![](/user_photo/2706_HbeT2.jpg)
- •1. Мета та завдання дисципліни, її місце в навчальному процесі
- •1.1. Мета викладання дисципліни
- •1.2. Завдання вивчення дисципліни
- •1.3. Перелік дисциплін, знання яких необхідні студенту для вивчення цієї дисципліни
- •1.4. Зміст дисципліни
- •1.4.1. Лекційні заняття 32 години
- •1.4.2. Лабораторні заняття 32 години
- •1.4.3. Практичні заняття 0 годин.
- •1.4.4. Самостійна робота 56 годин
- •1.4.5. Проведення заходів поточного та семестрового контролю
- •1.5. Навчально-методичні матеріали.
- •1.6. Огляд безпеки
- •2. Загальні відомості про права доступу
- •2.1.Функції системи розмежування доступу
- •2.2. Управління доступом. Основні поняття
- •3. Методи та пристрої забезпечення захисту і безпеки
- •3.1. Методи забезпечення інформаційної безпеки.
- •3.2. Інструментальні засоби аналізу захищеності інформаційних систем.
- •Intranet Scanner
- •Internet Scanner
- •4. Захист інформації
- •4.1 Загрози інформації
- •4.2 Аспекти захисту інформації
- •4.3 Види захисту інформації
- •4.4 Комплексна система захисту інформації
- •4.4.1 Технічний захист інформації
- •4.4.2 Тзі від нсд на прикладному і програмному рівні
- •4.4.3 Тзі від нсд на апаратному рівні
- •4.4.4 Тзі на мережевому рівні
- •4.5 Засоби та заходи тзі
- •4.6 Автентифікація
- •4.6.1 Механізм Автентифікації
- •4.6.3 Способи Автентифікації
- •Парольна
- •Біометрична
- •4.7 Етапи
- •Модель захисту інформаційного процесу
- •Шифрування даних
- •7. Управління відновленням
- •Відновлення інформації
- •Несправності, що призводять до втрати даних і необхідності відновлення інформації.
- •Помилки користувачів
- •Програмно-апаратні несправності
- •Фізичні пошкодження
- •Відновлення даних з usb-флешки (карти пам’яті)
- •8. Роль криптографічних методів і систем криптографічного захисту інформації в сучасному суспільстві
- •9. Механізми та протоколи керування ключами в івк інформаційної системи
- •9.1 Компоненти івк
- •9.2 Архітектури івк
- •10. Форми атак на об'єкти інформаційних систем
- •10.1 Форми атак
- •10.2 Атаки на рівні систем керування базами даних
- •10.3 Атаки на рівні операційної системи.
- •10.4 Криптоаналіз
- •10.4.1 Основні терміни
- •10.4.2Класифікація криптосистем
- •10.4.3 Вимоги до криптосистемами.
- •11. Алгоритми з секретним та відкритим ключем
- •12. Асиметричні (відкриті) криптосистеми
- •12.1 Криптографічний аналіз rsa-системи
- •13. Протоколи аутентифікації
- •13.1 Протоколи віддаленої аутентифікації
- •13.2 Аутентифікація на основі паролів.
- •13.3 Протокол рар.
- •13.4 Протокол s/Key.
- •13.5 Протокол снар.
- •13.6 Аутентифікація на основі цифрових сертифікатів.
- •13.7 Протоколи аутентифікації
- •14. Цифрові підпси
- •14.1 Звичайний і Електронний цифровий підпис
- •14.2 Переваги використання ецп
- •14.3 Електронна цифрова печатка
- •14.4 Призначення ецп
- •14.5 Вимоги до цифрового підпису
- •14.6 Прямий і арбітражний цифрові підписи
- •14.7 Алгоритми
- •14.8 Використання хеш-функцій
- •14.9 Симетрична схема
- •14.10 Асиметрична схема
- •15. Використання паролів і механізмів контролю за доступом
- •15.6 Права доступу до файлів в Unix-системах.
- •15.7 Мережевий доступ до Windows xp Pro
- •16. Питання безпеки та брандмауери
2. Загальні відомості про права доступу
Права доступу(до інформації) - сукупність правил, що регламентують порядок і умови доступу суб'єкта до інформації та її носіїв, встановлених правовими документами або власником, власником інформації.
Права доступу визначають набір дій (наприклад, читання, запис, виконання), дозволених для виконання суб'єктам (наприклад, користувачам системи) над об'єктами даних. Зрозуміло, що потрібна якась система для надання суб'єктам різних прав доступу до об'єктів. Це система розмежування доступу суб'єктів до об'єктів, яка розглядається в якості головного засобу захисту від несанкціонованого доступу до інформації з керівному документа «Концепція захисту засобів обчислювальної техніки і автоматизованих систем від несанкціонованого доступу до інформації».
2.1.Функції системи розмежування доступу
Реалізація правил розмежування доступу суб'єктів і їх процесів до даних;
Реалізація ПРД суб'єктів і їх процесів до пристроїв створення твердих копій;
Ізоляція програм процесу, що виконується на користь суб'єкта, від інших суб'єктів;
Управління потоками даних з метою запобігання запису даних на носії невідповідного грифа;
Реалізація правил обміну даними між суб'єктами для АС і ЗОТ, побудованих з мережних принципам.
Крім того, зазначений керівний документ передбачає наявність забезпечують коштів для СРД, які виконують функції:
Ідентифікацію і впізнання (аутентифікацію) суб'єктів і підтримка прив'язки суб'єкта до процесу, що виконується для суб'єкта;
Реєстрацію дій суб'єкта і його процесу;
Надання можливостей виключення і включення нових суб'єктів і об'єктів доступу, а також зміна повноважень суб'єктів;
Реакцію на спроби НСД, наприклад, сигналізацію, блокування, відновлення після НСД;
Тестування;
Очищення оперативної пам'яті і робочих областей на магнітних носіях після завершення роботи користувача з захищеними даними;
Облік вихідних друкарських і графічних форм і твердих копій на АС;
Контроль цілісності програмної й інформаційної частини як СРД, так і забезпечують її коштів.
Більшість антивірусних засобів захисту містять у своїй основі механізми контролю (контроль сигнатур і поведінкові аналізатори). Разом з тим, відомо, що основу ефективного захисту інформації становить реалізація розмежувальної політики доступу до ресурсів, механізми контролю (наприклад, контролю цілісності), як правило вторинні, вони використовуються в тому випадку, коли неможливо коректно вирішити завдання механізмами розмежування прав доступу до ресурсів. І це цілком зрозуміло, механізми контролю не тільки дуже ресурсомісткі, але і в принципі не можуть ефективно вирішити завдання захисту. Наприклад, розглянемо сучасні сигнатурні аналізатори.
По-перше, вони можуть виявляти лише відомі віруси, для яких розробниками виявлена сигнатура. Розповсюдженні антивірусні програми блокують лише близько 20 відсотків недавно з'явившихся шкідливих програм. При цьому популярні антивіруси пропускають до 80 відсотків нових троянів, шпигунів і інших шкідливих программ. Це означає, що у восьми з десяти випадків вірус, який нещодавно з'явився може проникнути на комп'ютер користувача.
По-друге, бази сигнатур вже давно «перевалили» за сотні тисяч. Контроль тільки системного диска може складати кілька годин. У результаті, з одного боку, немає ніякої гарантії виявити знову створений вірус, з іншого боку, використання засобів ускладнено: рідко – неефективно, часто – неможливо. Тому проблема ефективного антивірусного захисту і до цього дня залишається однією з ключових проблем інформаційної безпеки [1].
Тому, давно назріла необхідність у використанні принципово інших підходів до антивірусного захисту одним з яких є реалізація розмежувальної політики доступу до ресурсів за допомогою якої можна ефективно вирішити такі ключові завдання антивірусного захисту:
• Запобігання запуску будь-якого стороннього процесу;
• Захистити від несанкціонованої модифікації системні комп'ютерні ресурси (як системні файлові об'єкти, так і об'єкти реєстру ОС);
• Істотно знизити ймовірність вірусної атаки на інформаційні ресурси, які зберігаються на комп'ютері.
При цьому зазначимо, що дані завдання антивірусного захисту вирішуються в загальному вигляді, не вимагають виявлення будь-яких сигнатур, що забезпечує можливість ефективної протидії як відомим вірусам, так і потенційно можливим вірусам. Найважливішою властивістю даних підходів до вирішення завдання антивірусного захисту, на відміну від підходів, в основу яких покладена реалізація механізмів контролю, є мінімальний вплив засобів захисту на завантаження обчислювального ресурсу. Все це дозволяє нам зробити висновок про перспективність саме такого підходу до комплексного об’єднання механізмів і засобів для вирішення задачі антивірусного захисту в корпоративних додатках.
Права доступу кожного суб'єкта і характеристики конфіденційності кожного об'єкта відображаються у вигляді сукупності рівня конфіденційності та набору категорій конфіденційності. Рівень конфіденційності може приймати одне з строго упорядкованого ряду фіксованих значень, наприклад: конфіденційно, таємно, для службового користування, нетаємно і т.п. Основу реалізації управління доступом складають: формальне порівняння мітки суб'єкта, запити доступ, і мітки об'єкта, до якого запитаний доступ. Прийняття рішень про надання доступу на основі деяких правил, основу яких становить протидія зниженню рівня конфіденційності інформації, що захищається. Таким чином, багаторівнева модель попереджає можливість навмисного або випадкового зниження рівня конфіденційності інформації, що захищається за рахунок її витоку (умисного переносу). Тобто ця модель перешкоджає переходу інформації з об'єктів з високим рівнем конфіденційності і вузьким набором категорій доступу в об'єкти з меншим рівнем конфіденційності і більш широким набором категорій доступу.Практика показує, що багаторівневі моделі захисту знаходяться набагато ближче до потреб реального життя, ніж матричні моделі, і являють собою гарну основу для побудови автоматизованих систем розмежування доступу. Причому, так як окремо взяті категорії одного рівня рівнозначні, то, щоб їх розмежувати поряд з багаторівневою (мандатної) моделлю, потрібне застосування матричної моделі.За допомогою багаторівневих моделей можливо істотне спрощення завдання адміністрування (налаштування). Причому це стосується як вихідної настройки розмежувальної політики доступу (не потрібно настільки високого рівня деталізації завдання відносини суб'єкт-об'єкт), так і подальшого включення в схему адміністрування нових об'єктів та суб'єктів доступу.