- •Цели функции и задачи защиты информации в компьютерных сетях.
- •Какова роль программного обеспечения промежуточного уровня в распределенных системах?
- •Угрозы в сетях передачи данных. Задачи защиты в сетях передачи данных.
- •Что такое прозрачность (распределения) и приведите примеры различных видов прозрачности?
- •Задачи защиты информации на различных уровнях модели osi (вос).
- •Что такое открытая распределенная система, и какие преимущества дает открытость?
- •Особенности защиты информации в вычислительных сетях
- •Разграничение доступа к ресурсам автоматизированной системы на уровне ос.
- •Показатели и методы оценки уязвимости информации в компьютерных сетях.
- •Опишите точно, что такое масштабируемая система.
- •Компоненты компьютерной системы и виды угроз, которым они подвергаются.
- •Защита субд.
- •Недостатки защиты от несанкционированных действий пользователей и программ
- •Какие методики позволяют добиться масштабируемости?
- •Недостатки защиты от потери информации и нарушения работоспособности компьютерной системы
- •Мультипроцессорная и мультикомпьютерная система.
- •Недостатки административного управления сетью
- •Распределенные и сетевые операционные системы.
- •Нападения на постоянные и сменные компоненты системы защиты
- •Использование микроядра в организации операционной системы, работающей в режиме клиент-сервер.
- •Защита памяти. Контроль доступа, ориентированный на данные, и контроль доступа, ориентированный на пользователя.
- •2. Контроль доступа, ориентированный на пользователя
- •3. Контроль доступа, ориентированный на данные
- •Средства защиты от несанкционированного доступа на охраняемую территорию, в помещение и от вскрытия аппаратуры.
- •2. Защита от утечки информации через побочн электромагнитн методы излучения и наводки (пэмин).
- •Трехзвенная архитектура клиент-сервер
- •Защита от утечек информации через пэмин.
- •Горизонтальное и вертикальное распределение
- •Стеганография
- •Защита каналов связи. Межсетевые экраны.
- •Оценка стойкости криптосистем
- •Показатели и методы оценки уязвимости информации в компьютерных сетях
- •Основные принципы парольной защиты.
- •Защита архитектуры клиент-сервер
- •Вредоносные программы
- •Компьютерные вирусы
- •Защита от вредоносных программ
Разграничение доступа к ресурсам автоматизированной системы на уровне ос.
Сетевой уровень связан с доступом к информационным ресурсам внутри интрасети организации. Безопасность информации на этом уровне обеспечивается средствами проверки подлинности пользователей и разграничением доступа к ресурсам интрасети (аутентификация и авторизация).
Авторизация - полномочия, устанавливаемые администратором системы для конкретных лиц, позволяющие последним использовать транзакции, процедуры или всю систему в целом.
Защита информации и выявление атак злоумышленников на сетевом уровне имеет определенную специфику. Если на системном уровне проникнуть в систему можно лишь в результате раскрытия пароля пользователя, то в случае распределенной конфигурации сети становится возможен перехват пользовательских имени и пароля техническими средствами. Кроме аутентификации пользователей, в интрасети должна производиться также аутентификация машин-клиентов. Высокая степень защиты достигается заменой стандартных открытых сервисов на сервисы, шифрующие параметры пользователя/машины-клиента, чтобы даже перехват пакетов не позволял раскрыть эти данные. Наконец, немаловажное значение имеет аудит событий, происходящих в распределенной информационной среде, поскольку в этих условиях злоумышленник не столь заметен и имеет достаточно времени и ресурсов для выполнения своих задач, если в системе отсутствуют автоматическое оповещение и реакция на возможные нарушения.
Разграничение доступа является самой исследованной областью информационной безопасности.
Динамичность современной программной среды в сочетании со сложностью отдельных компонентов существенно сужает область применимости самой употребительной модели управления доступом - модели с произвольным управлением. При определении допустимости доступа важно не только то, кто обратился к объекту, но и то, какова семантика действия.
Активно развивается ролевое управление доступом, которое не только решает проблемы безопасности, но и улучшает управляемость систем. Суть его в том, что между пользователями и их привилегиями помещаются промежуточные сущности - роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права. Сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости. Кроме того, на основании ролевой модели можно реализовать такие важные принципы, как разделение обязанностей. Между ролями могут быть определены статические или динамические отношения несовместимости (невозможности одному субъекту по очереди или одновременно активизировать обе роли), что и обеспечивает требуемую защиту.
Методы идентификации и аутентификации пользователей
Реализация конкретных моделей защиты от несанкционированного доступа должна опираться на соответствующие административные (процедурные) мероприятия и технические средства, направленные в первую очередь на идентификацию и аутентификацию пользователей автоматизированной системы.
Идентификация пользователей заключается в установлении и закреплении за каждым из них уникального идентификатора в виде номера, шифра, кода и т.п. Это связано с тем, что традиционный идентификатор вида фамилия-имя-отчество не всегда может быть использован. Для целей идентификации в различных автоматизированных системах широко, например, применяются так называемый персональный идентификационный номер (PIN - Personal Identifrcarion Number), номер социального страхования (SSN - Social Security Number), личный номер, код безопасности и т.д. Такие идентификаторы используются при построении различных систем разграничения доступа и защиты информации.
Аутентификация заключается в проверке подлинности пользователя по предъявленному им идентификатору, например, при входе в систему. Такая проверка должна исключать фальсификацию пользователей в системе и их компрометацию. Без проверки подлинности теряется смысл в самой идентификации пользователей и применении средств разграничения доступа, построенных на базе личных идентификаторов. Отсутствие надежных средств проверки подлинности пользователей может существенно затруднить реализацию принципа персональной ответственности, о котором говорилось выше.
Проверка подлинности (аутентификация) может проводиться различными методами и средствами. В настоящее время в автоматизированных системах используются три основных способа аутентификации по следующим признакам:
паролю или личному идентифицирующему номеру (пользователь "знает");
некоторому предмету, который есть у пользователя (пользователь "имеет");
каким-либо физиологическим признакам, свойственным конкретным лицам (пользователь "есть").
К мерам повышения безопасности парольных систем аутентификации, помимо упомянутого хранения списков паролей в зашифрованном виде, может быть отнесено сокращение сроков действия паролей вплоть до применения паролей однократного использования. В последнее время для целей аутентификации широко используется так называемый метод "запрос-ответ", который позволяет не только аутентифицировать пользователя, но и дает возможность пользователю осуществлять аутентификацию системы, с которой он работает. Это имеет принципиальное значение при работе в сети, так как использование подставной ЭВМ, ОС или программы является одним из путей несанкционированного п
13.