- •1.Основные термины и определения
- •2. Концепция защиты свт и ас от нсд к информации
- •3.Основные направления обеспечения защиты от нсд
- •4.Классы защищенности свт
- •5.Требования к показателям (3) третьего класса защищенности
- •6.Требования к показателям (2) второго класса защищенности
- •7.Требования к показателям (1) первого класса защищенности
- •8.Требования по защите информации от нсд для ас.
- •9.Требования к классу защищенности 3а:
- •10.Требования к ас второй группы
- •11.Требования к ас первой группы
- •12. Временное положение по организации и разработке, изготовления и эксплуатации сзи нсд в ас и свт.
- •13.Потенциальные угрозы информации, обрабатываемой в пк.
- •14.Наиболее популярные методы идентификации:
- •15.Сравнительный анализ различных биометрических методов.
- •36,37.Partition Boot Sector (Boot Record)
- •39.Data Secure
- •16.Идентификация по клавиатурному почерку
- •19.Идентификация по росписи мышью
- •17.Идентификация по голосу
- •18.Распознавание по лицу
- •20.Идентификация с помощью электронных таблеток iButton (Touch Memory до 1997)
- •44,45.Система защиты от нсд Dallas Lock
- •21.Контактный серийный номер ds1990a
- •22.Контактный ключ ds 1991
- •23.Семейство эл. Таблеток с энергонезав. Озу ds 1992 - 1996
- •24.Таблетка ds 1994
- •25.Эл. Таблетка с электрически однократно программируемым пзу ds 1982, 85, 86 Не требует внутреннего ист-ка питания. Стр-ра памяти ds 1982:
- •26.Эт ds 1920
- •28.Ds 2404s-co1
- •30, 31.Временные параметры сетей MicroLan.
- •47,48.Защита от нск
- •49.Рассмотрим методы построения защиты от копирования (вопрос по методичке).
- •32.Сеть MicroLan.
- •40.Комплекс сзи от нсд “Аккорд”.
- •42.Основные версии аппаратного обеспечения комплекса:
- •43.Следующие версии по:
- •51. Защита от нск (продолжение)
- •54.Электронные ключи
- •55.Достоинства эк:
- •57.Способ построения систем защиты на базе hasp- ключей.
- •58.Семейство ключей hardlock.
32.Сеть MicroLan.
С использованием ЭТ кроме контроля за доступом к компу можно осуществлять централизованный контроль за временем и правами доступа персонала в разл. офисы, лаборатории, склады. Для этих областей характерно большое и непредсказуемое кол-во точек расположения приборов. * значительная протяж-ть линий связи, * небольшой объём предаваемых данных, * некритична скорость передачи. Для такого применения традиционные сети оказываются неподходящими в сили след-х причин: 1) не поддерж-т необх. протяж-ть линий связи, 2) требуют больших инвестиций для установки и обслуживания, 3) непредназначены для пост. изменения конфигурации сети, 4) не обладают достат. адресным пространством. Фирма DallasSemiconductorразработала сетевой стандартMicrolan. Данная сеть основана на использ-и интерфейса однопроводной шины. Сеть требует для осущ-я связи только 1 проводник + зазем. провод. м. исп-ся неэкран-я витая пара, либо телеф. провод. Сеть работает на расст-и до 300 м. без повторителей. Сеть использует структуру с одним ведущим устройством шины и многочисл-ми ведомыми, что позволяет избежать конфликтов, связ-х с работой на одной шине сразу нескольких ведущих. Построение выходных каскадов всех ЭТ на основе полевого транзистора с открытым стоком, совместно с использ-можно совместного алгоритма работы позволяет разрешить все конфликты, связанные с одновр. работой неск-х ведомых устр-в. В небольших конфигурациях сеть имеет шинную стр-ру, при более сложной конф-и стр-ра сети м. видоизменяться в древовидную. Отдел. ветви м. отходить от общей магистрали и в свою очередь м. ветвиться, образуя целое дерево. Все ветви м. подкл-ся к сети или откл-ся с помощью адресуемых ключей. Структура м. измен-ся в процессе работы. Скорость передачи была оптимиз-на для условий работы на больших расст-х, простоты интерфейса и исп-я дешёвых, широко распр-х компонентов. Скорость = 16300 бит/сек. Этот предел м. б. реализован, например, с помощью микро ЭВМi 8051 (1816ВМ51), либо м. исп-ся послед-й порт компа. С помощью адресного пр-ва 256сеть перекрывает все существ-е сетевые стандарты. Благодаря встроенному сетевому контроллеру все ЭТ пригодны для исп-я в сети с момента подкл-я. Все ЭТ имеют уникальный серийный номер. Коммутир-ся обычно земельней провод, а линия данных подкл-ся ко всем приборам системы.Считыватели данных с ЭТ. В компе наилучшим местом для монтажа с ЭТ явл-ся отверстие, оставшееся на передней панели после снятия замка управления клавой. Для крепежа на корпус компа исп-ся считывательDS9092. Также м. исп-ть считыватель в виде ручки.
40.Комплекс сзи от нсд “Аккорд”.
А. Имеет 6 сертификатов на различные версии. Разработчик – ОКБ “САПР”и ООО“ИнфоКрипт”, обе имеют лицензию ГТК. Назначение комплекса – предотвращение доступа к инф-и пост-х лиц, выявление НС изменений мнф-и, повышение без-ти и конф-ти. В состав входят: плата контроллера комплекса (ISA), контактное устр-во (счит-ль) для ЭТ, пара идент-вi Buttonсерии DS199х и ПО. М. выделить ряд особенностей: 1) исп-е ЭТ, 2) осущ-е идентиф-и до загрузки ОС, 3) возможен дополнительный режим ввода пароля с клавы, 4) имеется возм-ть исключить загрузку с гибких дисков, а также непрерывание контрольных процедур. Доступ к опр-можно задачам опр-ся адресом сис-мы, 5) осущ-ся проверка целост-ти данных на диске по КС, эталонное значение которой м. храниться либо в ЭТ, либо в памяти компа. Принцип работы. Плата, встроенная в свободный слот, содержит ПЗУ, которому передаётся управление после запуска, во время процедурыROT SCAN. Пользователю предлагается прикоснуться ЭТ к контакт-му устр-ву. Этот идентификатор сравнивается с идентификатором, хранимым в 1-х версиях – на винте, в новых – в памяти компа. Без вытаскивания платы эту защиту обойти нельзя. Имеется защита от вытаскивания платы, при этом ш-е не использ-ся (модиф-яMBR). Контроль целостности системных областей памяти, данных процедур, т. е. защита их от модификации осущ-ся за счёт использ-я ХЭШ-функций. Контр-е значения храняться в памяти контроллера. Осн. контр-е процедуры вып-ся на аппаратном уровне до загрузки ОС. Теорет-ки А. м. работать с разл. ОС, а также в гетерогенных сетях. Система атрибутов на осн-и которых опис-ся правила разгран-я доступа к объектам инф-ой системы обеспечивает реализацию развитой политики безопасности, обеспечивающую с одной стороны – прозрачность для польз-ля, с другой – защиту от НСД. Применяются след-е атрибуты: - для опций с файлами:R, W, C(создание), N (перемеинование), D(удаление), V(невидимость файла для прог, имеет высший приоритет над предыдущими), U(эмуляция разрешения записи в файл – подменаRнаRWна этапе открытия файла. Эти атрибуты опред-т права дост. на доступ к отдельным файлам. Они обеспеч-ся, даже если файл располаг-ся в каталоге, к которому у польз-ля нет доступа.), Х (запуск); - связанные с опциями над каталогами: Можно (создание каталогов на диске), Е (удаление),G(доступ-ть каталога),S (наследование подкаталогами атр-в каталога); - связ-е с регистрацией:r (регистр-ся все опции чтения,w(- опции записи). Обеспечивается поддержка 2 списков файлов – белого и чёрного. Файлы, указ-е в ЧС недосягаемы, даже если они располаг-ся в каталогах, к которым есть доступ, в них вкл-ся также логич-е устр-ва и драйверы устройств. В обычных системах по отношению к иерарх. элементам ФС (например, диск-каталог-файл) действует правило по которому доступ к объектам ниж. уровней опр-ся миним-ми правами доступа ко всем объектам вышележ-х уровней. В А. это действует на уровне лог. дисков.Для остальных устройств атрибуты явл-ся независимыми (если не стоит атрибут S). Возм-ть исп-я атрибутов в сетях и наличие средств централизов. упр-я безопасностью и ср-в аудита. Имеется возм-ть работы с сертиф-ми средствами шифрования. Имеются возможности блокировки экрана и клавиатуры. Имеется спец. программа для вывода на печать. Можно устанавливать временные ограничения на доступ к компьютеру.