- •Место пази в системе кзи.
- •2. Модели угроз в пази
- •3. Модели системы пази.
- •1. Средства защиты информации
- •2. Аппаратные средства защиты информации
- •2.1 Задачи аппаратного обеспечения защиты информации
- •2.2 Виды аппаратных средств защиты информации
- •3. Программные средства защиты информации
- •3.1 Средства архивации информации
- •3.2 Антивирусные программы
- •3.3 Криптографические средства
- •3.4 Идентификация и аутентификация пользователя
- •3.5 Защита информации в кс от несанкционированного доступа
- •3.6 Другие программные средства защиты информации
- •Программно-аппаратные средства защиты информации в компьютерах
- •Методы и средства организационно-правовой защиты информации
- •Методы и средства инженерно-технической защиты
- •Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •Криптографические методы защиты и шифрование
- •4. Нормативно правовая база построения пази.
- •D — Минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
- •5. Классификация ас и способов защиты.
- •6. Понятие ндв в пази.
- •Контроль исходного состояния программного обеспечения.
- •7.Модель нарушителя при построении системы пази.
- •8. Лицензирование средств пази.
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
- •Перечень федеральных органов исполнительной власти, осуществляющих лицензирование
- •9. Процедура идентификации и аутентификации пользователей кс.
- •10. Идентификация и аутентификация с нулевой передачей данных.
- •11.Биометрические средства идентификации. Их характеристики.
- •12.Биометрические средства идентификации 1. (дактилоскопия, сетчатка)
- •13.Биометрические средства идентификации 2. (лицо, голос, сосуды)
- •14.Вредоносное по. Вирусы.
- •15.Сетевое вредоносное по.
- •16.Вредоносное по, использующее ресурсы кс.
- •17.Методы защиты от вредоносного по, антивирусные пакеты.
- •18.Основные понятия сетевой безопасности.
- •19.Межсетевые экраны. Классификация.
- •1)Управляемые коммутаторы (канальный уровень):
- •2)«Мэ с фильтрацией пакетов»
- •3)«Мэ сеансового уровня»
- •4)«Мэ прикладного уровня»
- •5)«Мэ экспертного уровня»
- •20.Межсетевые экраны. Применение.
- •Конфигурация с двумя межсетевыми экранами
- •21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
- •22.Средства безопасности ос ms Windows. Подсистема защиты данных.
- •23.Средства безопасности ос ms Windows. Подсистема сетевой безопасности.
- •24.Эцп.
- •25.Аппаратные средства зи. Комплексы Соболь и Аккорд.
- •26.Комплекс пази SecretNet.
- •27.Управление рисками кс.
- •28.Анализ рисков кс.
- •29.Способы уменьшения рисков кс.
- •30.Алгоритм устранения угрозы кс.
3)«Мэ сеансового уровня»
Они следят за подтверждением связи между авторизированными клиентами и внешним хостом.
Определенный является запрашиваемый сеанс, допустимым – использование информацию из заголовка пакета сеансового уровня. При запросе от клиента МЭ проверяет удовлетворяет ли клиент базовым условиям фильтрации. Например: может ли DNS-сервер определитьIPадрес клиента и его имя. Затем действуя от имени клиента шлюз устанавливает соединение с внешним хостом и следит за квитированием связи протоколаTCP/IP.
Эта процедура состоит из обмена TCPпакетами с флажкамиSYNиASK.
Он поддерживает таблицу соединений, пропуская данные из сеансов связи, зафиксированной в этой таблице.
После совершения сеанса, соответствующий сеансовый элемент удаляется из таблицы.
МЭ сеансового уровня способны обеспечить защиту от DOS-атак, примером которой является атака с наводнениемSYNзапросов (floading).
Для борьбы с подобными атаками могут использоваться специальные фильтры:
SYNDefenderGateway.
Обеспечение зашиты от DOS-атак:
SYNDefenderRelay.
МЭ сеансового уровня относят также МЭ с преобразованием или трансляцией IPадресом (NAT) которые реализуютNAT-преобразования.
Есть 2 основных режима:
- При динамическом режиме (PAT), в этом случае МЭ имеет единственный внутреннийIPадрес, все обращения в Интернет со стороны клиентов осуществляется с использованием этого внутреннегоIPадреса.
- При статическом режиме, МЭ имеет несколько внешних IPадресов.
Часто оба режима используются совместно.
Недостатки:
- фильтруют пакеты на сеансовом уровне и не проверяют содержимое пакетов на прикладном уровне.
- не поддерживают аутентификации на уровне пользователя, а только на основе IPадресов и они по- прежнему уязвимы к атакам с подменойIPадреса.
- после завершения процедуры квитирования МЭ просто перенаправляют все пакеты независимо от их содержимого.
4)«Мэ прикладного уровня»
Они часто называются Proxy-серверами, и контролируют и фильтруют информацию на прикладном уровне.
Также, МЭ прикладного уровня, могут перехватывать входящие и исходящие пакеты используя программы «посредники», что исключает прямого соединения клиента и сервера. А также посредники используют МЭ прикладного уровня имеют важное отличие от канальных посредников канального уровня, т.е. они требуют отдельного Proxyсервера для каждой службы.
Обычно имеются посредники для след. служб: Эл. почты, Web-сервера,FTPи для терминальных служб.
Если служба не поддерживает Proxyто возможны 3 варианта:
Отказаться
Разработать свой Proxy
Пропускать службы через МЭ с помощью так называемого «заглушения» с минимальной фильтрацией пакетов что не безопасно.
Отличие от МЭ сетевого уровня:
1.От клиента до сервера образуется 2 соединения: от клиента до МЭ, и от МЭ до сервера.
2.Анализируется содержимое каждого проходящего пакета.
Бывают прозрачные МЭ и непрозрачные.
Достоинства:
- от внешнего пользователя скрывается структура корпоративной сети.
- прикладной МЭ это единственный хост имя которого м.б. известно.
- прокси сервер для разных служб предотвращает доступ к ним.
- надежность на уровне пользователя при протоколировании.
- оптимальное соотношение между ценой и качеством.
Недостатки:
- при непрозрачных, необходима 2-ух шаговая структура.
- более высокая цена.