- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Протокол обмена ключевой информацией ike (InternetKeyExchange)
Протокол обмена ключевой информацией IKE. Алгоритмическая независимость протоколов АН и ESP требует предварительного согласования набора применяемых алгоритмов и их параметров, поддерживаемых взаимодействующими сторонами. Эту функцию на фазе установления соединения в современной архитектуре IPsec реализует протокол обмена ключевой информацией IKE (Internet Key Exchange) [RFC 2407, 2408, 2409]. Протокол IKE принято рассматривать как расширение ISAKMP [RFC 2408], основой которого он является, хотя отдельные идеи заимствованы у Oakley (The Oakley Key Determination Protocol [RFC 2412]) и SKEME (A Versatile Secure Key Exchange Mechanism for Internet).
Согласно протоколу IKE, при формировании безопасного виртуального туннеля взаимодействующие стороны должны разработать общий контекст безопасности (Security Association, SA) и только затем использовать элементы этого контекста [31]. Контекст безопасности SA для любого протокола представляет собой согласованный набор параметров, определяющих услуги и механизмы, предоставляемые этим протоколом для защиты трафика в сеансе связи, копия которого доступна каждой из сотрудничающих сторон. Контекст безопасности по существу представляет собой общее согласованное состояние отправителя и получателя, которое, в частности, определяет предоставляемые услуги, используемые криптографические алгоритмы и ключи в сеансе. Таким образом, основной целью IKE является автоматическое обеспечение безопасности согласования контекста безопасности для семейства протоколов IPsec между участниками мультимедийного сеанса.
В работе IKE можно выделить две основные фазы (phases). На первой фазе работы IKE происходит согласование обязательных параметров контекста безопасности IKE (IKE SA), выполняется взаимная аутентификация участников, и устанавливаются сеансовые ключи. Контекст безопасности IKE SA определяет, как именно будет обеспечиваться защита последующего трафика. Для семейства IPsec такими контекстами безопасности являются ESP SA и AH SA (общим названием этих контекстов безопасности является IPsec SA).
После завершения первой фазы и установления контекста безопасности IKE SA между инициатором и ответчиком любой из участников обмена может инициировать вторую фазу. На втором этапе фактически создается контекст безопасности IKE SA, который определяет способ защиты трафика в сеансе. Обязательные параметры IKE SA (алгоритм шифрования, алгоритм вычисления хэш-функции, метод аутентификации и группа Диффи-Хеллмана, определяющая параметры ключевого материала для обмена Диффи-Хеллманом) составляют защитный набор. На втором этапе могут выполняться обмены быстрым режимом, новым групповым режимом и информационным режимом. Основное различие между первой и второй фазами состоит в том, что конечные узлы IKE-соединения аутентифицируются в течение первой фазы, в то время как вторая фаза аутентифицируется для пользователей или приложений. После завершения первой фазы и установления контекста безопасности IKE SA между отправителем и получателем любой из участников обмена может инициировать вторую фазу. Во второй фазе могут выполняться обмены быстрого режима, режима новой группы, а также информационного режима. В ходе второй фазы согласуются, модифицируются и удаляются контексты безопасности (которых может быть несколько) для протокола, использующего IKE.