- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Матричная модель доступа
Задача логического управления доступом состоит в том, чтобы:
для каждой пары "субъект-объект" устанавливается перечень прав субъекта по отношению к объекту, например множество допустимых операций, представленных на рис.
осуществляет контроль выполнение установленного порядка
Чтение( R) |
Запись (W, A) |
Выполнение (X) |
Передача прав доступа другим пользователям | |
|
Запись с изменением содержимого файла (W) |
Дописывание в файл (A) |
|
|
Перечень правил, устанавливающих типы доступа субъектов к объектам оформляются в виде так называемых таблиц управления доступом –матриц доступа. В столбцах матрицы перечислены объекты, строках– субъекты, а в клетках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, так:
Табл. Фрагмент матрицы доступа | |||
|
Объект Oj | ||
Субъект (Si) |
Реферат |
… |
lsass.exe |
Х |
rwx |
… |
--x |
… |
… |
… |
|
Y |
--- |
… |
--x |
Дискреционный доступ (произвольное управление доступом)
Дискреционный доступ– метод доступа, позволяющий устанавливать правила доступа владельцем объекта (т.е. правом предоставления своих объектов другим пользователям). Подавляющее большинство ОС и СУБД реализуют дискреционный доступ.
Для описания матрицы доступа применяются [13] по отношению к объекту:
индивидуальные разрешения– определяет явное указание прав доступа между индивидуальными пользователями и ресурсами, что позволяет максимально детализовать установления прав доступа;
групповые разрешения–определяются между множеством пользователей, сгруппированных по определенному признаку и/или ресурсами (множеством упорядоченных файлов и каталогов). Групповые разрешения позволяют снизить расходы на хранение настроек разграничения доступа и упростить администрирование поскольку их легче контролировать при частых изменений прав доступа.
По отношению к атрибутам объекта:
Прямые разрешения доступа– присвоение объекту атрибутов разграничения доступа производится пользователем при его создании. Однако данный подход приводит к обременению пользователей обязанностями по выставлению прав доступа к своим объектам.
Наследуемые разрешения атрибуты разграничения доступа наследуются от владельца и обеспечивают автоматическую защиту создаваемых объектов по умолчанию.
Для формализованного описания правил разграничения используют списки управления доступом ACL (access control list), содержащие правила доступа к объекту, включая индивидуальные, групповые, прямые, наследуемые.
Недостатки:
1. Трудность администрирования матрицы доступа при большом количестве разнородных элементов.
2. Ко многим объектам возможен доступ с помощью разных сервисов (например к СУБД можно получить доступ путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой.).
3. Списки управления доступом ACL связаны с объектами доступа локально и копирование, передача по сети и т. д., не приведет к автоматическому восстановлению исходных параметров разграничения доступа.
4. Сложность организации работы с данными имеющими грифы секретности.