- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Цель: изучить применение СЗИ от НСД «ПАК Соболь», «Cisco PIX» и «Cisco Asa»
План:
ПАК Соболь
«Cisco PIX» и «Cisco Asa»
Программно-аппаратный комплекс "Соболь" (версия 3.0), PCI-комплект с DS 1996
Электронный замок «Соболь» – это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).
Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Защита в соответствии с законодательством: Сертификаты ФСБ и ФСТЭК России позволяют использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.
Что нового ПАК "Соболь" 3.0
Плата для шины PCI Express
USB-идентификаторы iKey 2032, eToken Pro и Rutoken v.2.0
ОС Windows Vista и Server 2008, МСВС 3.0 и Linux XP
«Соболь» обладает следующими возможностями:
Аутентификация пользователей
Блокировка загрузки ОС со съемных носителей
Контроль целостности
Сторожевой таймер
Регистрация попыток доступа к ПЭВМ
Достоинства электронного замка "Соболь"
Наличие сертификатов ФСБ и ФСТЭК России
Защита информации, составляющей государственную тайну
Помощь в построении прикладных криптографических приложений
Простота в установке, настройке и эксплуатации
Поддержка 64х битных операционных систем Windows
Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v.2.0.
Изделие имеет сертификат ФСТЭК № 1967 до 07 декабря 2012 г.
Применение СЗИ от НСД «Cisco PIX» и «Cisco Asa»
Версия: коллекция различных версий
Разработчик: Cisco Systems
Платформа: PIX/ASA
Совместимость с Vista: неизвестно
Системные требования: Возможность установки на каждую железку проверяется путем вдумчивого изучения мануала на cisco.com
Таблэтка: Не требуется
Описание: Сетевой экран Private Internet Exchange (PIX) компании Cisco привносит новый уровень безопасности корпоративных сетей в сочетании и простотой использования. PIX может полностью скрыть Вашу внутренную сеть от внешнего мира, обеспечивая полную безопасность. В отличие от типичных серверов - "посредников" (proxy), которые выполняют обработку каждого сетевого пакета в отдельности, существенно загружая при этом центральный процессор, PIX использует специальную, не UNIX - подобную, операционную систему реального времени, обеспечивая значительно большую производительность.
В настоящее время PIX переименован в ASA (Adaptive Security Appliance), все сказанное для PIX справедливо для ASA.
Основой высокой производительности сетевого экрана PIX является схема защиты, базирующаяся на алгоритме адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от хакеров. Устойчивый, ориентированный на соединения алгоритм адаптивной безопасности обеспечивает безопасность для соединений базируясь на адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице и все входящие пакеты сравниваются с записями в этой таблице. Доступ через PIX разрешен только в том случае, если соответствующее соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутренную сеть он несанкционированного доступа.
Cisco PIX также обеспечивает существенное преимущество в производительности по сравнению с сетевыми экранами - "посредниками" (proxy) на базе ОС UNIX за счет технологии "сквозного посредника" (Cut-Through Proxy). Как и обычные серверы - "посредники" PIX контролирует установление соединения на прикладном уровне. После того, как пользователь был успешно идентифицирован в соответствии с политикой обеспечения безопасности, PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет сетевому экрану PIX работать значительно быстрее, чем обычные сетевые экраны - "посредники".
В добавление к высокой производительности, встроенная операционная система реального времени также увеличивает уровень безопасности. В отличие от ОС UNIX, исходный текст которых широко доступен, Cisco PIX - выделенная система, специально разрабротанная для обеспечения безопасности.
Контрольные вопросы:
ПАК Соболь
«Cisco PIX» и «Cisco Asa»
1 Гайкович В.Ю. Основы безопасности информационных технологий. – М.: Инфо-М, 2008.
2Садовничий В.А. Обеспечение информационной безопасности России. Теоретические и методологические основы /под ред. В. А. Садовничего и В. П. Шерстюка. — М.: МЦНМО, 2002.
3www.itsec.vseinteresnoe.ru/Состояние работ по стандартизации в области информационной безопасности Герасименко В.Г. 2009г.
4 Об утверждении Порядка проведения классификации информационных систем персональных данных: Приказ ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13 февраля 2008г.//Рос. газ. – 2008. – 12 апреля.