- •Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- •Властивості інформації, що підлягають захисту.
- •Класифікація загроз інформації
- •5. Посередництво (Man-In-Middle).
- •6. Зловживання довірою
- •7. Комп’ютерні віруси:
- •8. Атаки на рівні застосувань:
- •Причини виникнення загроз
- •Структура політики безпеки
- •1) Таблиця збитків:
- •2) Таблиця імовірності атаки:
- •3) Таблиця ризиків:
- •V) Реакція системи на вторгнення
- •VI) Опис повноважень користувачів системи
- •Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- •Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- •Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- •1) Пасивні методи:
- •2) Активні методи:
- •Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- •Формальні моделі доступу
- •Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- •Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- •Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- •I. Протокол „виклик-відповідь”
- •II. Використання одноразових паролів.
- •IV. Протокол Kerberos.
- •Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- •Основні компоненти системи безпеки ос Windows
- •Аутентифікація користувача. Вхід у систему
- •Маркер доступу. Контекст користувача
- •Запозичення прав
- •Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- •Ролевий доступ. Привілеї
- •5. Заборона використання usb-дисків.
- •7. Блокування мережевих загроз.
- •9. Захисник Windows.
- •Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- •2. Підтримка шифрувальних файлових систем у зазначених ос.
- •Захищені протоколи. Протокол ssl.
- •Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- •2. Біометричні засоби ідентифікації
Захист інформації в комп’ютерних системах від несанкціонованого доступу.
В Україні існує 3 класи автоматизованої системи:
АС-1 - ізольований, окремий комп’ютер.
АС-2 - сукупність АС-1 не об’єднаних в мережу або локальна мережа, яка не має виходу за межі контрольованої зони;
АС-3 - локальна мережа, яка має вихід за межі контрольованої зони.
В Україні розроблені критерії оцінки захисту інформації в комп’ютерній системі від несанкціонованого доступу (НДТЗІ 2.5-004-99)
Розглянемо критерії оцінки
Критерії конфіденційності.
Критерії цілісності.
Критерії доступності.
Критерії спостережності.
Критерії гарантій.
Довірча конфіденційність (цілісність): використання ресурсів означає що система ґрунтується дискреційній моделі доступу.
мінімальна довірча конфіденційність (КД1) на цьому рівні дозволені потоки інформації відображаються тільки до певних перелічених процесів. Однак нерегламентовано хто може ініціалізувати процес
базова довірча конфіденційність (КД-2) розмежовування доступу до об’єкту збоку кожного користувача. Для такої системи можна побудувати матрицю доступу.
повна довірча конфіденційність (КД-3) на цьому рівні можна побудувати повну матрицю доступу суб’єктів до об’єктів(списки доступу).
абсолютна довірча конфіденційність (КД-4) повне керування конфіденційною інформацією в комп’ютерній системі гарантує, що інформація надсилається об’єктом потрібному користувачу. Для такої системи можна побудувати повну матрицю доступу користувачів, процесів і параметрів користувачів до захищених об’єктів і процесів.
Адміністративна конфіденційність (цілісність)- передбачає використання мандатної моделі доступу.
Розглянемо приклад роботи з нормативним документом НДТЗІ 2.5-005-99 В цих документах (класифіковані автоматизовані системи)
Проведено класифікацію комп’ютерних систем та розраховані так звані стандартні функціоналі профілі захищеності. Ці профілі треба використовувати, як довідковий матеріал, який дозволяє швидко і просту сформувати потрібні вимоги до захисту інформації. Однак в більшості випадків не треба сприймати ці профілі, як абсолютний стандарт для побудови системи захисту.
1.КЦД.1 (тип АС. позначення сервісів (конфід.,цілісн.,доступн.).номер профіля)
Приклад:
1.К.1={НР-1,НИ-1,НК-1,НО-1,НЦ-1,НТ-1}
1.КЦ.1={НР-1,НИ-1,НК-1,НО-1,НЦ-1,НТ-1}
1.КД.4={КА-1,КО-1,ДР-2,ДС-3,ДЗ-3,ДБ-3,НР-3,НИ-2,НК-1,НО-1,НЦ-2,НТ-2}
Розглянемо в якості прикладу вимоги стандартного профіля 1.КЦ.1 НР1: Спостереження->реєстрація->НР-1
Вимоги:
Політика реєстрації, що реалізується в системах захисту повинна визн. пер. подій, що потребують реєстрації
Система захисту повинна здійснювати реєстрацію подій, що мають безпосереднє відношення до подій
Журнал реєстрацій ї повинен містити інформації про дату, час, місце, успішність чи неуспішність кожної зареєстрованої події. Крім того журнал реєстрації повинен містити інформацію доступу для встановленого користувача, процесу, об’єкту, що мали відношення до події
Система захисту повинна бути здатною передавати журнал реєстрації в інші системи з використанням певних механізмів захисту.
НИ-1: зовнішня ідентифікація і аутентифікація
а) Політика безпеки повинна визначати атрибути і послуги для аутентифікації користувача.
б) Перш ніж надати сервіс користувачу необхідно отримати від нього ідентифікатор цього користувача.
аут.->сервіс.
НК-1: одн. достовірний канал
а) Політика безпеки повинна визначати механізм встановлення зв’язку між користувачем і системою.
б) Достовірний канал повинен використовуватися для початку ідентифікації та аутентифікації причому зв'язок повинен ініціалізуватися виключно користувачем.
НО-1: Виділення адміністратора
а) Політика розподілу обов’язків повинна визначати ролі адміністратора та звичайних користувачів та їх функції.
б) Користувач може виступати в певній ролі тільки після виконання аутентифікації.
НЦ-1: КЗЗ з контролем цілісності
Політика цілісності повинна визначати склад і механізми контролю цілісності комп’ютера, що входять до її складу.
В разі виявлення порушень цілісності системи повинно повідомити адміністратора або автоматично відновити компоненти відповідно до еталону або перевести систему до такого стану з якого повернути його до нормального стану може тільки адміністратор.
Повинні бути описані обмеження, які гарантують що послуги безпеки доступні тільки через її інтерфейс і всі запити до захисту об’єктів контрольованої системи.
Додаток до цієї лекції: НДТЗІ 2.5-005-99