- •41. Номенклатура продуктов семейства Аккорд. По для защиты лвс.
- •48. Secret Net Настройка системы защиты и управления объектами.
- •42.Система зи от нсд Dallas Lock. Состав, версии, назначение, основные возможности.
- •44. Реализация и способы шифрования, реализованные в Dallas Lock Журналы, их виды, настройка, особенности организации аудита.
- •43.Система зи от нсд Dallas Lock Возможности разграничения доступа реализованные в Dallas Lock.
- •45. Secret Net. Основные версии. Их характеристика. Сервер безопасности.
- •46. Secret Net. Основные функции и возможности.
- •47. Secret Net. Система управления. Клиентское по.
- •50. Общие принципы организации защиты компьютеров
- •1. Средства защиты от несанкционированного входа в систему:
- •2. Средства управления доступом к ресурсам:
- •3. Средства криптографической защиты данных:
- •4. Средства регистрации и оперативного контроля:
- •49. Secret Net понятие профилей их состав. Реализация замкнутой пс. Режимы работы.
- •51. Средства разграничения доступа.
- •52. Secret Net. Средства разграничения доступа кроме системы атрибутов
- •53. Secret Net. Типы объектов. Привилегии пользователя.
- •54. Формат записи.
- •55. Строение стандартной дорожки гмд.
- •64. Методы защиты с использованием hasp ключей.
- •56. Методы преодоления системы защиты от копирования
- •57 - Защита программ после их размещения на пк Идентификация пк на основе особенностей аппаратной среды. Идентификационные параметры. Сравнительный анализ способов идентификации.
- •58 - Защита программы после размещения на винчестере. Идентификация пк по программным особенностям среды. Способы идентификации. Достоинства и недостатки.
- •59 - Побитовые копировщики. Принципы и особенности работы Профессиональный побитовый копировщик fda 6.0. Назначение. Функциональные возможности. Режимы и особенности работы.
- •60 - Средства копирования программы из памяти. Карты копирования. Программные средства (Autohack, Intruder).
- •62. Достоинства электронных ключей. Защита данных. Защита в сети
- •63. Электронные ключи hasp Номенклатура, реализация.
- •65. Семейство ключей HardLock Состав системы защиты на базе ключей. Особенности ключей.
- •67. Понятие изучения и обратного проектирования по. Цели и задачи изучения работы по. Средства исследования по, их классификация. Принципы работы.
- •68. Механизмы защита от отладчиков
- •69. Механизмы защиты от дизассемблеров
- •70. Ключи eToken. Достоинства. Области применения.
- •71. Ключи eToken Pro. Особенности Типы файлов. Объекты.
- •72. Ключи eToken r2. Особенности. Уровни пользователей и их полномочия. Система команд
- •73. Ключи eToken r2. Файловая система. Особенности. Режимы защиты. Конфигурация.
- •76. Механизм заражения вирусами
- •77. Способы маскировки вируса.
- •79. Классификация по уровню недекларируемых возможностей. Требования к разным классам
44. Реализация и способы шифрования, реализованные в Dallas Lock Журналы, их виды, настройка, особенности организации аудита.
DL представляет собой программно-аппаратную систему защиты ПК. Система предназначена для исключения несанкционированного доступа к ресурсам компьютера.
Входящие в состав программного обеспечения оболочка администратора ADMSHELL и программа SETUP предназначены для настройки, изменения режимов работы системы и просмотра электронного журнала с целью контроля событий, связанных с несанкционированным доступом к компьютеру.
Модули статического шифрования и модуль шифрования данных на дискетах предназначены соответственно для защиты данных пользователя, хранящихся на логических дисках "винчестера" и дискетах. Генерация шифровальных ключей осуществляется на основании личных паролей и электронных карт.
Если на рабочей станции пользователя установлен комплекс защиты Dallas Lock 3.1, то для этой станции из всего перечня функций Dallas Lock 4.1 for Administrator возможна лишь одна: ведение двух сетевых журналов - обобщенного журнала входов и журнала работы.
При выполнении процедуры входа на компьютер система анализирует электронную карту и личный пароль пользователя. При этом в электронных журналах фиксируются номер предъявленной карты, имя пользователя, дата и время попытки входа и результат попытки (проход - отказ в доступе), а также причина отказа в загрузке ПЭВМ в случае неудачи. В электронных журналах фиксируются действия ПОЛЬЗОВАТЕЛЕЙ по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному принтеру. Электронные журналы доступны только админу.
Пользователи могут самостоятельно менять личные пароли для входа на компьютер.
Все действия администратора по изменению прав пользователей заносятся в специальный журнал.
Для усиления защиты конфиденциальной информации, хранящейся на "винчестере" и дискетах пользователей, предусмотрены модули шифрования, работающие в статическом или "прозрачном" режимах. Данные могут шифроваться с использованием нескольких алгоритмов - по выбору пользователя. Шифровальный ключ может формироваться на основе личного пароля или кода личного идентификатора. В "прозрачном" режиме информация шифруется при записи и расшифровывается при чтении со сменного носителя. При этом процесс шифрования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
контроль изменения файлов пользователя;
контроль изменения энергонезависимой памяти платы защиты;
обнаружение создания новых файлов.
Дополнительные сервисные функции предоставляет модуль Картотека, позволяющий вести учет выданных пользователям электронных карт, а также хранить некоторые данные о самих пользователях.
43.Система зи от нсд Dallas Lock Возможности разграничения доступа реализованные в Dallas Lock.
Система DL предназначена для защиты от НСД к ресурсам ПК и ЛВС, разграничения прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоколирования событий по доступу к компьютеру.
При загрузке компьютера осуществляется идентификация и аутентификация пользователя, выполняется проверка целостности контролируемых объектов средствами механизма контроля целостности. В том случае, если имя пользователя и его пароль указаны верно, разрешенное время работы совпадает с фактическим и целостность контролируемых объектов не нарушена, загрузка компьютера продолжается. В противном случае загрузка компьютера прерывается.
В процессе работы пользователя с ресурсами компьютера драйвер защиты контролирует доступ пользователя к ресурсам. Если пользователь превышает свои права доступа к ресурсу, его действия ограничиваются способом, заданным параметрами работы системы защиты. Также, средствами механизма регистрации событий осуществляется регистрация в соответствующих журналах всех событий, связанных с безопасностью системы и работой пользователя на компьютере.
Система запрещает посторонним лицам доступ к ресурсам компьютера.
В качестве средства опознавания пользователей служат электронные идентификаторы Touch Memory фирмы "Dallas Semiconductor Inc." (США) или карты Proximity фирмы HID corporation. Данные приборы имеют малые размеры, очень удобны в применении и надежны в работе.
Благодаря гарантированной неповторяемости ключа, скрытого в идентификаторе, реализован весьма высокий уровень защиты. Число уникальных 48-битовых ключей составляет более 280 триллионов.
Запрос идентификатора при входе на ПЭВМ инициируется из ПЗУ на плате защиты до загрузки операционной си-стемы. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора (электронной карты). Поскольку идентификатор запрашивается до обращения к дисководам, возможность загрузки с системной дискеты полностью исключается.
Предусмотрена возможность блокировки клавиатуры во время загрузки компьютера. При этом загрузка предыдущей версии DOS становится невозможной.
Модуль входа в Windows NT позволяет заменить стандартную процедуру идентификации при входе в систему (ввод имени и пароля) идентификацией по электронной карте.
Перед инсталляцией системы на жесткий диск возможна гибкая настройка аппаратной части путем предварительного выбора адресного пространства ПЗУ платы защиты в свободной области адресов пользовательских ПЗУ, а также адресов портов для работы с электронной картой.
Поддерживается работа до 32 зарегистрированных пользователей на каждом защищенном компьютере. Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями.
Данные о пользователях хранятся в энергонезависимой памяти на плате защиты.
Энергонезависимая память платы защиты содержит образ системных областей компьютера, что позволяет контролировать их целостность.
Обеспечивается защита файлов CONFIG.SYS и MSDOS.SYS от доступа со стороны пол-ей. Для пол-ей возможна блокировка клавиатуры на время загрузки компьютера, которая инициируется аппаратной частью защиты и поддерживается программными средствами. Это позволяет избежать пошагового выполнения файлов CONFIG.SYS и AUTOEXEC.BAT или вообще отмену их выполнения. Для админов клавиатура не блокируется.
Существует возможность временной блокировки компьютера пользователем (например, ес.ли ему необходимо ненадолго отлучиться). Блокировка выполняется вручную с помощью стандартной панели безопасности Windows NT (панель доступна по комбинации клавиш [Ctrl-Alt-Del]). Разблокировка и дальнейшая работа с компьютером возможна только после предъявления электронной карты пользователя, который загружал компьютер последним.
Для пол-ей возможно ограничение круга доступных объектов (дисков, папок и файлов) компьютера. Используются два принципа контроля доступа: мандатный - каждому пол-лю присваивается классификационная метка. Пол-ль будет иметь доступ к определенному кругу объектов, определяемых этой меткой; дискреционный - для каждого пол-ля создается индивидуальный список доступа к объектам. Возможен список запрещенных или разрешенных для доступа объектов.
Обеспечивается ограничение доступа пол-ей к компьютеру по времени. Время начала и окончания работы каждого пол-ля на компьютере устанавливается администратором в пределах суток. Интервал времени, в течение которого пол-ль может входить на компьютер со своими правами, может быть установлен от 1 минуты до 23 час. 59 минут (т.е. круглосуточно).
Таймер компьютера может быть защищен от вмешательства пол-ей.
Гарантированное удаление информации обеспечивается при установке для пол-ля соответствующих режимов. Информация, удаляемая с дисков компьютера или из оперативной памяти, затирается нулевым кодом.
Разграничение доступа к периферийным устройствам обеспечивается путем управления доступом к последовательным (COM) и параллельным (LPT) портам компьютера.
При регистрации можно создать для каждого пользователя индивидуальный файл автозапуска, который будет выполняться при загрузке операционной системы данным пользователем.
Пользователи могут самостоятельно менять личные пароли для входа на компьютер.
Для усиления защиты информации на компьютере админ может включать для пол-ей режим принудительной смены пароля входа. Пол-ль будет вынужден сменить пароль входа после загрузки компьютера установленного числа раз.
Предусмотрена временная блокировка компьютера с очисткой экрана дисплея, срабатывающая автоматически по истечении времени неактивности ПЭВМ (нет работы с клавиатурой или манипулятором "мышь"). Возможна настройка времени задержки автоблокировки. Разблокировать компьютер можно только с помощью того идентификатора, посредством которого была загружена операционная система.
Для усиления защиты конфиденциальной информации, хранящейся на "винчестере" и дискетах пользователей, предусмотрены модули для кодирования в статическом или "прозрачном" режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя. Кодирующий ключ может формироваться на основе личного пароля или кода личной электронной карты (личного идентификатора). В "прозрачном" режиме информация кодируется при записи и раскодируется при чтении с носителя. Процесс кодирования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
автоматический контроль целостности файлов системы защиты и блокирование входа пол-ей на компьютер при выявлении изменений;
контроль целостности запускаемых программ и блокировку запуска при выявлении изменений: контроль целостности информации пользователя; контроль целостности CMOS-памяти компьютера; контроль целостности энергонезависимой памяти платы защиты; обнаружение создания новых файлов.
Модуль входа в сеть по Touch Memory (устанавливается только при использовании в качестве идентификаторов электронных карт Touch Memory) позволяет вместо ввода имени и пароля пользователя при регистрации в сети предъявлять предварительно зарегистрированную карту Touch Memory типов DS1992 - DS1996. Это повышает удобство процедуры идентификации.
Дополнительные сервисные функции предоставляет модуль Картотека, позволяющий вести учет выданных пользователям электронных карт, а также хранить некоторые данные о самих пользователях.
Работа пол-ей вне Windows 95/98 (в режиме эмуляции MS-DOS) невозможна. При попытке пол-ей перейти в режим эмуляции MS-DOS компьютер перезагружается. админом работа в режиме эмуляции MS-DOS по-прежнему остается доступна.