- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Полномочный или мандатный доступ
Метод логического управления доступом, основанный на присвоении объектам и субъектам меток безопасности. Метки безопасности выбираются из некоторого множества M={M1, M2,… Mn} и назначаются при создании в системе. Объекту присваивается метка в виде грифа конфиденциальности (конфиденциально, строго конфиденциально, секретно и т. д.). Субъекту присваивается метка доступа (для руководящего звена, инженерно- технического персонала и т.д.). Доступ субъекта к объекту осуществляется на основании операции сравнения элементов меток M (>, <, = ). Это означает, что матрица доступа не хранится в явном виде, а при каждом запросе субъектом объекта вычисляется содержимое соответствующих клеток. Субъект допускается к работе, если его уровень допуска равен или выше уровня конфиденциальности документа, а в наборе категорий, присвоенных субъекту содержаться все категории определенные для данного документа.
Достоинство: Упрощение процесса регулирования доступа, так как при создании объекта достаточно создать метку.
Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
Каждому субъекту присваиваются идентификаторы:
UID-идентификатор пользователя;
GID-идентификатор группы.
1. При входе в систему программа регистрации login запрашивает у пользователя имя и пароль, осуществляет поиск в имени пользователя в файле паролей etc/passwd при нахождении имени пароль хэшируется и сравнивается с существующим в файле.
2. При успешной аутентификации программа регистрации считывает из файла паролей имя программы-оболочки пользователя, а также системные вызовы setuid и setgid. /идентификатор пользователя и группы, к которой он принадлежит/.
3. Программа регистрации открывает клавиатуру, для ввода и экран для вывода. Завершает работу и передает управление оболочке пользователя.
4. Оболочка пользователя следит за тем, чтобы все процессы, запущенные пользователем наследовали атрибуты UID и GID, описывающие данного пользователя. Доступ к файлам, каталогам, устройствам и портам ввода/вывода реализуется через интерфейс доступа к объектам файловой системы и в общем случае содержат права доступа на чтение, запись и выполнение.
5. Для любого объекта определены параметры (ULD, OID???), наследуемые от порождающих их процессов в момент создания. Разрешение на доступ для каждого объекта хранятся в индексных дескрипторов файлов (специальных служебных атрибутах файловой системы) для владельца, для группы, к которой относится владелец и для остальных пользователей. При обращении процесса к файлу системой проверяются идентификаторы UID и GID и из таблицы процессов с соответствующими значениями индексного дескриптора. В случае обнаружении в нем разрешающей записи, предоставляется доступ, в противном случае доступ запрещается. При последующих обращениях к процессу проверка не выполняется. В результате если режим защиты файла изменяется уже после того, как файл открыт новый режим не повлияет на процессы, которые уже успели открыть этот файл.
Управление доступом в Windows 2000
Каждому объекту (пользователю/группе) назначается идентификатор безопасности SID.
Для каждого процесса назначается маркер доступа.
|
Заголовок |
Срок действия |
Группы |
DACL |
Ограниченные идентификаторы |
SID пользователя |
SID группы |
Привилегии |
DACL-список управления доступом, назначаемый объектом, созданным процессом, если не определены другие списки ACL.
Ограниченные идентификаторы– SID позволяют ненадежным процессам принимать участие в заданиях вместе с надежными, процессами, но с меньшими полномочиями и меньшими возможностями причинения ущерба.
Привилегии позволяют разбить полномочия администратора на отдельные права с передачей их другому пользователю.
При входе в систему пользователя процесс winlogon, вызывает локальный администратор безопасности LSA, который обращается к пакету проверки подлинности и если учетная запись локальная, то пароль хешируется и сравнивается с находящимся в локальной базе данных учетных записей SAM.В противном случае служба Netlogon вызывает программу проверки подлинности на удаленном компьютере. В случае успешной проверки SAM возвращает LSA SID пользователя и группы.
Если вход разрешен, то создается маркер доступа (access token) который изначально применяется ко всем потокам процесса. Во время исполнения процесса поток может получать другой маркер доступа. Такой механизм называется перевоплощением.
Для любого объекта определен дескриптор безопасности (security descriptor)
|
Версия |
SID владельца |
SID группы |
DACL |
SACL |
Control |
DACL –Дискреционный список контроля доступа, содержащий массив записей контроля доступа (Access Control Entry, ACE) Используется 2 основных типа элементов списка- разрешение и запрет. Разрешающий элемент содержит SID пользователя и битовый массив, определяющий набор операций, которые процессы с данными идентификаторами могут выполнять с объектом. Запрещающий элемент работает аналогично, но совпадение идентификатора означает, что обращающийся процесс не может выполнить перечисленные операции
SACL– системный список контроля доступа, определяющий какие записи аудита будут генерироваться системой.
Control- флаги владельцев объектов.
При попытке процесса пользователя получить доступ к объекту монитор безопасности сравнивает информацию в маркере доступа субъекта с информацией в дескрипторе безопасности объекта. Для этого он создает маску запроса на доступ, которая просматривает список DACL, ассоциированный с объектом. Если вызывающий процесс обладает необходимыми правами, то объект открывается.
Выделяют два способа предоставления доступа:
разрешения объектов- определяется дискреционный доступ;
системные права-управление доступом на уровне системных прав представляет ролевое разделение ресурсов на уровне функциональных задач, решаемых конкретным пользователем. В ряде случаев наличие системных прав может означать может означать предоставление доступа к ресурсам без наличия разрешений на уровне объектов (например, пользователь, обладающий правами резервного копирования может читать файлы, даже при отсутствии объектных разрешений доступа, указанных в ACL).
5. После того как объект открыт. Дескриптор объекта возвращает вызывающему процессу. При последующих обращениях проверяется входит ли данная операция в число разрешенных.