопрос 22. Правовые методы обеспечения информационной безопасности.
- •Вопрос 23. Организационно-технические методы обеспечения инф. Без.
- •Вопрос 24. Программно-аппаратные методы обеспечения инф.Безопасности.
- •Вопрос 25. Управление доступом к информации.
- •Вопрос 26. Аутентификация.
- •Вопрос 27. Идентификация.
- •Вопрос 28. Журнализация.
- •Вопрос 29. Парольные методы ограничения доступа к информации.
- •Модификация схемы простых паролей
- •Установление пользователем подлинности систем
- •Меры предосторожности при работе с паролями
- •Вопрос 30. Матрица полномочий.
- •Вопрос 31. Правовое регулирование информационной безопасности в сша
- •Вопрос 32. Государственные органы обеспечения национальной безопасности сша
- •Вопрос 33. Особенности подготовки кадров в области информационной безопасности в сша
- •Вопрос 34. Состояние проблемы информационной безопасности в странах ес
- •Вопрос 35. Системы защиты информации в Великобритании
- •Парламентский Комитет по разведке и безопасности Великобритании (Intelligence and Security Committee /isc/)
- •Вопрос 36. Системы защиты информации в Германии
- •Вопрос 37. Системы защиты информации во Франции
- •Вопрос 38. Системы защиты информации в Швеции
- •Вопрос 39. Законодательство в сфере информационной безопасности в кнр
- •Вопрос 40. Развитие международного сотрудничества в области информационной безопасности
- •Вопрос 41. Международные организации в области информационной безопасности
- •Вопрос 42. Правовое регулирование сети Интернет
Модификация схемы простых паролей
Модификация не должна приводить к излишней сложности и неудобству для среднего пользователя.
Выборка символов. При обращении пользователя к системе у него могут быть запрошены отдельные символы из пароля по выбору ЭВМ (которые меняются при каждой попытке доступа)
Пароль однократного использования. Пользователю выдается список из N паролей. Такие же N паролей хранятся в ЭВМ в зашифрованном виде. После использования пароля пользователь вычеркивает его из списка. Например,
AXY
AXY
ZZQ ZZQ
13J 13J
Если злоумышленник получил каким-либо образом AXY, система не будет реагировать ни на какой запрос с таким паролем, т.к. он уже был использован, и система ожидает следующий. Эта схема обеспечивает большую безопасность, но является более сложной и имеет ряд недостатков:
- пользователь должен помнить или иметь при себе весь список паролей и следить за текущим паролем;
- если встречается ошибка в процессе передачи, пользователь оказывается в затруднительном положении: он не знает, следует ли ему передать тот же самый пароль или послать следующий;
Метод «запрос-ответ». В этом случае в ЭВМ хранится и управляется ОС набор ответов на n стандартных и m ориентированных на пользователя вопросов. При обращении пользователя ОС случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Пользователь должен дать правильные ответы на все вопросы, чтобы получить разрешение на доступ к системе. Модификация этого метода предполагает изменение каждый раз одного или более вопросов, на которые пользователь давал ответ до этого.
Процедуры в режиме «рукопожатия» могут быть выполнены как между 2 ЭВМ, так и между пользователем и ЭВМ. Обеспечивают большую степень безопасности, но являются более сложными и требуют дополнительных затрат времени для пользователя. Здесь нужно найти компромисс между требуемой степенью безопасности и простотой использования.
Для установления подлинности ЭВМ выдает пользователю число, выбранное случайным образом, x. Пользователь преобразует его и отвечает значением tu (x). Информацией является не пароль, а преобразование tu, которое по линиям связи не передается.
Установление пользователем подлинности систем
Следует обратить внимание на то, что установление подлинности интерпретируется двояко: с одной стороны, система должна установить подлинность обратившегося к ней пароля, а с другой – пользователь доложен установить подлинность той системы, к которой он обратился. Это особенно важно, если используются каналы общего назначения.
Злоумышленник может подключиться к линии связи и сымитировать работу системы. Ничего не подозревающий пользователь сообщит информацию, включая и пароль.
Для установления подлинности системы применяются те же методы: парольные методы, криптографические преобразования и др.
К другим относится метод, состоящий в приспособлении для этих целей данных, выводимых ОС на печать (например, восклицательный знак в первой колонке вывода ОС), которые не могут быть смоделированы программой пользователя.
При использовании парольных методов (простого или однократного использования) ЭВМ, после того, как она установила подлинность пользователя, выводит на печать терминала пользователя установленный им пароль, который заранее должен быть передан в ЭВМ по административным безопасным каналам.