- •6. Причины взлома систем защиты информации (то, что выделено курсивом учить не обязательно, просто для пояснения)
- •1. Отсутствие возможности контроля со стороны руководства
- •2. Нехватка специальных знаний
- •3. Низкая квалификация программистов
- •4. Пренебрежение защитой со стороны руководства
- •5. Отсутствие энтузиазма у программистов
- •7. Безопасность в открытых сетях
- •8. Виды криптографического закрытия информации - два способа шифрования.
- •9. Симметричные криптосистемы. Шифрование и дешифрование.
- •10. Стандарт асиметричного шифрования rsa. Общая схема алгоритма.
- •11. Электронная подпись в системах с открытым ключом. Основные принципы
- •12. Шифрование, кодирование и сжатие информации (на примере фрактальных алгоритмов сжатия – только принцип).
- •13. Функции систем защиты информации от несанкционированного доступа.
- •14. Идентификация и аутентификация пользователя.
- •15. Биометрические методы идентификации и аутентификации пользователя.
- •18. Управление доступом на основе ролей.
- •19. Шифрование сообщений и больших потоков данных.
- •22. Принципы построения политики информационной безопасности.
- •23. Нормативные документы и международные стандарты информационной безопасности.
- •24. Способы несанкционированного доступа к информации в компьютерных сетях.
- •1. По принципу несанкционированного доступа:
- •2. По положению источника несанкционированного доступа:
- •4. По типу используемых слабостей системы информационно-компьютерной безопасности:
- •5. По пути несанкционированного доступа:
- •6. По текущему месту расположения конечного объекта атаки:
- •7. По непосредственному объекту атаки:
- •26. Способы противодействия несанкционированному межсетевому доступу. Функции межсетевого экранирования. Фильтрация трафика
- •27. Основные схемы сетевой защиты на базе межсетевых экранов. Применение межсетевых экранов для организации защищенных виртуальных сетей. Vpn
- •28. Защита от вирусов и программных закладок. Организационно-технические меры. Общие способы защиты.
- •29. Программы с потенциально опасными последствиями
- •30. Компьютерные вирусы. Классификация вирусов по способу заражения среды обитания.
- •31. Компьютерные атаки. Определение. Модели.
- •32. Этапы реализации компьютерной атаки. Этап - сбор информации.
- •33. Этапы реализации компьютерной атаки. Этап - реализация и завершение.
- •34. Основные задачи и дополнительные функции средств обнаружения компьютерных атак.
- •35. Защита информации в беспроводных сетях на базе решений Cisco systems.
- •36.Порядок проведения сертификации средств защиты информации. Шаг 1. Оформление Заявки на сертификацию
- •Шаг 2. Оформление Решения на проведение сертификации
- •Шаг 3. Заключение Договора на проведение сертификационных испытаний
- •Шаг 4. Подготовка исходных данных
- •Шаг 5. Проведение сертификационных испытаний
- •Шаг 6. Оформление Протоколов сертификационных испытаний и Технических заключений
- •Шаг 7. Заключение Договора о проведении экспертизы результатов сертификационных испытаний в Органе по сертификации
- •Шаг 8. Экспертиза результатов сертификационных испытаний
- •Шаг 9. Оформление Сертификата
- •37.Аудит. Основные положения аудита информационной безопасности.
- •38.Виды аудита информационной безопасности
- •39.Аудит выделенных помещений.
18. Управление доступом на основе ролей.
Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа.
Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.
Роли создаются внутри организации для различных рабочих функций. Определенным ролям присваиваются полномочия (permissions) для выполнения тех или иных операций. Штатным сотрудникам (или другим пользователям системы) назначаются фиксированные роли, через которые они получают соответствующие привилегии для выполнения фиксированных системных функций.
19. Шифрование сообщений и больших потоков данных.
Наиболее распространённым является потоковое шифрование данных. Если в описанных ранее криптосистемах предполагалось, что на входе имеется некоторое конечное сообщение, к которому и применяется криптографический алгоритм, то в системах с потоковым шифрованием принцип другой.
Система защиты не ждет, когда закончится передаваемое сообщение, а сразу же осуществляет его шифрование и передачу.
Потоковое шифрование данных
Наиболее очевидным является побитовое сложение входящей последовательности (сообщения) с некоторым бесконечным или периодическим ключом.
Другим, иногда более эффективным методом потокового шифрования является шифрование блоками. Т.е. накапливается фиксированный объем информации (блок), а затем преобразованный некоторым криптографическим методом передаётся в канал связи.
20. Общее представление о классах безопасности, определенных в "Оранжевой книге". Согласно TCSEC, для оценивания компьютерных систем выделено четыре основных группы безопасности, которые в свою очередь делятся на классы безопасности:
- группа Д - Minimal Protection (минимальная защита) - объединяет компьютерные системы, не удовлетворяющие требованиям безопасности высших классов. В данном случае группа и класс совпадают;
- группа С - Discretionary Protection (избирательная защита) - объединяет системы, обеспечивающие набор средств защиты, применяемых пользователем, включая средства общего контроля и учета субъектов и их действий. Эта группа имеет два класса:
1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) - объединяет системы с разделением пользователей и данных;
2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет системы, обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность системы и изоляцию данных.
Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства обороны США, должны как минимум иметь рейтинг безопасности С2.
- группа В - Mandatory Protection (полномочная защита) - имеет три класса:
1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет системы, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее определенную модель безопасности, поддерживающие метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;
2) класс В2 - Structured Protection (структурированная защита) - объединяет системы, в которых реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. Системы класса В2 считаются "относительно неуязвимыми" для несанкционированного доступа;
3) класс В3 - Security Domains (области безопасности) - объединяет системы, имеющие специальные комплексы безопасности. В системах этого класса должен быть механизм регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. Системы этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. Системы этого класса считаются устойчивыми к несанкционированному доступу.
- группа А - Verified Protection (проверяемая защита) - объединяет системы, характерные тем, что для проверки реализованных в системе средств защиты обрабатываемой или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения систем. Выделен единственный класс:
1) класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой систем этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения системы. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.
Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:
уровень C — произвольное управление доступом;
уровень B — принудительное управление доступом;
уровень A — верифицируемая безопасность.
21. Безопасность современных сетевых технологий. Политика информационной безопасности – требования и критерии.
Политика безопасности- это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причем, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.
Политики безопасности должны быть подробными, четко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:
Мандатная политикабезопасности— обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
Маркирование— системы предназначенные для обязательной мандатной политики безопасности должны предоставлять и сохранять целостность меток управления доступом и хранить метки, если объект перемещён.
Дискреционная политика безопасности— предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.