- •«Безопасность клиентских операционных систем» оглавление
- •Тема 1. Основные понятия, структура операционной системы Введение
- •1. Понятие об архитектуре аппаратных средств
- •Классификация программных средств
- •Место и функции системного программного обеспечения
- •Принципы работы вычислительной системы
- •2. Что такое операционная система. Структура вычислительной системы.
- •Краткая история эволюции вычислительных систем
- •Основные понятия, концепции ос
- •Режимы работы операционных систем режимы обработки данных
- •Однопрограммные режимы обработки данных
- •Многопрограммные режимы обработки данных
- •Режимы и дисциплины обслуживания
- •Режимы обслуживания
- •Дисциплины обслуживания
- •Список использованных источников
- •Некоторые сведения об архитектуре компьютера
- •Рейтинг популярности операционных систем, апрель 2009 года
- •Тема 2. Классификация операционных систем
- •Особенности алгоритмов управления ресурсами
- •Поддержка многозадачности
- •Поддержка многонитевости
- •Особенности аппаратных платформ
- •Особенности областей использования
- •Особенности методов построения
- •Основные принципы построения операционных систем
- •Пользовательский интерфейс операционных систем
- •Классификация интерфейсов
- •Пакетная технология
- •Технология командной строки
- •Графический интерфейс
- •Простой графический интерфейс
- •Wimp-интерфейс
- •Речевая технология
- •Биометрическая технология
- •Семантический интерфейс
- •2. Обзор современных операционных систем
- •Операционные системы для конечных пользователей
- •Серверные операционные системы
- •Серверные версии Windows
- •Unix и ее разновидности
- •Серверные версии Linux
- •Контрольные вопросы
- •Список использованных источников
- •Тема 3. Основные понятия и положения защиты информации в информационно-вычислительных системах Введение
- •1. Предмет защиты информации
- •2. Объект защиты информации
- •2.1. Основные положения безопасности информационных систем
- •2.2. Основные принципы обеспечения информационной безопасности в ас
- •3. Требования профиля защиты «безопасность информационных технологий. Операционные системы. Клиентские операционные системы». Основные термины и определения
- •Тема 4. Угрозы безопасности информации в информационно- вычислительных системах
- •1. Анализ угроз информационной безопасности
- •2. Методы обеспечения информационной безопасности
- •2.1. Структуризация методов обеспечения информационной безопасности
- •2.2. Классификация злоумышленников
- •2.3. Основные направления и методы реализации угроз информационной безопасности
- •Основные методы реализации угроз информационной безопасности ас
- •Контрольные вопросы
- •Тема 5. Требования профиля защиты Введение
- •1.1. Требования фстэк России
- •15408-2002 В целях регламентации требований защиты к наиболее широко используемым изделиям информационных технологий
- •Тема 6. Программно-технический уровень информационной безопасности
- •1. Основные понятия программно- технического уровня информационной безопасности
- •2. Требования к защите компьютерной информации
- •2.1. Общие положения
- •2.2. Классификация требований к системам защиты
- •2.3. Формализованные требования к защите информации от нсд. Общие подходы к построению систем защиты компьютерной информации
- •2.3.1. Требования к защите конфиденциальной информации
- •2.3.2. Требования к защите секретной информации
- •2.4. Различия требований и основополагающих механизмов защиты от нсд
- •Контрольные вопросы
- •Тема 7. Модели безопасности основных операционных систем
- •1. Механизмы защиты операционных систем
- •Фрагмент матрицы доступа
- •2. Анализ защищенности современных операционных систем
- •2.1. Анализ выполнения современными ос формализованных требований к защите информации от нсд
- •2.2. Основные встроенные механизмы защиты ос и их недостатки
- •2.2.1. Основные защитные механизмы ос семейства unix
- •2.2.2. Основные защитные механизмы ос семейства windows (nt/2000/xp)
- •2.3. Анализ существующей статистики угроз для современных универсальных ос. Семейства ос и общая статистика угроз
- •Количество известных успешных атак для различных ос
- •Общее количество успешных атак для различных групп ос
- •2.4. Обзор и статистика методов, лежащих в основе атак на современные ос. Классификация методов и их сравнительная статистика
- •3. Система безопасности операционной системы windows nt
- •3.1. Сервер аутентификации kerberos
- •3.2. Элементы безопасности системы
- •4. Защита в операционной системе unix
- •5. Защита в операционной системе novell netware
- •Список возможных прав по отношению к каталогу или файлу
- •Список возможных прав по отношению к объекту
- •Контрольные вопросы
- •1Идентификация и аутентификация
- •Пароли, уязвимость паролей
- •Шифрование пароля
- •2Авторизация. Разграничение доступа к объектам ос
- •Домены безопасности
- •Матрица доступа
- •Список прав доступа. Access control list
- •Мандаты возможностей. Capability list
- •Другие способы контроля доступа
- •Смена домена
- •Недопустимость повторного использования объектов
- •3Выявление вторжений. Аудит системы защиты
- •4Анализ некоторых популярных ос с точки зрения их защищенности
- •5Заключение
- •Список использованных источников
- •Часть 2
5Заключение
Решение вопросов безопасности операционных систем обусловлено их архитектурными особенностями и связано с правильной организацией идентификации и аутентификации, авторизации и аудита.
Наиболее простой подход к аутентификации - применение пользовательского пароля. Пароли уязвимы, значительная часть попыток несанкционированного доступа в систему связана с компрометацией паролей.
Авторизация связана со специфицированием совокупности аппаратных и программных объектов, нуждающихся в защите. Для защиты объекта устанавливаются права доступа к нему. Набор прав доступа определяет домен безопасности. Формальное описание модели защиты осуществляется с помощью матрицы доступа, которая может храниться в виде списков прав доступа или перечней возможностей.
Аудит системы заключается в регистрации специальных данных о различных событиях, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы.
Среди современных ОС вопросы безопасности лучше всего продуманы в ОС Windows NT.
Список использованных источников
|
Альманах программиста. Том 1. Microsoft ADO.NET, Microsoft SQL Server. Доступ к данным из приложений Серия: Альманах программиста. Издательство: Русская Редакция, 2003 г. 400 стр. |
|
Ахо В., Хопкрофт Д., Ульман Д. Структуры данных и алгоритмы М.: Вильямс, 2001 |
|
Баурн С. Операционная система UNIX М.: Мир. 1986 |
|
Березин А.С., Петренко С.А. Безопасность корпоративной информационной системы глазами бизнеса// Экспресс-электроника. - № 9. - 2002. - С. 84-87. |
|
Васильков А.В., Васильков И.А. Безопасность и управление доступом в информационных системах. 2009 г. 368 с. |
|
Беляков М.И., Рабовер Ю.И., Фридман А.Л. Мобильная операционная система М.:, Радио и связь, 1991 |
|
Блэк У. Интернет: протоколы безопасности. Учебный курс Спб.: Издательский дом Питер, 2001 |
|
Дейтел Г. Введение в операционные системы М.: Мир, 1987 |
|
Основы Windows NT и NTFS М.: Русская редакция. 1996 |
|
Олифер В.Г., Олифер Н.А. Сетевые операционные системы Спб.: Издательский дом Питер, 2001 |
|
Столлингс В. Операционные системы. -М.: Вильямс, 2001 |
|
Таненбаум Э. Современные операционные системы СПб.: Издательский дом Питер, 2002 |
|
Робачевский А. Операционная система UNIX Спб.: BHV, 1999 |
|
Нормативные акты |
|
Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ. |
|
Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 19.07.2009) "О Центральном банке Российской Федерации (Банке России)" |
|
Федеральный закон от 02.12.1990 N 395-1 (ред. от 28.04.2009) "О банках и банковской деятельности" |
|
Закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
|
Правило (стандарт) аудиторской деятельности "аудит в условиях компьютерной обработки данных" (одобрено комиссией по аудиторской деятельности при Президенте РФ 22.01.1998 протокол № 2) |
|
Стандарт Банка России СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций Банковской системы Российской Федерации. Принят Распоряжением Центрального банка РФ 26 января 2006 г. № Р-27 |
|
Постановление Государственного комитета Российской Федерации по стандартизации и метрологии (Госстандарт России) от 30 января 2004 г. N 4 г. Москва «О национальных стандартах Российской Федерации « |
|
Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993. |
|
Control Objectives for Information and related Technology (COBIT) 3rd Edition, July 2000. |
|
Supervisory Memorandum — 1001, Rating Systems for Commercial Banks, Trust Departments, Foreign Bank Agencies, and Electronic Data Processing Operations Supervised by the Department of Banking, Texas Department of Banking, December 31, 1998 (rev). |
|
Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993. |
|
Supervisory Memorandum — 1001, Rating Systems for Commercial Banks, Trust Departments, Foreign Bank Agencies, and Electronic Data Processing Operations Supervised by the Department of Banking, Texas Department of Banking, December 31, 1998 (rev). |
|
Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993. |
|
Интернет ресурс |
|
http://www.port-22.ru |
|
http://www.fstec.ru/ |
|
http:// domarev.kiev.ua/book-02/gloss.htm |
|
http://apkit.ru/ |
|
http://aspe.hhs.gov/admnsimp/pl104191.htm |
|
http://bezpeka.ladimir.kiev.ua/index.php |
|
http://bos.dn.ua/ |
|
http://dic.academic.ru/ |
|
http://edocs.al.ru/secure/content.html |
|
http://en.wikipedia.org/wiki/GLBA |
|
http://internet-future.narod.ru/ |
|
http://it-professional.ru/ |
|
http://nalog.consultant.ru/doc18152 |
|
http://ru.wikipedia.org |
|
http://sb.adverman.com/ |
|
http://synopsis.kubsu.ru/informatic/ |
|
http://uks.dol.ru/ |
|
http://ww-4.narod.ru/warfare/warfare.htm |
|
http://www.abbyy.ru/ |
|
http://www.abiss.ru/news/256/ |
|
http://www.aicpa.org/assurance/systrust/index.htm. |
|
http://www.bdm.ru/arhiv/2006/03/62-63.htm |
|
http://www.biztalk.org/ |
|
http://www.bytemag.ru/articles/detail.php?ID=8773&phrase_id=451 |
|
http://www.cfm.ru/ |
|
http://www.citforum.ru/ |
|
http://www.cognitive.ru/ |
|
http://www.commerce.net/ |
|
http://www.consultant.ru/ |
|
http://www.consultant.ru/popular/techreg/ |
|
http://www.cos.ru/ |
|
http://www.coso.org/ |
|
http://www.deloitte.com/dtt/cda/doc/content/SOXComplianceChallenges0506_rus.pdf |
|
http://www.documentum.ru |
|
http://www.ean.ru/ |
|
http://www.editrans.ru/ |
|
http://www.efrat.ru/ |
|
http://www.fstec.ru/_razd/_ispo.htm |
|
http://www.garant.spb.ru |
|
http://www.gost.ru/ |
|
http://www.infobroker.ru/ |
|
http://www.intuit.ru/department/security/secbasics/ |
|
http://www.isaca-russia.ru/ |
|
http://www.kodeks.net |
|
http://www.lanit.ru |
|
http://www.lc.ru/ |
|
http://www.lotus.ru |
|
http://www.mdi.ru/ |
|
http://www.microsoft.com/dynamics/nav/product/navision_sox.mspx |
|
http://www.opsi.gov.uk/acts/acts1990/ukpga_19900018_en_1 |
|
http://www.pcaobus.org/ |
|
http://www.pcweek.ru/ |
|
http://www.rb.ru/inform/15277.html |
|
http://www.rbc.ru/ |
|
http://www.rg.ru/2004/03/06/standart-dok.html |
|
http://www.rnivc.kis.ru/ |
|
http://www.soft4u.ru/goods/symantec/symantec_esm.html |
|
http://www.srcc.msu.su |
|
http://www.ukas.com/ |
|
http://www.unece.org/trade/untdid/welcome.htm |
|
www.bizon.ru |
|
www.bsi-global.com |
|
www.cnews.ru |
|
www.compulenta.ru |
|
www.dials.ru |
|
www.dist-cons.ru/modules/security/main.htm |
|
www.drweb.com/ |
|
www.hackzone.ru |
|
www.infowatch.ru |
|
www.isecurity.ru |
|
www.isn.ru/ |
|
www.it.ru |
|
www.itmane.ru/ |
|
www.jetinfo.ru/ |
|
www.kaspersky.ru/ |
|
www.magazin.ru |
|
www.microsoft.com/rus/msdnaa/curricula/ |
|
www.oborot.ru |
|
www.olap.ru |
|
www.osp.ru |
|
www.oxpaha.ru |
|
www.refer.ru |
|
www.russianlaw.net |
|
www.sbcinfo.ru |
|
www.sec.ru |
|
www.studfiles.ru/dir/cat32/subj1175.html |
|
www.subscribe.ru |
|
www.tops.ru |
|
www.tops.ru |
|
www.topsbi.ru |
|
www.viruslist.com |
|
www.wtu.ru/structure/kaf/infor_mened/kurs/ib_int.php |