- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
20. Методы и средства защиты от нсд в сети
Противодействие несанкционированному доступу к конфиденциальной информации — это комплекс мероприятий, обеспечивающих исключение или ограничение неправомерного овладения охраняемыми сведениями.
Любая информация, которая функционирует в компьютерах или компьютерной сети, содержит определенное смысловое содержание и прикреплена к конкретному носителю: файлу, полю БД, данные любого программного приложения. Носителем информации являются также каталоги, жесткие диски персонального компьютера или сервера, на котором хранится файл, БД и т.п. При передаче информации от одного субъекта другому носителем информации становится канал ее передачи. Следует учитывать, что защиты требует не только сама информация, но и среда ее обработки, т.е. программное обеспечение.
Защита от НСД призвана не допустить злоумышленника к носителю информации. В защите информации компьютеров и сетей от НСД можно выделить три основных направления:
- недопущение нарушителя к вычислительной среде (основывается на создании специальных технических средствах опознавания пользователя);
- защита вычислительной среды (основывается на создании специального программного обеспечения);
- использование специальных средств защиты информации от НСД.
Для решения каждой задачи применяются как различные технологии, так и различные средства. Требования к средствам защиты, их характеристики, выполняемые ими функции и их классификация, а также термины и определения по защите от НСД приведены в РД Гостехкомиссии:
- «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации»;
- «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
- «Защита от несанкционированного доступа к информации. Термины и определения».
Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):
идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;
разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;
регистрация и оперативное оповещение о событиях, происходящих в системе (аудит);
криптографическое закрытие хранимых и передаваемых по каналам связи данных;
контроль целостности и аутентичности (подлинности и авторства) данных;
выявление и нейтрализация действий компьютерных вирусов;
затирание остаточной информации на носителях;
выявление уязвимостей (слабых мест) системы;
изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);
обнаружение атак и оперативное реагирование;
резервное копирование;
маскировка.
Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты.
Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.
Аутентификация пользователей осуществляется обычно:
• путем проверки знания ими паролей (специальных секретных последовательностей символов),
• путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или
• путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.
Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.
Существует четыре основных способа разделения доступа субъектов к совместно используемым объектам:
Физическое разделение - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).
Временное разделение - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.
Логическое разделение - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект - все объекты"; в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т.д.
Криптографическое разделение - все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.
Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:
• на контролируемую территорию;
• в отдельные здания и помещения организации;
• к элементам АС и элементам системы защиты информации (физический доступ);
• к информационным и программным ресурсам АС.
Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных администрацией АС потенциально опасными для системы.
При регистрации событий безопасности в системном журнале обычно фиксируется следующая информация:
• дата и время события;
• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
В наиболее развитых системах защиты подсистема оповещения сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
• подача сигнала тревоги;
• извещение администратора безопасности;
• извещение владельца информации о НСД к его данным;
• снятие программы (задания) с дальнейшего выполнения;
• отключение (блокирование работы) терминала или компьютера, с которого были осуществлены попытки НСД к информации;
• исключение нарушителя из списка зарегистрированных пользователей и т.п.
Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями АС, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию.
К криптографическим методам зашиты в общем случае относятся:
• шифрование (расшифрование) информации;
• формирование и проверка цифровой подписи электронных документов.
Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.
Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
• средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса
• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
• средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);
• средствами электронной цифровой подписи.
С развитием сетевых технологий появился новый тип СЗИ—межсетевые экраны ( Firewall ), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.