- •1. Мета та завдання дисципліни, її місце в навчальному процесі
- •1.1. Мета викладання дисципліни
- •1.2. Завдання вивчення дисципліни
- •1.3. Перелік дисциплін, знання яких необхідні студенту для вивчення цієї дисципліни
- •1.4. Зміст дисципліни
- •1.4.1. Лекційні заняття 32 години
- •1.4.2. Лабораторні заняття 32 години
- •1.4.3. Практичні заняття 0 годин.
- •1.4.4. Самостійна робота 56 годин
- •1.4.5. Проведення заходів поточного та семестрового контролю
- •1.5. Навчально-методичні матеріали.
- •1.6. Огляд безпеки
- •2. Загальні відомості про права доступу
- •2.1.Функції системи розмежування доступу
- •2.2. Управління доступом. Основні поняття
- •3. Методи та пристрої забезпечення захисту і безпеки
- •3.1. Методи забезпечення інформаційної безпеки.
- •3.2. Інструментальні засоби аналізу захищеності інформаційних систем.
- •Intranet Scanner
- •Internet Scanner
- •4. Захист інформації
- •4.1 Загрози інформації
- •4.2 Аспекти захисту інформації
- •4.3 Види захисту інформації
- •4.4 Комплексна система захисту інформації
- •4.4.1 Технічний захист інформації
- •4.4.2 Тзі від нсд на прикладному і програмному рівні
- •4.4.3 Тзі від нсд на апаратному рівні
- •4.4.4 Тзі на мережевому рівні
- •4.5 Засоби та заходи тзі
- •4.6 Автентифікація
- •4.6.1 Механізм Автентифікації
- •4.6.3 Способи Автентифікації
- •Парольна
- •Біометрична
- •4.7 Етапи
- •Модель захисту інформаційного процесу
- •Шифрування даних
- •7. Управління відновленням
- •Відновлення інформації
- •Несправності, що призводять до втрати даних і необхідності відновлення інформації.
- •Помилки користувачів
- •Програмно-апаратні несправності
- •Фізичні пошкодження
- •Відновлення даних з usb-флешки (карти пам’яті)
- •8. Роль криптографічних методів і систем криптографічного захисту інформації в сучасному суспільстві
- •9. Механізми та протоколи керування ключами в івк інформаційної системи
- •9.1 Компоненти івк
- •9.2 Архітектури івк
- •10. Форми атак на об'єкти інформаційних систем
- •10.1 Форми атак
- •10.2 Атаки на рівні систем керування базами даних
- •10.3 Атаки на рівні операційної системи.
- •10.4 Криптоаналіз
- •10.4.1 Основні терміни
- •10.4.2Класифікація криптосистем
- •10.4.3 Вимоги до криптосистемами.
- •11. Алгоритми з секретним та відкритим ключем
- •12. Асиметричні (відкриті) криптосистеми
- •12.1 Криптографічний аналіз rsa-системи
- •13. Протоколи аутентифікації
- •13.1 Протоколи віддаленої аутентифікації
- •13.2 Аутентифікація на основі паролів.
- •13.3 Протокол рар.
- •13.4 Протокол s/Key.
- •13.5 Протокол снар.
- •13.6 Аутентифікація на основі цифрових сертифікатів.
- •13.7 Протоколи аутентифікації
- •14. Цифрові підпси
- •14.1 Звичайний і Електронний цифровий підпис
- •14.2 Переваги використання ецп
- •14.3 Електронна цифрова печатка
- •14.4 Призначення ецп
- •14.5 Вимоги до цифрового підпису
- •14.6 Прямий і арбітражний цифрові підписи
- •14.7 Алгоритми
- •14.8 Використання хеш-функцій
- •14.9 Симетрична схема
- •14.10 Асиметрична схема
- •15. Використання паролів і механізмів контролю за доступом
- •15.6 Права доступу до файлів в Unix-системах.
- •15.7 Мережевий доступ до Windows xp Pro
- •16. Питання безпеки та брандмауери
3. Методи та пристрої забезпечення захисту і безпеки
3.1. Методи забезпечення інформаційної безпеки.
Міжмережеве екранування
Реалізації політики безпеки – вживання різних програмних і апаратно-технічних засобів в процесі побудови системи безпеки.
Використовування міжмережевого екрану.
Міжмережевий екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі мережі до серверів з іншої безлічі мережі. Екран виконує свої функції, контролюючи всі інформаційні потоки між двома безліччю систем.
Вимоги до реальної системи, що здійснює міжмережеве екранування. В більшості випадків екрануюча система повинна:
Забезпечувати безпеку внутрішньої (що захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку;
Володіти могутніми і гнучкими засобами управління для повного і, наскільки можливо, простого втілення в життя політики безпеки організації;
Працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій;
Працювати достатньо ефективно і встигати обробляти весь вхідний і витікаючий трафік;
Володіти властивостями самозахисту від будь-яких несанкціонованих дій, оскільки міжмережевий екран є ключем до конфіденційної інформації в організації;
Якщо у організації є декілька зовнішніх підключень, у тому числі і у видалених філіалах, система управління екранами повинна мати нагоду централізований забезпечувати для них проведення єдиної політики безпеки;
Мати засобу авторизації доступу користувачів через зовнішні підключення.
Екранування дозволяє підтримувати доступність сервісів усередині інформаційної системи, зменшуючи або взагалі ліквідовуючи навантаження, ініційоване зовнішньою активністю.
Екранування дає можливість контролювати інформаційні потоки, направлені в зовнішню область, забезпечуючи режим конфіденційності.
Шифрування інформації
TCP/IP володіє високою сумісністю як з різними по фізичній природі і швидкісним характеристикам каналами, так і з широким довкола апаратних платформ, сукупність цих характеристик робить протокол TCP/IP унікальним засобом для інтеграції великих розподілених гетерогенних інформаційних систем.
Технології інформаційної безпеки протоколу TCP/IP дозволяють з регульованим ступенем надійності захищати трафік всіх без виключення користувачів і прикладних систем при повній прозорості (невидимості для додатків) засобів захисту.
Такі засоби захисту включають:
Чим є ці засоби захисту?
Протокол, що управляє шифруванням трафіку SKIP (Simple Key management for Internet Protocol) і створений на його основі ряд продуктів захисту інформації (ряд програмних реалізацій протоколу SKIP для базових апаратно-програмних платформ, пристрій колективного захисту локальної мережі SKIPBridge, пристрій забезпечення регульованої політики безпеки SunScreen).
SKIP (Simple Key mamagement for Internet Protocol - Простий протокол управління криптоключами в інтермережі) розроблений компанією Sun Microsystems в 1994 році і запропонований як стандарт Internet.
У основі SKIP лежить криптографія відкритих ключів Діффі-Хеллмана.
SKIP має, в порівнянні з існуючими системами шифрування трафіку ряд унікальних особливостей:
SKIP універсальний: він шифрує IP-пакеты, не знаючи нічого про додатки, користувачів або процеси, їх формуючих; він обробляє весь трафік, не накладаючи ніяких обмежень ні на вищерозміщене програмне забезпечення, ні на фізичні канали, на яких він використовується;
SKIP сеансонезалежний: для організації захищеної взаємодії не вимагається додаткового інформаційного обміну;
SKIP незалежний від системи шифрування - користувач може вибирати будь-який з пропонованих постачальником або використовувати свій алгоритм шифрування інформації.
Пристрій SKIPBridge забезпечує захист (шифрування) трафіку, спрямовуваного з внутрішньої мережі в зовнішню на основі протоколу SKIP, а також фільтрацію і дешифрування трафіку, що поступає із зовнішньої мережі у внутрішню.
IP-пакеты, що приймаються із зовнішньої мережі, обробляються протоколом SKIP. Пакети, що пройшли фільтрацію SKIP, за допомогою протоколу IP передаються програмному забезпеченню SKIPBridge, вирішальному задачі адміністративної безпеки (забезпечуючому пакетну фільтрацію), і потім - операційній системі.
SunScreen - це спеціалізована система захисту, розроблена компанією Sun Microsystems, вирішальна задачі фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіку. Пристрій SunScreen виконаний на основі апаратного модуля SPF-100. SPF-100 містить SPARC-процессор, що працює під управлінням ОС Solaris. SunScreen не має IP-адреса, тому він "невидимий" із зовнішньої мережі і несхильний до атаки.
Пристрій SunScreen, містить п'ять Ethernet-адаптеров, до яких можуть під'єднуватися чотири незалежні сегменти локальної мережі і комунікаційний провайдер. Для кожного сегменту забезпечується настройка індивідуальної політики безпеки шляхом завдання складного набору правил фільтрації пакетів.