- •Вопросы к экзамену по оиБвИс
- •Второй блок
- •Каково место информационной безопасности в системе национальной безопасности Российской Федерации?
- •Сформулируйте основные положения доктрины информационной безопасности рф.
- •Каковы основные цели защиты информации?
- •Каковы основные задачи в области информационной безопасности?
- •Какова структура государственной системы защиты информации?
- •Кто несет ответственность за нарушение режима защиты информации?
- •Каковы функции руководителей предприятий при организации защиты информации?
- •Каковы основные функции фстэк?
- •Покажите роль различных министерств и ведомств в вопросах защиты информации.
- •1. Введение в этический хакинг, определение, основные цели, основные принципы.
- •2. Понимание кибератак и уязвимостей, природа кибератак, уязвимости и эксплойты.
- •3. Роль технических навыков в этичном хакерстве, примеры кибератак.
- •Понятие аудита безопасности ис, определение, цели, порядок проведения аудита ис. Стандарты безопасности при проведении аудита.
- •4 Лекция
- •Аудит информационной безопасности (иб) систем ip-телефонии. Методы аудита иб систем ip-телефонии. Нормативная база. Инструментарий аудита иб систем ip-телефонии.
- •Политика информационной безопасности. Системное содержание политики информационной безопасности Итерационный процесс разработки и реализации политики иб.
- •Структура политики информационной безопасности организации. Политика удаленного доступа. Процедура реагирования на события. Процедура управления конфигурацией.
- •Разработка политики безопасности организации. Основные требования к Политике безопасности. Схема разработки политики безопасности. Компоненты архитектуры безопасности.
- •Принципы обеспечения безопасности периметра сети телекоммуникационной системы.
- •Регулирование правил работы скуд. Нормативные документы. Рекомендации. Средства. Аудит.
- •Регулирование правил удаленного доступа средствами vpn. Законодательные нормы. Рекомендации. Средства.
- •Контроль безопасности конечных устройств. Методы. Средства. Правила. Угрозы.
- •Контроль безопасности ip-телефонии. Угрозы. Методы защиты. Средства. Рекомендации.
- •Роль стандартов информационной безопасности. Потребители. Производители. Эксперты по квалификации и специалисты по сертификации.
- •Принципы построения Государственных стандартов в области иб рф. Приоритет экономических факторов. Открытость проектирования. Юридическая значимость коммерческой информации.
- •Российские стандарты, регулирующие иб.
- •Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408.
- •Часть 1: Концептуальные основы и методология оценки.
- •Часть 2: Безопасностные функциональные требования.
- •Часть 3: Требования к процессу оценки.
- •Оранжевая книга. Международный стандарт iso/iec 15408. Критерии оценки безопасности информационных систем.
- •Стандарты iso/iec 17799:2002 (bs 7799:2000), Стандарт iso/iec 27001.
- •Стандарты для беспроводных сетей. Стандарт ieee 802.11. Стандарт ieee 802.11b. Стандарт ieee 802.11a. Стандарт ieee 802.11g. Стандарт ieee 802.11i.
- •Протоколы ssl, ipSec, set, pki.
- •Угрозы информационной безопасности в информационных системах. Задача обеспечения информационной безопасности ис.
- •Что относится к технологиям информационной защиты? Каковы цели средств информационного оружия?
- •Основные понятия информационной безопасности. Основные составляющие информационной безопасности.
- •Взаимодействие основных субъектов и объектов обеспечения информационной безопасности, и определения.
- •Определение политики безопасности по гост р исо/мэк 15408-1-2012. Понятия информационной безопасности и их взаимосвязь.
- •Лекция 1
- •Основные понятия защиты информации
- •Угрозы информационной безопасности в информационных системах, определение анализ и классификация угроз информационной безопасности
- •Классификация возможных угроз информационной безопасности.
- •Основные определения и критерии, угрозы целостности и конфиденциальности.
- •Какие цепочки цепочек обработки пакетов существуют в Dionis-nx? Какова их основная задача?
- •Что определяет порядок расположения правил в списке? в каком порядке система просматривает список правил?
- •Какой командой удаляется правило из списка?
- •Вспомните, по каким параметрам осуществляется фильтрация iр-датаграмм в Dionis-nx?
- •Можно ли заблокировать удаленный доступ к Dionis-nx по протоколу ssh при помощи списка доступа на этом Dionis-nx?
- •Какой трафик и почему будет заблокирован при установке списка доступа следующего содержания на вход интерфейса?
- •Какие типы nat используются в Dionis-nx? Какова их основная задача?
- •Ответы по первому блоку лаба 1
- •2. Что должен содержать аттестат соответствия?
- •3. Назовите порядок проведения аттестации объектов информатизации по требованиям безопасности информации.
- •4. Какие документы предоставляет заявитель для проведения испытаний органу по аттестации?
- •5. Какие функции осуществляет фстэк в рамках системы аттестации?
- •2. Каким документом определяются требования к защите персональных данных?
- •1) Структура нормативных документов предприятия.
- •2) Какой документ по защите информации является первичным нормативным актов на предприятии?
- •3) Законы, регулирующие порядок работы с конфиденциальной информаицей.
- •4) Что регулирует закон об архивном деле?
- •5) Что регулирует Федеральный закон «о защите персональных данных?
- •6) Что регулирует Федеральный закон «о коммерческой тайне»?
- •7) Что регулирует Федеральный закон «о связи»?
- •8) Общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации.
- •2. Какая главная цель создания сзи?
- •4. Какие исходные данные используются для составления плана по улучшению защищённости объекта информатизации?
- •5. Какими документами должен руководствоваться специалист по защите информации при составлении плана мероприятий по улучшению защищённости объекта информатизации?
- •1) Основные компоненты подсистемы защиты базы данных.
- •2) Какие наиболее общие подходы к вопросу обеспечения безопасности данных поддерживаются в современных субд?
- •3) Наиболее известные современные субд.
- •4) Алгоритм проверки аутентификации пользователя в mssqlServer.
- •5) Для чего используется механизм разграничения доступа на уровне субд?
- •1) Что называется телекоммуникационной инфраструктурой предприятия?
- •2) Основные уровни модели osi, используемые для защиты телекоммуникационной инфраструктуры.
- •3) Основные компоненты защищённой телекоммуникационной инфраструктуры.
- •4) Основные методы защиты телекоммуникационной инфраструктуры на канальном уровне.
- •5) Основные методы защиты телекоммуникационной инфраструктуры на сетевом уровне.
- •1) Что называется системой управления информационной безопасностью?
- •2) Какие стадии включает в себя процесс контроля целостности системы защиты информации?
- •3) Основные компоненты системы управления информационной безопасностью.
- •4) Основные методы защиты систем управления информационной безопасностью.
- •1) Порядок проведения испытаний системы защиты.
- •2) Порядок разработки методики испытаний.
- •3) Какой нормативный документ устанавливает 7 классов защищенности средств защиты информации?
- •4) Порядок тестирования функций мэ.
- •5) Каким рядом заметных достоинств обладает программный комплекс «Сканер-вс»?
Какие типы nat используются в Dionis-nx? Какова их основная задача?
SNAT – замена локального адреса устройства-источника в сети на внешний адрес сети;
DNAT – замена адреса назначения пакета, отправленного на локальное устройство;
Masquerade – та же, что и у SNAT. Разница в том, что здесь замена на исходящий интерфейс сети происходит автоматически;
SMAP – та же, что и у SNAT. Позволяет заменять все локальные адреса машин в сети на внешний адрес сети (SNAT может так делать лишь для одной машины);
DMAP – та же, что и у DNAT. Позволяет заменять все локальные адреса машин в сети на внешний адрес сети (DNAT может так делать лишь для одной машины);
Какое NАТ-правило из приведенных ниже и почему открывает доступ из Интернета к серверу с IР-адресом 192.168.1.1 во внутренней сети?
а) nat src 195.220.33.1 snat ip 192.168.1.1
b) natsrc 192.168.1.1 snatip 195.220.33.1
с) nat dst 195.220.33.1 dnat ip 192.168.1.1
d) nat dst 192.168.1.1 dnat ip 195.220.33.1,
поскольку здесь в параметр dst (destination – пункт назначения) записан адрес сервера 192.168.1.1
Какое NАТ-правило из приведенных ниже и почему открывает доступ в Интернет с хоста 192.168.1.15?
а) nat dst 195.220.33.15 dnat ip 192.168.1.15
b) nat dst 192.168.1.15 snat ip 195.220.33.15
с) nat src 192.168.1.0/24 masquerade
d) ни одно из перечисленных
Ближе всех был вариант с, но при таких аргументах внутренний интерфейс указан как внешний, что приведёт к полной изоляции хоста 192.168.1.15 от всех внешних сетей.
Как можно узнать, какой список доступа блокирует или наоборот про пускает нежелательный пакет и почему так происходит?
При попытке отправить нежелательный пакет по адресу с блокирующим списком доступа с этого адреса не придёт ответа. Зная, адрес какого интерфейса это был, можно перейти в режим его конфигурации и командами
ip access-list <имя списка доступа>
do show
просмотреть правила списка доступа.
Каким образом можно записать в журнал попадание пакета под определенное правило фильтрации?
configure terminal
service log
trace all
ip trace-list <имя списка трассировки>
trace icmp
ip trace-group <имя списка трасировки>
Какая команда из ниже перечисленных копирует журналы с трассировкой на флешку?
а) # сору ip log flash0:
b) # сору log: flash0:
с) # сору trace аll flash0:log
d) # show ip log export flash0:log
Нет команды copy ip log, trace all – неверный источник, а команда show не копирует данные.
Позволяет ли команда tcpdump сохранять содержимое пакетов в файл? Если да, то что для этого нужно сделать?
В документации к Dionis-NX про это ничего нет. Не уверен в ответе, но пока оставлю за неимением лучшего. ИИ говорит, что сохраняться очень даже можно, но к документации доверия больше.
В Dionis-NX может не только показывать трафик «в реальном времени», но и сохранять дампы (содержимое) пакетов.
Что нужно сделать, чтобы сохранить пакеты в файл
Запускаете tcpdump с нужными фильтрами (например, proto, src/dst, host, port и т.д.). Список параметров фильтрации в справке tcpdump приведён в методичке.
Добавляете параметр write и указываете имя/путь файла — это команда «записывать необработанные (raw) пакеты в файл».
По желанию ограничиваете объём захвата параметром count (после какого числа пакетов остановить трассировку).
Пример в общем виде:
tcpdump … write <файл> [count <N>]
Что ещё полезно знать (по той же справке)
export — «экспортировать данные в файл» (если нужно именно выгрузить данные/вывод).
read — «читать пакеты из файла» (то есть потом можно открыть сохранённый файл и просмотреть пакеты через tcpdump).
Для чего нужна служба CONNSTAT?
Служба CONNSTAT нужна для сбора статистики трафика по IP-адресам, а также ведения журнала соединений.
Для чего используется утилита Iftop?
Утилита iftop показывает информацию об активных соединениях и скорости приёма и передачи в них. Используется для мониторинга трафика в режиме реального времени с разделением по адресам и хостам.
Для чего необходимо использование туннелей?
Туннели позволяют объединить локальные сети в одну большую сеть.
Какие механизмы используют при туннелировании?
Инкапсуляция – упаковка icmp-пакета в транспортный пакет.
Криптографическое преобразование данных (в защищённых туннелях).
Ддя чего нужен IР-адрес GRЕ-интерфейса?
IP-адрес GRE-интерфейса необходим для создания статического маршрута через него.
На основе чего IР-пакеты направляются в GRЕ-туннель?
На основе правила маршрутизации.
Каким образом задаются статические маршруты через GRЕ-интерфейс?
ip route <адрес внешнего интерфейса сети> gre <номер GRE-интерфейса>
Какой основной недостаток GRЕ-туннеля?
Отсутствует криптография.
Для чего нужен ключ доступа? Как он создается? Где хранится?
Ключ доступа (шифрования) необходим для обеспечения конфиденциальной передачи данных через туннель даже в случае несанкционированного доступа к передаче извне.
Создаётся он с помощью команды
И хранится на запоминающем устройстве как на приёмной, так и на передающей стороне.
Откуда загружаются ключи шифрования при работе туннелей?
Ключи шифрования загружаются с запоминающих устройств на приёмной и передающей стороне.
Какие параметры совпадают на хостах, соединенных DiSEC-туннелем?
Используемый ключ шифрования, IP-адреса начала и конца туннеля (конец туннеля из А в Б = начало туннеля из Б в А), туннельный интерфейс.
Какое действие обязательно при смене ключей шифрования? Почему?
При смене ключей шифрования необходимо заменить ВСЕ старые ключи шифрования на всех узлах, входящих в криптографическую сеть, на новые. В противном случае узел с новыми ключами будет изолировано от остальных узлов в криптографической сети ввиду несоответствия ключей шифрования.
Чем ключевая схема DiSEC отличается от ключевой схемы DiKey?
Ключевая схема DiSEC имеет общий ключ шифрования как для приёмной, так и для передающей стороны, в то время как ключевая схема DiKey имеет по два ключа (закрытый и открытый) на приёмной и передающей стороне.
Закрытый ключ хранится на самом устройстве, в то время как открытый ключ передаётся по доверенному каналу связи или через доверенное внешнее запоминающее устройство.
Для чего используется расширенная маршрутизация?
Расширенная маршрутизация используется для маршрутизации разных подсетей через разные узлы или трафика от разных сервисов через разные интерфейсы. Также используется и для повышения отказоустойчивости посредством создания резервных маршрутов на случай выхода их строя основных.
Чем задается приоритет правил расширенной маршрутизации policy-route?
Приоритет правил расширенной маршрутизации policy-route задаётся номером правила
Чем задается приоритет правил расширенной маршрутизации policy-route default?
Приоритет правил расширенной маршрутизации policy-route задаётся параметром priority.
Каковы особенности одновременного использования правил обычной и расширенной маршрутизации? Приоритет каких правил выше? Почему? Как можно изменить данную ситуацию?
При использовании ip policy-route совместно с правилами ip route, необходимо, чтобы маршрут по умолчанию также был задан с помощью ip policy-route. Для этого существует специальная команда: ip policy-route default.
Приоритет расширенных правил статической маршрутизации ниже, чем у правил маршрутизации, задаваемых командой ip route, поэтому, если используются расширенные правила статической маршрутизации, предварительно необходимо удалить правила ip route default.
Какую роль выполняет идентификатор платформы?
Однозначно идентифицирует устройство в сети
Обеспечивает лицензирование и контроль функций
Гарантирует совместимость с программным обеспечением
Участвует в цепочке доверия безопасности
Необходим для технической поддержки и обслуживания
Можно ли сохранить образ диска в ОС Diопis-NХ на флешку? Почему?
Да, образ диска в ОС Dionis-NX можно сохранить на флешку, поскольку ОС Dionis-NX является модифицированным дистрибутивом Linux, что допускает использование полного функционала ОС Linux. Кроме того, это НЕОБХОДИМАЯ часть функционала для резервного копирования конфигурации Dionis-NX перед обновлением или восстановлением системы.
По каким протоколам возможна передача файлов между узлами Dionis?
IPv4/IPv6, FTP, SSH.
По какой команде и как происходит обновление версии?
Удалённое обновление:
Dionis-NX# ssh get <учётная запись> <адрес удалённого хоста>/<путь до пакета обновления *.dip>
Локальное обновление:
Dionis-NX# copy flash0.1:/<путь до пакета обновления dionisnx1.1-0.x86_64.dip> file:
Далее всё одинаково:
Dionis-NX# os install file:/dionisnx1.1-0.x86_64.dip
Dionis-NX# show boot
0 dionisnx—1.0—0 (D) (F) (С)
1 dionisnx—1.1—0
Dionis-NX# boot default dionisnx1.1-0
Dionis-NX# boot fallback dionisnx1.0-0
Dionis-NX# show boot
0 dionisnx—1.0—0 (F) (С)
1 dionisnx—1.1—0 (D)
Новая версия теперь запускается по умолчанию, а старая – в случае сбоя.
Что можно восстановить из архива DBU?
Из архива DBU можно восстановить резервную копию текущих настроек системы, данных и файлов системы протоколирования. Кроме того, в нём содержится текстовое описание резервной копии.
Сколько может быть установлено ОС Dionis-NX на изделие? Сколько достаточно для работы?
На изделие можно установить сколько угодно (ограничено ёмкостью жёсткого диска устройства) ОС Dionis-NX. Для работы достаточно 2 ОС (одна основная, одна резервная) или 1 ОС.
Какую роль выполняет служба DiWeb?
Доступ к визуальному Web-интерфейсу Dionis-NX по протоколу HTTP.
Где можно посмотреть или создать правила фильтрации?
Правила фильтрации можно посмотреть или создать во вложенном режиме конфигурирования списков доступа (access-list) или NAT-спискам (nat-list).