- •Место пази в системе кзи.
- •2. Модели угроз в пази
- •3. Модели системы пази.
- •1. Средства защиты информации
- •2. Аппаратные средства защиты информации
- •2.1 Задачи аппаратного обеспечения защиты информации
- •2.2 Виды аппаратных средств защиты информации
- •3. Программные средства защиты информации
- •3.1 Средства архивации информации
- •3.2 Антивирусные программы
- •3.3 Криптографические средства
- •3.4 Идентификация и аутентификация пользователя
- •3.5 Защита информации в кс от несанкционированного доступа
- •3.6 Другие программные средства защиты информации
- •Программно-аппаратные средства защиты информации в компьютерах
- •Методы и средства организационно-правовой защиты информации
- •Методы и средства инженерно-технической защиты
- •Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •Криптографические методы защиты и шифрование
- •4. Нормативно правовая база построения пази.
- •D — Минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
- •5. Классификация ас и способов защиты.
- •6. Понятие ндв в пази.
- •Контроль исходного состояния программного обеспечения.
- •7.Модель нарушителя при построении системы пази.
- •8. Лицензирование средств пази.
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
- •Перечень федеральных органов исполнительной власти, осуществляющих лицензирование
- •9. Процедура идентификации и аутентификации пользователей кс.
- •10. Идентификация и аутентификация с нулевой передачей данных.
- •11.Биометрические средства идентификации. Их характеристики.
- •12.Биометрические средства идентификации 1. (дактилоскопия, сетчатка)
- •13.Биометрические средства идентификации 2. (лицо, голос, сосуды)
- •14.Вредоносное по. Вирусы.
- •15.Сетевое вредоносное по.
- •16.Вредоносное по, использующее ресурсы кс.
- •17.Методы защиты от вредоносного по, антивирусные пакеты.
- •18.Основные понятия сетевой безопасности.
- •19.Межсетевые экраны. Классификация.
- •1)Управляемые коммутаторы (канальный уровень):
- •2)«Мэ с фильтрацией пакетов»
- •3)«Мэ сеансового уровня»
- •4)«Мэ прикладного уровня»
- •5)«Мэ экспертного уровня»
- •20.Межсетевые экраны. Применение.
- •Конфигурация с двумя межсетевыми экранами
- •21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
- •22.Средства безопасности ос ms Windows. Подсистема защиты данных.
- •23.Средства безопасности ос ms Windows. Подсистема сетевой безопасности.
- •24.Эцп.
- •25.Аппаратные средства зи. Комплексы Соболь и Аккорд.
- •26.Комплекс пази SecretNet.
- •27.Управление рисками кс.
- •28.Анализ рисков кс.
- •29.Способы уменьшения рисков кс.
- •30.Алгоритм устранения угрозы кс.
18.Основные понятия сетевой безопасности.
19.Межсетевые экраны. Классификация.
Межсетево́й экра́н,сетево́й экра́н,файерво́л,брандма́уэр— комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетейили отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Все межсетевые экраны используют в своей работе один из двух взаимоисключающих принципов: - "Разрешено все, что не запрещено в явном виде". С одной стороны данный принцип облегчает администрирование межсетевого экрана, т.к. от администратора не требуется никакой предварительной настройки - межсетевой экран начинает работать сразу после включения в сеть электропитания. Любой сетевой пакет, пришедший на МСЭ, пропускается через него, если это не запрещено правилами. С другой стороны, в случае неправильной настройки данное правило делает межсетевой экран дырявым решетом, который не защищает от большинства несанкционированных действий, описанных в предыдущих главах. Поэтому в настоящий момент производители межсетевых экранов практически отказались от использования данного принципа. - "Запрещено все, не разрешено в явном виде". Этот принцип делает межсетевой экран практически неприступной стеной (если на время забыть на возможность подкопа этой стены, ее обхода и проникновения через незащищенные бойницы). Однако, как это обычно и бывает, повышая защищенность, мы тем самым нагружаем администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. После включения такого МСЭ в сеть, она становится недоступной для любого вида трафика. Администратор должен на каждый тип разрешенного взаимодействия задавать одно и более правил.
Классификация МЭ:
1)Управляемые коммутаторы (канальный уровень):
Коммутаторы –их можно отнести к физическому (канальному) уровню. Управляемый коммутатор позволяет привязывать МАС адреса сетевой карты компа к определенным портам компьютера.
Если сделать фильтрацию информации на основе МАС адресов сетевых карт, у отправителя и получателя организуется VLAN. Комп позволяет реализоватьVLANна уровне самого коммутатора.
Недостатки:
- область фильтрации действия коммутатора распространяется на ближние маршрутизаторы, и поэтому они не годятся для регулирования доступа из интернета.
-МАС адреса сетевых плат легко подделать.
2)«Мэ с фильтрацией пакетов»
Относятся к сетевому уровню, используется в небольших сетях.
Представляет собой маршрутизатор или работающую на сервере программу, осуществляющую фильтрацию входящих и исходящих пакетов, на основе информации в IP-заголовке пакета. В первую очередь анализируется информация сетевого уровня, а именноIPадрес отправителя и получателя, а также протокол сеансового уровня (TCP/IP), информация о котором тоже есть в заголовкеIPпакета. Более продвинутые МСЭ также учитывают информацию о портах отправителя и получателя, которые относятся к транспортному уровню.
Поле «Действие» может принимать значения «пропустить», «запретить» и «отбросить».
В последнем случае пакет просто удаляется, а в предпоследнем отправитель посылает уведомление о том ,что пакет пропущен.
МЭ производит проверку пока не найдет правило которое соответствует анализируемый пакет. Если такое правило не находится, используется правило по умолчанию, которое обычно запрещает вх. пакеты.
Достоинства:
- низкая стоимость.
- гибкость в определении правил.
- небольшая задержка при прохождении пакета.
-минимальное влияние на производительность сети.
В целом они обеспечивают минимальную безопасность за минимальную цену, что может оказаться вполне приемлемо для среды низкого уровня.
Недостатки:
- ЛС видно и марш. Из Интернета.
- При большом числе правил затрудняется их выполнение.
- решение о предоставлении доступа предоставляется на основании IPадресов, они м.б. подсмотрены и подделаны.
- за доверенный комп. может сесть не доверенный пользователь.
- не контролируется работа на уровне приложений, не обеспечивается защита от DOS-атак.
- практическое отсутствие средства по протоколированию доступа.