Методы и средства защиты компьютерной информации

Перехват информации в радиосетях. Шифры программирования и протоколы идентификации. Основные типы устройств идентификации пользователя. Контроль физического доступа. Защита информации как комплекс мер по ограничению доступа к конфиденциальным сведениям.

Рубрика Программирование, компьютеры и кибернетика
Вид курс лекций
Язык русский
Дата добавления 04.09.2016
Размер файла 370,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

- неотрекаемость или апеллируемость - пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.

Политика ИБ - это набор формальных (официально утверждённых либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности.

Механизмы ИБ

- идентификация - определённый (распознавание) каждый участок процесса информационно взаимодействует перед тем, как к нему будут применены какие-либо понятия информационной безопасности.

- аутентификация - подтверждение идентификации;

- контроль доступа - создание и поддержание набора правил, определённые каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровню этого доступа.

- авторизация - формирование профиля прав для контроля конкретного участка процесса информационного обмена (аутенфицированного или анонимного) из набора правил контроля доступа;

- аудит и мониторинг - регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределённых, значимых или подозрительных событий.

Аудит предполагает анализ событий постфактум, а мониторинг - приближено к режиму реального времени.

- реагирование на инциденты - совокупность процедур и мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности.

- управление конфигурацией - создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями ИБ;

- управление пользователями - обеспечение условий работы пользователя в среде информационного обмена в соответствии с требованиями ИБ;

- управление рисками - обеспечение соответствия возможных потерь от нарушения ИБ и мощности защитных средств;

- обеспечение устойчивости - поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствие требованиям ИБ в условиях деструктивных внешних или внутренних воздействий.

Основные инструменты ИБ

- персонал - люди, которые будут обеспечивать претворение в жизнь ИБ;

- нормативное обеспечение - документы, которые создают правовое пространство для функционирования ИБ;

- модемная безопасность - схемы обеспечения ИБ, заложенные в данную конкретную информационную систему или среду;

- криптография;

- антивирусное обеспечение;

- межсетевые экраны - файерволы;

- сканеры безопасности - устройства проверки качества функционирования информационной модели безопасности для дома;

- система обнаружения атак - устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности

- резервное копирование;

- дублирование;

- аварийный план - набор мероприятий, проводимых при нарушении правил ИБ;

- обучение пользователей - обучение пользователей правилам работы в соответствии с требованиями ИБ.

Основные направления ИБ

1. физическая безопасность - обеспечение сохранения оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию, защита пользователей информационной среды от физического воздействия злоумышленника, а также защиты информационной невиртуального характера (распечаток, служебных телефонов…).

2. компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) - обеспечение защиты информации в её виртуальном виде.

3. безопасность данных - обеспечение защиты информации в её виртуальном виде.

Критерии необходимости создания службы ИБ

- наличие в фирме больше 10 компьютеров, распределённых по помещениям;

- наличие в фирме локальной сети;

- наличие подключения сети фирмы к интернету;

- наличие модема хотя бы на одном из компьютеров фирмы (неучтённое подключение к сети);

- наличие хотя бы на одном компьютере информации, разглашение или утеря которой может принести фирме существенный ущерб.

Политика ИБ

- организационные меры - правила поведения пользователя, администраторов и сотрудников службы ИБ, их права и обязанности;

- аппаратные и программные средства - комплекс физических и виртуальных средств, предназначенных для реализации прав и обязанностей пользователей, администраторов и сотрудников службы ИБ.

Программно-аппаратные средства

- аппаратно-независимые - работающие без участия аппаратных средств защиты информации - пароль, программы шифрования, антивирусы;

- аппаратно-зависимые - обеспечение сопряжённых аппаратных средств защиты информации с других программ или ОС - драйвера, свободное ПО;

- автономные - часть систем защиты функционирует самостоятельно - системы видеонаблюдения, домофон на входе в офис…

- комплексные - несколько частей системной защиты используют общий элемент и базу идентификации или используют информацию, полученную другой частью системы защиты - ключ домофона, используемые и при загрузке компьютера, параметры пользователя игнорируются, если он не пришёл на работу, т.е. не прошёл контроль;

- интеллектуальное задание - все системы безопасности, системы управления лифтами, освещением, водоснабжением объединены в единое целое.

Лекция 7. Контроль физического доступа

Защита техники и помещений.

1) система охраны периметра (СОТ):

a. заборы (в случае госструктур типа ФСБ, ФСО… заборы с подачей тока);

b. радиолучевые датчики - датчик движения (дальность 150-500 м).

2) система контроля и управления доступом (СКУД);

3) система видеонаблюдения (СВН);

4) система охранной сигнализации (СОС) (часто совмещается с СОТ, иногда включает систему контроля сигнализации);

1) СОТ

Классификация внешних ограждений заборов

1. по высоте:

a. низкие - до 2м;

b. средние - 2-3м;

c. высокие - более 3м.

2. по просматриваемости:

a. сплошные;

b. просматриваемые;

c. комбинированные.

3. по деформированию:

a. жёсткие (когда шишка на голове);

b. гибкие (когда шишка на другом месте);

c. комбинированные (когда шишки и там, и там).

4. по материалам фундаментам, опор и полотна забора.

2) СКУД

1. управление первичным проходом;

2. управление перемещением по охраняемой аудитории (если внутри одной охраняемой территории находится другая, ещё более строгая охрана, то количество разделений удваивается).

Основные механизмы первичного контроля

- турникеты и металлические ворота, обеспечивающие разделение человеческого потока;

- шлюзовые кабины, обеспечивающие проход строго по одному человеку, без возможности сопровождать сотрудника к совместному проходу через контрольные ворота;

- устройства идентификации и аутентификации входящих;

- металлоискатели, желательно с возможностью настройки на габариты проносимых вещей/деталей;

- просвечивающие устройства - необходимо определить, будут ли эти устройства безопасными для свето- и магниточувствительных материалов, либо наоборот, жестко выводящие такие материалы из строя;

- переговорные устройства, если управление IO осуществляется удалённо (домофоны, видеодомофоны…).

Основные параметры физических приборов идентификации

- износ (магнитная полоса стирается с карточки при многократном считывании);

- скорость прохода (прикладывание элемента к считывателю или протаскивание / вставка карточки в считыватель требуют определённого времени).

- стоимость;

- возможность нанесения фотографии владельца;

- прочность на возможный излом/повреждение;

- условие эксплуатации считывания устройства.

3) СВН

- действие на камеру слежения со стороны открытой среды;

- освещённость, площадь и открытость территории;

- использовать открытую или закрытую камеру;

- будет ли заметно её вращение (если камера вращающаяся и не скрытая);

- нужно ли видеть только общие контуры объектов или так же и детали (увеличение изображения);

- достаточно ли ч/б изображения или требуется цветное;

- не станет ли сама камера объектом похищения, если она установлена в доступном месте и вне быстрой досягаемости сотрудников службы безопасности;

- как будет просматриваться изображение с камер: по очереди, по несколько, все сразу;

- будет ли производиться запись изображения и его хранение.

Вопросы при записи информации с видеокамер

- будет ли записываться изображение со всех камер или только с некоторых;

- будет ли запись вестись постоянно или только в случае срабатывания сигнала тревоги в пределах досягаемости камеры;

- будет ли вестись запись непрерывно или возможна дискретная запись;

- необходимо ли накладывать на изображение дату или время;

- надо ли записывать звук;

- будет ли запись цифровой или активной.

4) СОПС (система охранной и пожарной сигнализации)

Датчики могут быть адресные и безадресные.

Система охранения

Под живучестью технической системы безопасность понимается совокупность организационный, структурных, конструктивных и технических особенностей системы, которые при выходе из строя отдельных её элементом позволяет потребителю оперативно и самостоятельно ликвидировать неисправность или переконфигурировать систему с сохранением её функций в полном или частичности объёме, исключив потенциальный ущерб для охраняемого объекта.

Политика ИБ

Протоколы задачи

- идентификаторы и аутенфикаторы объекта и субъекта;

- обеспечение защиты информации, проходящей по каналу связи.

Может решать первую задачу, либо обе сразу.

Классификация протоколов по принципу обеспечения безопасности

- протоколы, не обеспечивающие защиту передаваемых данных - только связь;

- протоколы, позволяющие подключение к себе дополнительных протоколов для защиты данных;

- специальные протоколы защищённой передачи данных.

1) Структура кадра PPP (Point-to-Point Protocol)

2) Протокол PAP (Password Authentification Protocol)

Структура поля "данные" кадра.

Поле код указывает на следующие возможные типы PAP-пакета:

Код=1: аутентификационный запрос

Код=2: подтверждение аутентификации

Код=3: отказ в аутентификации

Структура поля "данные.

Аутентификационный запрос

Аутентификационный ответ

Схема работы PPP

1. устанавливает PPP соединение;

2. клиент посылает аутентификационный запрос с указанием своего идентификатора и пароля;

3. сервер проверяет полученные данные и подтверждение аутентификации или отказа в ней.

3) Протокол HTTPS (HTTP Secure) включает

Предназначен для защиты HTTP трафика.

- транзакционный модуль - отвечает за шифрование и/или подпись запроса и/или ответа;

- криптографические алгоритмы - набор алгоритмов, которые могут быть использованы для шифрования, электронно-цифровой подписи;

- модуль сертификата - отвечает за хранение цифровых сертификатов и работу с ним.

4) Протокол SSL (Secure Socket Layer)

- протокол записи (SSL record protocol) - определяет формат передачи данных;

- протокол установки связи (SSL hard shake protocol) - определяет механизм установки соединения.

a. Задачи протокола SSL

- обеспечивает конфиденциальность данных;

- обеспечение аутентификации сервера;

- возможность обеспечения аутентификации клиента;

- обеспечение целостности передаваемой информации;

- возможность сжатия данных для увеличения скорости передачи.

b. Алгоритм соединения по протоколу SSL

- согласование вершин протокола;

- согласование алгоритма ассиметричного шифрования (выбирается наиболее сильный из списка поддерживаемых обеими сторонами);

- аутентификация сторон (взаимная или односторонняя);

- с помощью согласованного алгоритма ассиметричного шифрования производится обмен общим секретом, на основе которого будет произведено симметричное шифрование.

Алгоритм проверки цифрового сертификата сервера клиентом

1. проверка срока действия сертификата;

2. проверка, находится ли субъект, выпустивший сертификат, в списке доверенных CA (Certification Authoring) клиента. Каждый клиент подтверждает список доверенных СА;

3. использование открытого ключа СА из списка доверенных СА - клиент проверяет корректность использования сертификата сервера;

4. проверяется соответствие имени сервера, указанного в сертификате, реальному имени сервера.

Алгоритм проверки цифрового сертификата клиента сервером

1. сервер и клиент совместно генерируют некоторое случайное значение, затем клиент устанавливает свою цифровую подпись на это значение;

2. сервер проверяет, соответствует ли открытый ключ клиента из сертификата клиента этой цифровой подписи;

3. сервер проверяет срок действия сертификата, попадает ли текущая дата в этот период;

4. проверка, находится ли субъект, выпустивший сертификат, в списке доверенных CA клиента. Каждый клиент подтверждает список доверенных СА;

5. использование открытого ключа СА из списка доверенных СА - клиент проверяет корректность использования сертификата сервера;

6. сервер проверяет, находится ли сертификат клиента в списке сертификатов клиентов, которые могут быть аутентифицированны данным сервером.

Алгоритм работы одноразового протокола S/Key

1. клиент и сервер обмениваются общим секретом;

2. сервер генерирует случайное число и число циклов применения хэш-функции;

3. сервер отправляет клиенту сгенерированное число и число циклов применения ХФ за вычетом единицы;

4. клиент прибавляет секрет к полученному числу и вычисляет ХФ указанное количество раз и отправляет результат серверу;

5. сервер вычисляет результат ХФ от полученного значения и сравнивает с хранящимся предыдущим значением.

Общая схема аутентификации протокола Kerberos

1. доверенный сервер генерирует сессионный ключ;

2. сессионный ключ шифруется ключом клиента и отправляется клиенту;

3. сессионный ключ шифруется ключом сервера и отправляется серверу

3. сессионный ключ шифруется ключом сервера и отправляется клиенту;

4. клиент отправляет на сервер запрос, зашифрованный сессионным ключом и сессионный ключ, зашифрованный ключом сервера.

Автоматизированные средства безопасности (АСБ)

Автоматически - с участием человека;

Автоматизировано - когда вариант решения принимает человек.

1. Критерии выбора антивируса

- объём базы антивируса и наличие в ней известных в настоящее время;

- оперативность обновления базы антивируса поставщиком с момента появления нового вируса;

- метод доставки обновлений баз антивируса до потребителя;

- на каком этапе антивирус может распознать вирус и предотвратить его распространение;

- требования антивируса к ресурсам компьютера;

- архитектура работы программы;

- организация автоматизированного обновления распределённого ПО.

2. Межсетевой экран (МСЭ) обычно устанавливают

- при появлении постороннего прямого выхода в интернет, имеющего соединение с локальной сетью;

- при организации взаимодействия со своими удалёнными филиалами в режиме on-line с использованием сети широкого доступа;

- задачи межсетевого экрана - не пропускать или нет пакет из одной сети в другую по определённым правилам.

Основные классы МСЭ

- пакетный фильтр - анализирует пакет и решает, что делать;

- МСЭ с контролем соединения - контролируемый предыдущий пакет;

- МСЭ-посредник приложения - МСЭ имитирует обработку полученных пакетов тем же приложением, что и на компьютере.

Дополнительные функции

- создание демилитаризованной зоны - 3 сетевых интерфейса (Wan, LAN, DMZ);

- трансляция сетевых адресов.

Функции транслятора сетевых адресов

- сокрытия схемы внутренней адресации локальной сети и обеспечение частичной анонимности отправителя пакета;

- преобразование внутренностей, т.н. "немаршрутизируемых" приватных IP-адресов в разрешённый внешний интернет-адрес или адреса.

МСЭ включает в себя:

- направление входа данного пакета (номер или название сетевого интерфейса, с которого поступил пакет);

- направление выхода из шлюза (номер или название сетевого интерфейса, на который направлен пакет);

- адрес или группу принадлежности (группу адресов), куда отнесён источник, породивший пакет;

- адрес или группу принадлежности (группу адресов), куда отнесён получатель пакета;

- протокол или порт службы, от которой пришёл пакет;

- протокол или порт службы, которой адресован пакет.

Два основополагающих признака технологии VPN

- средой передачи данных обычно служат сети.

Схемы применения технологии VPN

- схема "сеть-сеть" - протокол безопасности применяется только к пакетам, выходящим из локальной сети, и прекращает своё действие при входе пакета в удалённую локальную сеть;

- схема "точка-точка" - обычно используется при удалённой работе сотрудника с сетью организации. При этом типовой вариант предполагает, что клиент подключён к серверу удалённого доступа, связь между которыми им не назначена, идёт через промышленную сеть общего пользования.

V-LAN

Типы виртуальных сетей (V-LAN)

- на основе портов коммутатора или, фактически, сетевых сегментов;

- на основе MAC-адресов или групп физических устройств;

- на основе сетевого протокола или групп логических устройств;

- на основе типов протоколов;

- на основе комбинации критериев или на основе правил;

- на основе тегов или IEEE 802.1Q;

- на основе аутентификации пользователей.

Принцип обнаружения COA заключается в построенном анализе активности в информационной системе и информировании уполномоченных субъектов об обнаружении подозрительных действий.

Основная технология системы обнаружения атак

- технология сравнения с образцами (ТСО);

- технология соответствия состояния (ТСС); статический анализ

- анализ с расшифровкой протокола (АРП);

- статический анализ (СА); анализ аномалий

- анализ на основе аномалий (АОА).

1. Технология сравнения с образцами

Положительные стороны:

1. наиболее простой метод обнаружения атак;

2. позволяет жёстко увязать образец с атакой;

3. сообщает об атаке достоверно;

4. применим для всех протоколов.

Отрицательные стороны:

1. если образец определён слишком общё, то вероятен высокий процент ложных срабатываний;

2. если атака нестандартная, то она может быть пропущена;

3. для одной атаки, возможно, придётся создавать несколько образцов;

4. метод ограничения анализом одного пакета и как следствие не улавливает тенденций и развития атак.

2. Технология соответствия состояния

Положительные стороны:

1. в применении метод лишь немного сложнее метода сравнения с образцами;

2. позволяет жёстко увязать образец с атакой;

3. сообщает об атаке достоверно;

4. применим для всех протоколов.

Отрицательные стороны:

1. в применении метод лишь немного сложнее метода сравнения с образцами;

2. позволяет жёстко увязать образец с атакой.

3. для одной атаки, возможно, придётся создавать несколько образцов/

3. Анализ с расшифровкой протокола

Положительные стороны:

1. снижение вероятности логики срабатывания, если протокол точно определён;

2. позволяет улавливать различные варианты на основе одной атаки;

3. позволяет обнаружить случаи нарушения правил работы с протоколами.

Отрицательные стороны:

Если стандартный протокол запуска.

4. Статический анализ

Положительные стороны:

некоторые типы атак могут быть обнаружены только этим методом

Отрицательные стороны:

Алгоритмы распознавания могут потребовать тонкой дополнительной настройки

5. Анализ на основе аномалий

Положительные стороны:

1. корректно настроенный анализатор позволит выявить даже неизвестные атаки;

2. не потребляет дополнительные работы по вводу новых сигнатур и правил атак.

Отрицательные стороны:

1. не может представить описание атаки по элементам;

2. скорее сообщает, что происходит

Размещено на Allbest.ru


Подобные документы

  • Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.

    контрольная работа [107,3 K], добавлен 09.04.2011

  • Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.

    реферат [30,8 K], добавлен 23.10.2011

  • Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.

    презентация [525,3 K], добавлен 09.12.2015

  • Биометрические системы защиты от несанкционированного доступа к информации. Система идентификации личности по папиллярному рисунку на пальцах, голосу, радужной оболочке, геометрии лица, сетчатке глаза человека, рисунку вен руки. Пароли на компьютере.

    презентация [395,2 K], добавлен 28.05.2012

  • Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.

    презентация [3,8 M], добавлен 18.11.2014

  • Средства обеспечения информационной безопасности. Возможные каналы утечки информации. Защита данных с помощью шифрования. Обзор видов технических устройств, защищающих системы, и принцип их действия. Программно-аппаратный комплекс средств защиты.

    курсовая работа [475,7 K], добавлен 01.03.2015

  • Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.

    реферат [115,1 K], добавлен 16.03.2014

  • Современное развитие АСУ и защита информации. Функция системы защиты с тремя регистрами. Выбор механизмов защиты и их особенности. Ответственность за нарушение безопасности методов. Методы защиты режима прямого доступа. Требования к защите информации.

    реферат [150,8 K], добавлен 29.10.2010

  • Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.

    контрольная работа [25,5 K], добавлен 12.07.2014

  • Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.

    курсовая работа [92,4 K], добавлен 21.10.2008

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.