- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Отечественный стандарт электронной подписи (гост р 34.10-94)
ГОСТ Р 34.10-94, вступивший в силу в 1995г. используются следующие параметры:
р - большое простое число длиной от 509- 512 бит либо от 1020 - 1024 бит;
q - простой сомножитель числа (р -1), имеющий длину 254 -256 бит.
а - любое число, а< (р -1), aq mod р=1;
р, q, а являются открытыми и используются всеми пользователями сети
х- некоторое число, x<q и является секретным ключом;
у = ах mod p и является открытым ключом.
Алгоритм использует однонаправленную хэш-функцию h(х), ГОСТа Р 34.11-94, для этого отправитель:
Генерирует случайное секретное число k<q,
Вычисляет значения
При r=0, то k присваивают другое значение и начинают сначала, при =0, топринимают =1
3. Документ М и цифровая подпись, представляющая пару (), отправляются по сети.
Получатель вычисляет
u1 = [(h(m)-1 mod q)* s mod q]
u2 =[(h(m)-1 mod q) *(q-r) mod q)]
v = [(au1 yu2) mod p] mod q
4. Подпись корректна, если v = r.
Подпись созданная с использованием стандарта ГОСТ 3410 называется рандомизированной, так как для одного и того же сообщения с использованием одного и того же закрытого ключа каждый раз будут создаваться разные подписи (r,s), из-за новое значение k.
Подпись, созданная с применением алгоритма RSA, называется детерминированными, так как для одного и того же сообщения с использованием одного и того же закрытого ключа каждый раз будет создаваться одна и та же подпись
Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
При первичной регистрации пользователю присваивается идентификатор – (ID) или имя пользователя (содержащую помимо имени пользователя и служебную информацию) и аутентфикатор или пароль, хранящейся в виде зашифрованной односторонней функции d(P)в базе паролей.
При входе пользователь вводит идентификатор и аутентификатор, на основании которого вычисляется d (P). По ID определяется является ли учетная запись локальной, в этом случае сравнивается d(P), хранящейся в базе паролей с введенным пользователем. Если запись не является локальной, то вызывается программа проверки подлинности на удаленном компьютере-сервере. Для этого ID в открытом виде передается серверу, который генерирует случайное число S и передает его клиенту.
Клиент применяет одностороннюю функцию шифрования d(S), в которой в качестве параметра используется d (P) и передает ее серверу.
Сервер шифрует число S с параметрами d (P), взятыми из собственной базы и проверяет с данными присланными клиентом, в случае совпадения идентификация прошла успешно, в противном случае возвращается код ошибки.
В случае успешной аутентификации создается процесс- оболочка, приписывает всем процессам пользователя права доступа.
Достоинство: простота и привычность.
Недостатки:
1. Угадывание "методом грубой силы"(используя, скажем, словарь)
2. Копирование файла пароля и подбор программированием полного перебора (предполагается, что алгоритм шифрования известен)
Противодействие
управление сроком действия паролей, по формуле[11]
,
где E-число символов в пароле; R-скорость передачи пароля; количество возможных перестановок символов в пароле; S-длина пароля;
Управление длиной пароля, не менее 8 символов;
ограничение доступа к файлу паролей;
ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");
использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).