- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Построение виртуальных частных сетей
При подключении ЛВС к сети Internet возникает угроза несанкционированного доступа к ресурсам как самой сети, так и доступ к передаваемому информационному потоку. Для реализации защиты ресурсов и данных используются виртуальные сети.
Защищенной виртуальной частной сетью– называется объединение локальных сетей и компьютеров, с территориально удаленными сетями через открытую внешнюю среду передачи данных, обеспечивающую безопасность информационного потока [15].
В качестве открытой среды передачи данных можно использовать как открытую среду Internet, так и коммутируемые телефонные линии. Организация виртуальных защищенных сетей на основе Internet обладает рядом преимуществ:
большая пропускная способность и надежностью передачи информации;
масштабируемость и поддержка удаленного доступа к ресурсам локальной сети (доступ мобильных пользователей к корпоративной сети через провайдеров Internet)
сокращение расходов на информационный поток через открытую внешнюю среду, вследствие отказа от построения или аренды дорогих выделенных каналов связи.
На виртуальные частные сети накладываются следующие функции:
аутентификация партнеров взаимодействия;
обеспечение конфиденциальности, целостности и доступности передаваемого информационного потока;
управление доступом;
обнаружение вторжений
Защита информационного потока в процессе передачи по сети Internet основана на построении защищенных виртуальных каналов связи, называемых туннелями VPN. При этом туннель представляет собой логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Пакет протокола более низкого уровня шифруется вместе с заголовком и помещается в поле данных пакета протокола более высокого или такого же уровня и передается по сети. Это позволяет сокрыть не только передаваемую информацию, но и сведения о внутренней структуре сети - данные о количестве подсетей и узлов и их IP-адресах.
При получении пакета из него извлекают внутренний исходный пакет, расшифровывают и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети.
Туннели VPN создаются для различных типов пользователей:
ЛВС к ЛВС;
отдельные удаленные или мобильные пользователи к ЛВС
Для создания виртуальной частной сети крупного предприятия используют VPN-шлюзы, VPN-серверы и VPN-клиенты [7]:
VPN-клиент – программный или программно-аппаратный комплекс, на базе персонального компьютера сетевое ПО которого выполняет шифрования и аутентификации трафика, используется для удаленного доступа к VPN;
VPN-сервер – программный или программно-аппаратный комплекс, обеспечивающий поддержание множественных соединений с VPN-клиентами как локальных сетей, так и соединения с мобильными пользователями.
Шлюз безопасности VPN–устройство, прозрачное для пользователей, выполняющее функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Адрес шлюза безопасности указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Реализуется как программно так и аппаратно (маршрутизатор или межсетевой экран), применяется для защиты локальных сетей предприятия.