Методы и средства защиты компьютерной информации
Перехват информации в радиосетях. Шифры программирования и протоколы идентификации. Основные типы устройств идентификации пользователя. Контроль физического доступа. Защита информации как комплекс мер по ограничению доступа к конфиденциальным сведениям.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курс лекций |
Язык | русский |
Дата добавления | 04.09.2016 |
Размер файла | 370,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
- неотрекаемость или апеллируемость - пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.
Политика ИБ - это набор формальных (официально утверждённых либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности.
Механизмы ИБ
- идентификация - определённый (распознавание) каждый участок процесса информационно взаимодействует перед тем, как к нему будут применены какие-либо понятия информационной безопасности.
- аутентификация - подтверждение идентификации;
- контроль доступа - создание и поддержание набора правил, определённые каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровню этого доступа.
- авторизация - формирование профиля прав для контроля конкретного участка процесса информационного обмена (аутенфицированного или анонимного) из набора правил контроля доступа;
- аудит и мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределённых, значимых или подозрительных событий.
Аудит предполагает анализ событий постфактум, а мониторинг - приближено к режиму реального времени.
- реагирование на инциденты - совокупность процедур и мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности.
- управление конфигурацией - создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями ИБ;
- управление пользователями - обеспечение условий работы пользователя в среде информационного обмена в соответствии с требованиями ИБ;
- управление рисками - обеспечение соответствия возможных потерь от нарушения ИБ и мощности защитных средств;
- обеспечение устойчивости - поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствие требованиям ИБ в условиях деструктивных внешних или внутренних воздействий.
Основные инструменты ИБ
- персонал - люди, которые будут обеспечивать претворение в жизнь ИБ;
- нормативное обеспечение - документы, которые создают правовое пространство для функционирования ИБ;
- модемная безопасность - схемы обеспечения ИБ, заложенные в данную конкретную информационную систему или среду;
- криптография;
- антивирусное обеспечение;
- межсетевые экраны - файерволы;
- сканеры безопасности - устройства проверки качества функционирования информационной модели безопасности для дома;
- система обнаружения атак - устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности
- резервное копирование;
- дублирование;
- аварийный план - набор мероприятий, проводимых при нарушении правил ИБ;
- обучение пользователей - обучение пользователей правилам работы в соответствии с требованиями ИБ.
Основные направления ИБ
1. физическая безопасность - обеспечение сохранения оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию, защита пользователей информационной среды от физического воздействия злоумышленника, а также защиты информационной невиртуального характера (распечаток, служебных телефонов…).
2. компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) - обеспечение защиты информации в её виртуальном виде.
3. безопасность данных - обеспечение защиты информации в её виртуальном виде.
Критерии необходимости создания службы ИБ
- наличие в фирме больше 10 компьютеров, распределённых по помещениям;
- наличие в фирме локальной сети;
- наличие подключения сети фирмы к интернету;
- наличие модема хотя бы на одном из компьютеров фирмы (неучтённое подключение к сети);
- наличие хотя бы на одном компьютере информации, разглашение или утеря которой может принести фирме существенный ущерб.
Политика ИБ
- организационные меры - правила поведения пользователя, администраторов и сотрудников службы ИБ, их права и обязанности;
- аппаратные и программные средства - комплекс физических и виртуальных средств, предназначенных для реализации прав и обязанностей пользователей, администраторов и сотрудников службы ИБ.
Программно-аппаратные средства
- аппаратно-независимые - работающие без участия аппаратных средств защиты информации - пароль, программы шифрования, антивирусы;
- аппаратно-зависимые - обеспечение сопряжённых аппаратных средств защиты информации с других программ или ОС - драйвера, свободное ПО;
- автономные - часть систем защиты функционирует самостоятельно - системы видеонаблюдения, домофон на входе в офис…
- комплексные - несколько частей системной защиты используют общий элемент и базу идентификации или используют информацию, полученную другой частью системы защиты - ключ домофона, используемые и при загрузке компьютера, параметры пользователя игнорируются, если он не пришёл на работу, т.е. не прошёл контроль;
- интеллектуальное задание - все системы безопасности, системы управления лифтами, освещением, водоснабжением объединены в единое целое.
Лекция 7. Контроль физического доступа
Защита техники и помещений.
1) система охраны периметра (СОТ):
a. заборы (в случае госструктур типа ФСБ, ФСО… заборы с подачей тока);
b. радиолучевые датчики - датчик движения (дальность 150-500 м).
2) система контроля и управления доступом (СКУД);
3) система видеонаблюдения (СВН);
4) система охранной сигнализации (СОС) (часто совмещается с СОТ, иногда включает систему контроля сигнализации);
1) СОТ
Классификация внешних ограждений заборов
1. по высоте:
a. низкие - до 2м;
b. средние - 2-3м;
c. высокие - более 3м.
2. по просматриваемости:
a. сплошные;
b. просматриваемые;
c. комбинированные.
3. по деформированию:
a. жёсткие (когда шишка на голове);
b. гибкие (когда шишка на другом месте);
c. комбинированные (когда шишки и там, и там).
4. по материалам фундаментам, опор и полотна забора.
2) СКУД
1. управление первичным проходом;
2. управление перемещением по охраняемой аудитории (если внутри одной охраняемой территории находится другая, ещё более строгая охрана, то количество разделений удваивается).
Основные механизмы первичного контроля
- турникеты и металлические ворота, обеспечивающие разделение человеческого потока;
- шлюзовые кабины, обеспечивающие проход строго по одному человеку, без возможности сопровождать сотрудника к совместному проходу через контрольные ворота;
- устройства идентификации и аутентификации входящих;
- металлоискатели, желательно с возможностью настройки на габариты проносимых вещей/деталей;
- просвечивающие устройства - необходимо определить, будут ли эти устройства безопасными для свето- и магниточувствительных материалов, либо наоборот, жестко выводящие такие материалы из строя;
- переговорные устройства, если управление IO осуществляется удалённо (домофоны, видеодомофоны…).
Основные параметры физических приборов идентификации
- износ (магнитная полоса стирается с карточки при многократном считывании);
- скорость прохода (прикладывание элемента к считывателю или протаскивание / вставка карточки в считыватель требуют определённого времени).
- стоимость;
- возможность нанесения фотографии владельца;
- прочность на возможный излом/повреждение;
- условие эксплуатации считывания устройства.
3) СВН
- действие на камеру слежения со стороны открытой среды;
- освещённость, площадь и открытость территории;
- использовать открытую или закрытую камеру;
- будет ли заметно её вращение (если камера вращающаяся и не скрытая);
- нужно ли видеть только общие контуры объектов или так же и детали (увеличение изображения);
- достаточно ли ч/б изображения или требуется цветное;
- не станет ли сама камера объектом похищения, если она установлена в доступном месте и вне быстрой досягаемости сотрудников службы безопасности;
- как будет просматриваться изображение с камер: по очереди, по несколько, все сразу;
- будет ли производиться запись изображения и его хранение.
Вопросы при записи информации с видеокамер
- будет ли записываться изображение со всех камер или только с некоторых;
- будет ли запись вестись постоянно или только в случае срабатывания сигнала тревоги в пределах досягаемости камеры;
- будет ли вестись запись непрерывно или возможна дискретная запись;
- необходимо ли накладывать на изображение дату или время;
- надо ли записывать звук;
- будет ли запись цифровой или активной.
4) СОПС (система охранной и пожарной сигнализации)
Датчики могут быть адресные и безадресные.
Система охранения
Под живучестью технической системы безопасность понимается совокупность организационный, структурных, конструктивных и технических особенностей системы, которые при выходе из строя отдельных её элементом позволяет потребителю оперативно и самостоятельно ликвидировать неисправность или переконфигурировать систему с сохранением её функций в полном или частичности объёме, исключив потенциальный ущерб для охраняемого объекта.
Политика ИБ
Протоколы задачи
- идентификаторы и аутенфикаторы объекта и субъекта;
- обеспечение защиты информации, проходящей по каналу связи.
Может решать первую задачу, либо обе сразу.
Классификация протоколов по принципу обеспечения безопасности
- протоколы, не обеспечивающие защиту передаваемых данных - только связь;
- протоколы, позволяющие подключение к себе дополнительных протоколов для защиты данных;
- специальные протоколы защищённой передачи данных.
1) Структура кадра PPP (Point-to-Point Protocol)
2) Протокол PAP (Password Authentification Protocol)
Структура поля "данные" кадра.
Поле код указывает на следующие возможные типы PAP-пакета:
Код=1: аутентификационный запрос
Код=2: подтверждение аутентификации
Код=3: отказ в аутентификации
Структура поля "данные.
Аутентификационный запрос
Аутентификационный ответ
Схема работы PPP
1. устанавливает PPP соединение;
2. клиент посылает аутентификационный запрос с указанием своего идентификатора и пароля;
3. сервер проверяет полученные данные и подтверждение аутентификации или отказа в ней.
3) Протокол HTTPS (HTTP Secure) включает
Предназначен для защиты HTTP трафика.
- транзакционный модуль - отвечает за шифрование и/или подпись запроса и/или ответа;
- криптографические алгоритмы - набор алгоритмов, которые могут быть использованы для шифрования, электронно-цифровой подписи;
- модуль сертификата - отвечает за хранение цифровых сертификатов и работу с ним.
4) Протокол SSL (Secure Socket Layer)
- протокол записи (SSL record protocol) - определяет формат передачи данных;
- протокол установки связи (SSL hard shake protocol) - определяет механизм установки соединения.
a. Задачи протокола SSL
- обеспечивает конфиденциальность данных;
- обеспечение аутентификации сервера;
- возможность обеспечения аутентификации клиента;
- обеспечение целостности передаваемой информации;
- возможность сжатия данных для увеличения скорости передачи.
b. Алгоритм соединения по протоколу SSL
- согласование вершин протокола;
- согласование алгоритма ассиметричного шифрования (выбирается наиболее сильный из списка поддерживаемых обеими сторонами);
- аутентификация сторон (взаимная или односторонняя);
- с помощью согласованного алгоритма ассиметричного шифрования производится обмен общим секретом, на основе которого будет произведено симметричное шифрование.
Алгоритм проверки цифрового сертификата сервера клиентом
1. проверка срока действия сертификата;
2. проверка, находится ли субъект, выпустивший сертификат, в списке доверенных CA (Certification Authoring) клиента. Каждый клиент подтверждает список доверенных СА;
3. использование открытого ключа СА из списка доверенных СА - клиент проверяет корректность использования сертификата сервера;
4. проверяется соответствие имени сервера, указанного в сертификате, реальному имени сервера.
Алгоритм проверки цифрового сертификата клиента сервером
1. сервер и клиент совместно генерируют некоторое случайное значение, затем клиент устанавливает свою цифровую подпись на это значение;
2. сервер проверяет, соответствует ли открытый ключ клиента из сертификата клиента этой цифровой подписи;
3. сервер проверяет срок действия сертификата, попадает ли текущая дата в этот период;
4. проверка, находится ли субъект, выпустивший сертификат, в списке доверенных CA клиента. Каждый клиент подтверждает список доверенных СА;
5. использование открытого ключа СА из списка доверенных СА - клиент проверяет корректность использования сертификата сервера;
6. сервер проверяет, находится ли сертификат клиента в списке сертификатов клиентов, которые могут быть аутентифицированны данным сервером.
Алгоритм работы одноразового протокола S/Key
1. клиент и сервер обмениваются общим секретом;
2. сервер генерирует случайное число и число циклов применения хэш-функции;
3. сервер отправляет клиенту сгенерированное число и число циклов применения ХФ за вычетом единицы;
4. клиент прибавляет секрет к полученному числу и вычисляет ХФ указанное количество раз и отправляет результат серверу;
5. сервер вычисляет результат ХФ от полученного значения и сравнивает с хранящимся предыдущим значением.
Общая схема аутентификации протокола Kerberos
1. доверенный сервер генерирует сессионный ключ;
2. сессионный ключ шифруется ключом клиента и отправляется клиенту;
3. сессионный ключ шифруется ключом сервера и отправляется серверу
3. сессионный ключ шифруется ключом сервера и отправляется клиенту;
4. клиент отправляет на сервер запрос, зашифрованный сессионным ключом и сессионный ключ, зашифрованный ключом сервера.
Автоматизированные средства безопасности (АСБ)
Автоматически - с участием человека;
Автоматизировано - когда вариант решения принимает человек.
1. Критерии выбора антивируса
- объём базы антивируса и наличие в ней известных в настоящее время;
- оперативность обновления базы антивируса поставщиком с момента появления нового вируса;
- метод доставки обновлений баз антивируса до потребителя;
- на каком этапе антивирус может распознать вирус и предотвратить его распространение;
- требования антивируса к ресурсам компьютера;
- архитектура работы программы;
- организация автоматизированного обновления распределённого ПО.
2. Межсетевой экран (МСЭ) обычно устанавливают
- при появлении постороннего прямого выхода в интернет, имеющего соединение с локальной сетью;
- при организации взаимодействия со своими удалёнными филиалами в режиме on-line с использованием сети широкого доступа;
- задачи межсетевого экрана - не пропускать или нет пакет из одной сети в другую по определённым правилам.
Основные классы МСЭ
- пакетный фильтр - анализирует пакет и решает, что делать;
- МСЭ с контролем соединения - контролируемый предыдущий пакет;
- МСЭ-посредник приложения - МСЭ имитирует обработку полученных пакетов тем же приложением, что и на компьютере.
Дополнительные функции
- создание демилитаризованной зоны - 3 сетевых интерфейса (Wan, LAN, DMZ);
- трансляция сетевых адресов.
Функции транслятора сетевых адресов
- сокрытия схемы внутренней адресации локальной сети и обеспечение частичной анонимности отправителя пакета;
- преобразование внутренностей, т.н. "немаршрутизируемых" приватных IP-адресов в разрешённый внешний интернет-адрес или адреса.
МСЭ включает в себя:
- направление входа данного пакета (номер или название сетевого интерфейса, с которого поступил пакет);
- направление выхода из шлюза (номер или название сетевого интерфейса, на который направлен пакет);
- адрес или группу принадлежности (группу адресов), куда отнесён источник, породивший пакет;
- адрес или группу принадлежности (группу адресов), куда отнесён получатель пакета;
- протокол или порт службы, от которой пришёл пакет;
- протокол или порт службы, которой адресован пакет.
Два основополагающих признака технологии VPN
- средой передачи данных обычно служат сети.
Схемы применения технологии VPN
- схема "сеть-сеть" - протокол безопасности применяется только к пакетам, выходящим из локальной сети, и прекращает своё действие при входе пакета в удалённую локальную сеть;
- схема "точка-точка" - обычно используется при удалённой работе сотрудника с сетью организации. При этом типовой вариант предполагает, что клиент подключён к серверу удалённого доступа, связь между которыми им не назначена, идёт через промышленную сеть общего пользования.
V-LAN
Типы виртуальных сетей (V-LAN)
- на основе портов коммутатора или, фактически, сетевых сегментов;
- на основе MAC-адресов или групп физических устройств;
- на основе сетевого протокола или групп логических устройств;
- на основе типов протоколов;
- на основе комбинации критериев или на основе правил;
- на основе тегов или IEEE 802.1Q;
- на основе аутентификации пользователей.
Принцип обнаружения COA заключается в построенном анализе активности в информационной системе и информировании уполномоченных субъектов об обнаружении подозрительных действий.
Основная технология системы обнаружения атак
- технология сравнения с образцами (ТСО);
- технология соответствия состояния (ТСС); статический анализ
- анализ с расшифровкой протокола (АРП);
- статический анализ (СА); анализ аномалий
- анализ на основе аномалий (АОА).
1. Технология сравнения с образцами
Положительные стороны:
1. наиболее простой метод обнаружения атак;
2. позволяет жёстко увязать образец с атакой;
3. сообщает об атаке достоверно;
4. применим для всех протоколов.
Отрицательные стороны:
1. если образец определён слишком общё, то вероятен высокий процент ложных срабатываний;
2. если атака нестандартная, то она может быть пропущена;
3. для одной атаки, возможно, придётся создавать несколько образцов;
4. метод ограничения анализом одного пакета и как следствие не улавливает тенденций и развития атак.
2. Технология соответствия состояния
Положительные стороны:
1. в применении метод лишь немного сложнее метода сравнения с образцами;
2. позволяет жёстко увязать образец с атакой;
3. сообщает об атаке достоверно;
4. применим для всех протоколов.
Отрицательные стороны:
1. в применении метод лишь немного сложнее метода сравнения с образцами;
2. позволяет жёстко увязать образец с атакой.
3. для одной атаки, возможно, придётся создавать несколько образцов/
3. Анализ с расшифровкой протокола
Положительные стороны:
1. снижение вероятности логики срабатывания, если протокол точно определён;
2. позволяет улавливать различные варианты на основе одной атаки;
3. позволяет обнаружить случаи нарушения правил работы с протоколами.
Отрицательные стороны:
Если стандартный протокол запуска.
4. Статический анализ
Положительные стороны:
некоторые типы атак могут быть обнаружены только этим методом
Отрицательные стороны:
Алгоритмы распознавания могут потребовать тонкой дополнительной настройки
5. Анализ на основе аномалий
Положительные стороны:
1. корректно настроенный анализатор позволит выявить даже неизвестные атаки;
2. не потребляет дополнительные работы по вводу новых сигнатур и правил атак.
Отрицательные стороны:
1. не может представить описание атаки по элементам;
2. скорее сообщает, что происходит
Размещено на Allbest.ru
Подобные документы
Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.
реферат [30,8 K], добавлен 23.10.2011Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.
презентация [525,3 K], добавлен 09.12.2015Биометрические системы защиты от несанкционированного доступа к информации. Система идентификации личности по папиллярному рисунку на пальцах, голосу, радужной оболочке, геометрии лица, сетчатке глаза человека, рисунку вен руки. Пароли на компьютере.
презентация [395,2 K], добавлен 28.05.2012Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Средства обеспечения информационной безопасности. Возможные каналы утечки информации. Защита данных с помощью шифрования. Обзор видов технических устройств, защищающих системы, и принцип их действия. Программно-аппаратный комплекс средств защиты.
курсовая работа [475,7 K], добавлен 01.03.2015Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.
реферат [115,1 K], добавлен 16.03.2014Современное развитие АСУ и защита информации. Функция системы защиты с тремя регистрами. Выбор механизмов защиты и их особенности. Ответственность за нарушение безопасности методов. Методы защиты режима прямого доступа. Требования к защите информации.
реферат [150,8 K], добавлен 29.10.2010Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.
контрольная работа [25,5 K], добавлен 12.07.2014Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.
курсовая работа [92,4 K], добавлен 21.10.2008