- •1. Идентификация и аутентификация
- •2. Аудит. Активный и пассивный аудит.
- •3. Протоколирование. Задачи протоколирования.
- •4. Стрк. Основные рассматриваемые в нем вопросы.
- •5. Каналы утечки и источники угроз безопасности информации (по стрк).
- •6. Виды вспомогательных технических средств и систем защиты информации (по стрк).
- •7. Каналы утечки информации при ведении переговоров и использовании технических средств обработки и передачи информации (по стрк).
- •8. Основные рекомендации по защите коммерческой тайны (по стрк).
- •9. Особенности транкинговых систем связи.
- •10. Обобщенная процедура аутентификации в стандарте tetra.
- •11. Алгоритм аутентификации в стандарте tetrAс использованием сеансовых ключей.
- •12. Возможные варианты информационного нападения на цифровую атс предприятия.
- •13. Методы защиты от информационного нападения на цифровую атс предприятия.
- •14. Способы обнаружения средств съема речевой информации.
- •15. Технические каналы утечки информации.
- •16. Средства защиты речевой информации.
- •17. Политика информационной безопасности предприятия (управление доступом, исполнение и соблюдение политики).
- •18. Этапы разработки политики безопасности.
- •19. Антивирусная и парольная политика безопасности.
- •20. Основные функциональные обязанности администратора безопасности.
- •21. Разработка политики информационной безопасности.
- •22. Сервер Kerberos.
- •23. Протокол tls/ssl.
- •24. Протокол ssh.
- •25. Протокол ipSec.
- •26. Протокол s-http.
- •27. Протокол ssl.
- •28. Протокол skip (Secure Key Internet Protocol).
- •29. Методы и средства защиты телефонных линий связи.
- •30. Способы обнаружения средств съема речевой информации.
- •31. Основные характеристики стандарта gsm.
- •32. Проблемы безопасности в сотовой сети gsm.
- •33. Аутентификация в сотовой сети gsm.
- •34. Защита телефонных переговоров в сотовой сети при помощи программно-аппаратных средств защиты.
- •35. Виды фрода и способы защиты от него.
- •36. Проблемы роста преступлений в электронной сфере.
- •45. Способы передачи видеосигнала. Организация электропитания системы видеонаблюдения.
25. Протокол ipSec.
IPsec(IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI). Это делает IPsec более гибким, поскольку IPsec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (уровень OSI 4) для обеспечения надёжной передачи данных.
IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. Протоколы защиты передаваемого потока могут работать в двух режимах - в транспортном режиме и в режиме туннелирования. При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, в режиме туннелирования - с целыми IP-пакетами.
IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT traversal).
IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) — безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.
Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD — Security Policy Database) и базе данных безопасных соединений (SAD — Security Association Database). Записи в SPD определяют в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализация IPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры.
26. Протокол s-http.
S-HTTPпредставляет собой безопасный протокол связи, ориентированный на сообщения и разработанный для использования в сочетании с HTTP. Он предназначен для совместной работы с моделью сообщений HTTP и легкой интеграции с приложениями HTTP. Этот протокол предоставляет клиенту и серверу одинаковые возможности (он одинаково относится к их запросам и ответам, а также к предпочтениям обеих сторон). При этом сохраняется модель транзакций и эксплуатационные характеристики HTTP.
Клиенты и серверы S-HTTP допускают использование нескольких стандартных форматов криптографических сообщений. Клиенты, поддерживающие S-HTTP, могут устанавливать связь с серверами S-HTTP и наоборот, эти серверы могут связываться с клиентами S-HTTP, хотя в процессе подобных транзакций функции безопасности S-HTTP использоваться скорее всего не будут. S-HTTP не требует от клиента сертификатов общих ключей (или самих общих ключей), потому что этот протокол поддерживает только операции с симметричными шифровальными ключами. Хотя S-HTTP может пользоваться преимуществами глобальных сертификационных инфраструктур, для его работы такие структуры не обязательны.
Протокол S-HTTP поддерживает безопасные сквозные (end-to-end) транзакции, что выгодно отличает его от базовых механизмов идентификации HTTP, которые требуют, чтобы клиент попытался получить доступ и получил отказ и лишь затем включают механизм безопасности. Клиенты могут быть настроены таким образом, чтобы любая их транзакция автоматически защищалась (обычно с помощью специальной метки в заголовке сообщения). Такая настройка, к примеру, часто используется для передачи заполненных бланков. Если вы используете протокол S-HTTP, вам никогда не придется отправлять важные данные по сети в незащищенном виде.
S-HTTP поддерживает высокий уровень гибкости криптографических алгоритмов, режимов и параметров. Для того, чтобы клиенты и серверы смогли выбрать единый режим транзакции (Так, например, им нужно решить, будет ли запрос только шифроваться или только подписываться или и шифроваться и подписываться одновременно. Такое же решение нужно принять и для ответов.), используется механизм согласования опций, криптографических алгоритмов (RSA или Digital Signature Standard [DSA] для подписи, DES или RC2 для шифрования и т.д.), и выбора сертификатов (Например: "Подписывайтесь своим сертификатом Verisign"). S-HTTP поддерживает криптографию общих ключей и функцию цифровой подписи и обеспечивает конфиденциальность данных.