Программно-технический уровень иб

по факту: важнейший рубеж обороны.

Защита возлагается на компьютерную систему.

Основное понятие - сервис безопасности.

Существуют основные и вспомогательные сервисы, сервисы безопасности относятся к вспомогательным.

Сервисы безопасности(базовый набор, но м.б. и больше):

1. индентификации/аутентификации;

2. управление доступом;

3. протоколирование и аудит;

4. шифрование;

5. контроль целостности;

6. экранирование;

7. анализ защищенности;

8. обеспечение отказоустойчивости;

9. обеспечение безопасного восстановления;

10. тунелирование;

11. управление.

Сервисы разбиваются на следующие типы:

1. превентивные, препятствующие нарушению ИБ: почти все сервисы.

2. меры обнаружения нарушений: протоколирование и аудит.

3. локализующие: аудит.

4. меры по выявлению нарушителя.

5. меры по восстановлению режима безопасности.

Идентификация и аутентификация

Идентификация позволяет субъекту представить себя, аутентификация - подтвердить свою подлинность.

Аутентификация бывает односторонней (вход пользователей в систему) и двухсторонней (Kerberos - клиент и сервер через посредника устанавливают свою подлинность, если грубо).

3 сущности аутентификации:

- предъявление пользователем того, что он знает(пароль);

- предъявление пользователем того, что он имеет(личная карта);

- предъявление пользователем того, что является частью субъекта(биометрические характеристики).

Надежность аутентификации затруднена тем, что любую аунтентификационную сущность можно узнать.

1. Аутентификация парольная - простота и прывычность, но ненадежность.

2. Одноразовые пароли - надежнее постоянных.

3. Биометрика - геометрия руки, сетчатка глаза и .т.д.

ошибики 1-го и 2-го род:

1. никто не доказал, что у людей не могут быть одинаковые отпечатки пальцев

2. пользователь, в результате травмы, пройти аутентификацию не сможет.

И наконец, биометрика - дорогое удовольствие.

Управление доступом

Смысл: идентификация и контролирование действий пользователей или объектов, определение действий для каждой группы субъект-объект.

Протоколирование и аудит

Протоколирование - сбор информации о работе в системе, кто когда какую работу в системе выполнил.

Аудит - это анализ накопленной информации, проводимый оперативно, в реальном времени, ну или периодически с небольшими разрывами.

П. и А. решают следующие задачи:

- обеспечивают подотчетность пользователей и администраторов;

- обеспечивают возможность реконструкции последовательности событий;

- обнаруживают попытки нарушения информационной безопасности;

- предоставляют информацию для выявления и анализа проблем.

Задача активного аудита - оперативно выявлять подозрительную активность и оперативно предоставлять средства для автоматического реагирования на неё.

Шифрование - мощное средство обеспечения конфиденциальности.

Классификация криптографии:

- тайнопись;

- криптография с ключами:

- потоковые шифры;

- блочные шифры(асимметричное и симметричное шифрование).

Поточные шифры: пример - скремлер(xor), зная а и с можно получить б при помощи а xor с=б

недостаток - относительная простота.

В симметричном шифровании для зашифровки и расшифровки сообщения используется один и тот же ключ. Недостаток - ключ должен быть известен и отправителю, и полуателю.

В асимметричном шифровании используется два ключа - открытый и закрытый. Открытым ключем зашифровывается сообщение, этот ключ известен, так как публикуется вместе с данными пользователя. Закрытый ключ хранится в тайне у получателя и используется для дешифровки сообщения. Данный метод имеет следующие недостаток - он обладает низким быстродействием.

Контроль целостности - реализуется средствами криптографии.

В основе данного сервиса лежат два понятия: хэш-функция и электронно-цифровая подпись.

Хэш-функция - одностороннее необратимое преобразование данных, реализуемое при помощи симметричного шифрования со связыванием блоков. Результат шифрования последнего блока и есть результат хэш-функции.

Пример, пусть имеется хэш-функция, данные, целостность которых надо проверить, и ранее известный результат функции, заново происходит выполнение функции, и если нынешний результат совпадает с результатом прошлого, целостность не нарушена, иначе, нарушена.

Электронно-цифровая подпись - см. выше.

Экранирование - заключается в ограничении доступа пользователей множества одних информационных систем ко множеству других информационных систем.

Экран - набор фильтров, который контролирует информационные потоки между двумя множествами информационных систем.

Межсетевые экраны предотвращают межсетевые атаки.

Анализ защищенности(сканеры защиты) - предназначен для выявления уязвимых мест с целью их ликвидации. Ядро системы анализа защищенности - база уязвимых мест, которая определяет доступный диапазон возможностей и требует постоянной актуализации.

Эффективные средства выявления брешей - сканеры и антивирусное ПО.

Сканеры защищенности могут выявлять бреши следующими путями: пассивным анализом и имитацией действий злоумышленника.

Можно говорить, что контроль, который носит сканер, носит законодательный характер.

Отказоустойчивость.

Все меры отказоустойчивости направлены на обеспечение доступности информации.

Показатели отказоустойчивости:

1. Эффективность услуги - максимальное время запроса;

2. Время недоступности - период этого времени не должен превзойти заданный предел.

Для некоторых важных систем время недоступности должно равняться минимуму, практически нулю.

Для решения этих задач создаются системы отказоустойчивости.

Для обеспечения максимальной доступности надо вносить избыточные элементы: дополнительные сервера, и .т.д.

Меры по обеспечению отказоустойчивости:

- Локальные (обеспечивают живучесть отдельных компьютерных систем, компонентов, например резервный бесперебойник);

- Распределенные (рассматривают запасные варианты на случаи серьезных аварий поддерживающей инфраструктуры).

Тиражирование - резервирование программ и данных.

Т. бывает: Симметричное(на всех серверах известно об изменении) и несимметричное, синхронное(в течении одной транзакции) и несинхронное.

Обеспечение безопасного восстановления (см. выше)

Тунеллирование - суть: взять порцию данных и упаковать в некий конверт, который выглядит как сами данные. Тунеллирование обеспечивает слабую форму конфиденциальности данных. Пример, передача данных IPv6 по каналам IPv4.

пакет:

Управление - сервис, который обеспечивает работу всех компонентов системы.

Стандартом Х.700 управление делится на 3 вида действий:

1. Мониторинг системы;

2. Контроль;

3. Координация работы системы.

Функции систем управдения:

1. позволять администраторам планировать, контролировать, учитывать и организовывать использование информационной систоемой;

2. давать возможность отвечать на изменение требований;

3. обеспечивать предсказуемое поведение информационных сервисов;

4. обеспечивать защиту информации.

Про стандарты:

"Оранжевая книга" заложила понятийный базис; в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности.

Рекомендации X.800 весьма глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.

Международный стандарт ISO 15408, известный как "Общие критерии", реализует более современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безопасности (представленных как функциональные требования ). Его принятие в качестве национального стандарта важно не только из абстрактных соображений интеграции в мировое сообщество; оно, как можно надеяться, облегчит жизнь владельцам информационных систем, существенно расширив спектр доступных сертифицированных решений.