шпорыГЭ
.doc
25. Принципы системного анализа. Принцип целенаправленности. Существуют три основных принципа системотехники, которые можно положить в основу исследования, использования и создания сложных систем:
Принцип целенаправленности - отображает функциональную способность системы на достижение ее определенного состояния либо на усиление/сохранение процесса, при котором система способна противостоять внешнему воздействию, используя среду и случайные события. Принцип целенаправленности реализует предсказательную функцию системного подхода. Сложная система обладает определенной областью, в пределах которой она способна выбирать свое поведение как реакцию на внешнее воздействие в зависимости от внутренних критериев целенаправленности. При этом никакое первоначальное значение не позволяет ни надсистеме ни подсистеме однозначно предсказывать выбор в сложной ситуации. 26. Три принципа существования систем. Существуют три основных принципа системотехники, которые можно положить в основу исследования, использования и создания сложных систем:
|
27. Деструктивные воздействия на ЗАС и их типы.
Угрозы необходимо учитывать при проектировании, строительстве и найме персонала. В зависимости от вероятности реализации того или иного типа воздействия, при проектировании необходимо совершить определенные затраты на средства защиты. Затраты должны быть соизмеримы с рисками. Угроза - возможность реализации того или иного деструктивного воздействия. Стихийные прогнозируются плохо, ущерб значительный, случаются редко. Техногенные более предсказуемы, несут меньший ущерб для работоспособности системы. Внутренние угрозы - некачественные ТС, ПО, вспомогательные средства. Внешние - линии связи, близко расположенные опасные производства, сети энергокоммуникаций. В случае с антропогенными угрозами при правильно выполненном прогнозе имеется возможность принять меры. Меры противодействия зависят от профессионализма. Субъект - причина. Объект - хранилище информации. Субъекты:
Угрозы:
Возможные действия субъектов:
|
28. Многоуровневые иерархические модели структур.
Страта 6: философское или теоретическое познавательное описание замысла системы. Страта 5: представление системы на языке выбранной научной теории. Страта 4: проектное представление системы. Страта 3: конструкция. Страта 2: технология, технологическая документация. Страта 1: материальное воплощение системы.
Слои. Для уменьшения уровня неопределенности используются слои. Выделение проблем в различные слои должно происходить таким образом, чтобы снизить неопределенность нижележащей проблемы.
Многоэшелонная (активная) система. Активна в выборе решения (в социально - экономических системах).
|
29. Стратифицированная модель описания проектирования системы
|
31. Модель многоэшелонной иерархической структуры системы
Обратная связь от управляющего процесса |
30. Модель стратов
|
32. Основные методы противодействия угрозам безопасности.
По способам реализации:
|
33. Принципы организации защиты.
|
34. Угрозы безопасности и их виды.
Угрозы необходимо учитывать при проектировании, строительстве и найме персонала. В зависимости от вероятности реализации того или иного типа воздействия, при проектировании необходимо совершить определенные затраты на средства защиты. Затраты должны быть соизмеримы с рисками. Угроза - возможность реализации того или иного деструктивного воздействия. Стихийные прогнозируются плохо, ущерб значительный, случаются редко. Техногенные более предсказуемы, несут меньший ущерб для работоспособности системы. Внутренние угрозы - некачественные ТС, ПО, вспомогательные средства. Внешние - линии связи, близко расположенные опасные производства, сети энергокоммуникаций. В случае с антропогенными угрозами при правильно выполненном прогнозе имеется возможность принять меры. Меры противодействия зависят от профессионализма. Субъект - причина. Объект - хранилище информации. Субъекты:
Угрозы:
Возможные действия субъектов:
|
35. Логическая архитектура компьютерных сетей. По отношению к компьютерным сетям целесообразно различать их физическую и логическую архитектуру. Физическая архитектура описывает структуру протоколов нижнего и среднего уровней эталонной модели OSI (физического, канального, сетевого, транспортного и сеансового уровней). Логическая архитектура описывает структуру программных средств компьютерной сети, реализующих протоколы верхних уровней (представления и прикладного). Логическая архитектура отражает целостную технологию функционирования компьютерной сети и может быть детализирована посредством различных уровней физической архитектуры, разновидности логической архитектуры компьютерных сетей: - Одноранговая архитектура (отсутствие компьютеров, полностью предоставляющих свои ресурсы в общее пользование (нет сервера) - Классическая архитектура «клиент-сервер» (Компьютеры, предоставляющие те или иные общие ресурсы- сервера, а компьютеры, использующие общие ресурсы, - клиенты. ) - Архитектура «клиент-сервер», основанная на Web-технологии (В соответствии с Web-технологией на сервере размещаются так называемые Web-документы, которые визуализируются и интерпретируются браузером.) Концентрация на сервере всех информационных ресурсов и прикладной системы существенно упрощает построение и администрирование системы безопасности, так как защита любых объектов, находящихся в одном месте, реализуется намного проще, чем в случае их территориального распределения. Использование для обмена данными между компьютерами сети протоколов открытого стандарта (TCP/IP) приводит к унификации всех способов взаимодействия между рабочими станциями и сервером. Не нужно решать задачу обеспечения безопасного информационного взаимодействия для множества приложений каждого компьютера. Решение по безопасности взаимодействия для одного компьютера и будет стандартным для всех. Кроме того, по отношению к протоколам открытого стандарта намного интенсивнее и шире публичное обсуждение вопросов информационной безопасности и богаче выбор защитных средств. |
36. Классическая архитектура "клиент-сервер". Компьютеры, предоставляющие те или иные общие ресурсы, были названы серверами, а компьютеры, использующие общие ресурсы, - клиентами. Особенности:
С точки зрения безопасности обработки и хранения данных архитектура «клиент-сервер» обладает и рядом недостатков:
|
37. Функции межсетевого экранирования. Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену адресов назначения редиректы или источника мапинг, biNAT, NAT. В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
|
38. Выполнение функций посредничества. В общем случае работа межсетевого экрана основана на динамическом выполнении 2-х групп функций:
В процессе посредничества при реализации межсетевых взаимодействий экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:
Прокси-сервер - служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кеша (в случаях, если прокси имеет свой кеш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак. |
39. Особенности межсетевого экранирования на различных уровнях модели OSI. Чтобы эффективно обеспечивать безопасность сети, комплексный брандмауэр обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Комплексный брандмауэр должен иметь возможность анализа следующих элементов:
Брандмауэры типа пакетных фильтров являются самыми простыми наименее интеллектуальными. Они работают на сетевом уровне модели OSI или на IP-уровне стека протоколов TCP/IP. Шлюзы сеансового уровня - это брандмауэры, работающие на сеансовом уровне модели OSI или на уровне TCP (Transport Control Protocol) стека протоколов TCP/IP. Они отслеживают процесс установления TCP-соединения (организацию сеансов обмена данными между узлами сети) и позволяют определить, является ли данный сеанс связи легитимным. Шлюзы прикладного уровня, которые также называются proxy-серверами, функционируют на прикладном уровне модели OSI, отвечающем за доступ приложений в сеть. На этом уровне решаются такие задачи, как перенос файлов, обмен почтовыми сообщениями и управление сетью. |
40. Экранирующий маршрутизатор. Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Сетевые фильтры работают на сетевом уровне иерархии OSI. Сетевой фильтр представляет собой маршрутизатор, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов.
Администратор на основе этой информации задает правила, в соответствии с которыми пакеты будут либо пропускаться через фильтр, либо отбрасываться им. В сетевых фильтрах в основном используется статическая фильтрация, когда администратору приходится создавать свой фильтр для каждого уникального типа пакета, требующего обработки. Сетевые фильтры имеют ряд принципиальных недостатков. Прежде всего аутентификация (или, если точнее, идентификация) отправителя производится только на основании IP-адреса. Однако с помощью подмены IP-адресов (IP-spoofing) злоумышленник без особых усилий может обойти такую преграду. Сетевой фильтр не может отслеживать работу сетевых приложений, и вообще он не контролирует содержимое пакетов транспортного, сеансового и прикладного уровня. Основным (помимо цены и простоты реализации) достоинством сетевых фильтров является их очень высокая производительность. |
41. Шлюз сеансового уровня. Шлюзы сеансового уровня оперируют на сеансовом уровне иерархии OSI. Однако в сетевой модели TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI. Поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем. Шлюз сеансового уровня следит за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем брандмауэр с фильтрацией пакетов. Чтобы определить, является ли запрос на сеанс связи допустимым, шлюз сеансового уровня выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторую услугу, шлюз принимает этот запрос, проверяя, удовлетворяет ли клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу TCP. |
42. Прикладной шлюз. Шлюз прикладного уровня перехватывает входящие и исходящие пакеты, использует программы-посредники, которые копируют и перенаправляют информацию через шлюз, а также функционирует в качестве сервера-посредника, исключая прямые соединения между доверенным сервером или клиентом и внешним хостом. Однако посредники, используемые шлюзом прикладного уровня, имеют важные отличия от канальных посредников шлюзов сеансового уровня: во-первых, они связаны с приложениями, а во-вторых, могут фильтровать пакеты на прикладном уровне модели OSI. В отличие от канальных посредников, посредники прикладного уровня пропускают только пакеты, сгенерированные теми приложениями, которые им поручено обслуживать. Например, программа-посредник службы Telnet может копировать, перенаправлять и фильтровать лишь трафик, генерируемый этой службой Если в сети работает только шлюз прикладного уровня, то входящие и исходящие пакеты могут передаваться лишь для тех служб, для которых имеются соответствующие посредники. Так, если шлюз прикладного уровня использует только программы-посредники FTP и Telnet, то он будет пропускать пакеты этих служб, блокируя при этом пакеты всех остальных служб. В отличие от шлюзов сеансового уровня, которые копируют и "слепо" перенаправляют все поступающие пакеты, посредники прикладного уровня (самого высокого в модели OSI) проверяют содержимое каждого проходящего через шлюз пакета. Эти посредники могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Утилиты этих шлюзов позволяют фильтровать определенные команды, используемые этими службами. Например, можно сконфигурировать шлюз таким образом, чтобы он предотвращал использование клиентами команды FTP Put, которая дает возможность пользователю, подключенному к FTP-серверу, записывать на него информацию. Многие сетевые администраторы предпочитают запретить использование этой команды, чтобы уменьшить риск случайного повреждения хранящейся на FTP-сервере информации и вероятность заполнения его гигабайтами хакерских данных, пересылаемых на сервер для заполнения его дисковой памяти и блокирования работы. |
43. Разработка политики межсетевого взаимодействия. Политика межсетевого взаимодействия определяет требования к безопасности информационного обмена с внешним миром. Данные требования должны отражать 2 аспекта:
Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно, в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, а также пользователи и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи, каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации.
|
44. Определение схемы подключения межсетевого экрана. Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра. Брандмауэры с одним сетевым интерфейсом не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие: - схема единой защиты локальной сети; -схема с защищаемой закрытой и не защищаемой открытой подсетями; -схема с раздельной зашитой закрытой и открытой подсетей. Схема единой зашиты локальной сети является наиболее простым решением, при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять. При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана. Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети. В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами или на основе двух брандмауэров с двумя сетевыми интерфейсами. В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открыто сети не позволяет осуществить доступ к закрытой подсети. |
45-46. Построение защищенных виртуальных сетей. Понятие, основные задачи и функции защищённых виртуальных сетей. VPN (Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов. При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети. Структура VPN VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации.
Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации. |
45-46 Классификация VPN:
|
47. Задачи службы информационной безопасности предприятия.
|
48. Принципы и направления инвентаризации информационных систем. Инвентаризация - составление списка систем и объектов, подлежащих защите, а также субъектов, ответственных за эксплуатацию этих систем. Основные этапы:
Принципы:
Контролируют инвентаризацию - внешний аудитор, специализирующиеся фирмы, руководство. Направления инвентаризации информационных систем:
|
49. Общие принципы и модели классификации информационных систем. Параметры для классификации:
Объект - это информация, которая создается, принимается, обрабатывается, хранится и передается. Субъект - это любой пользователь или администратор ИС, выполняющий свои функциональные обязанности (не только на компьютере). Средства работы с информацией – программно-аппаратные средства создания, передачи, приема, обработки информации. По степени важности: очень важные, важные, неважные. В мировой практике принято 3 категории классификации информации:
По доступности:
По ценности:
По конфиденциальности:
|
50. Сопоставление ролей субъектов информационных систем их функциональным обязанностям. Упрощенная модель: создатели объектов, пользователи, администраторы, контроллеры. Полная модель:
|
51. Идентификация информационных угроз и модель нарушителя. Модель нарушителя - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Модель нарушителя определяет:
Модель нарушителей может иметь разную степень детализации:
|
52. Оценка информационных рисков (количественная модель). Осуществляется на основе экспертной оценки, либо анализа атак. Должны учитываться возможные стихийные бедствия, перебои в электропитании, статистика отказов оборудования. Оценка рисков:
|
53. Современные методы и средства контроля информационных рисков. CRAMM Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая: RAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Riskwatch RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. ГРИФ Основная задача системы ГРИФ - дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании, а также предоставить возможность доказательно (в цифрах) убедить руководство компании в необходимости инвестиций в сферу ее информационной безопасности.
|
54. Пути минимизации информационных рисков. Основными информационными рисками любого коммерческого предприятия, являются:
Должна быть защищена КИ, а также не должно допускаться распространение ложной информации о предприятии. Система минимизации информационных рисков должна включать следующие подсистемы:
|
55. Работа службы информационной безопасности с персоналом. Направления:
Этапы отбора в коммерческое предприятие:
Процедура увольнения сотрудника:
|
56. Работа службы информационной безопасности с оборудованием информационных систем.
Проверить:
|
57. Основные документы политики информационной безопасности предприятия.
|
58. Структура аварийного плана предприятия. Аварийный план – это процедуры разработанные в процессе планирования чрезвычайных ситуаций для обеспечения сохранности информации, баз данных и т.д. Задачи:
Содержание плана:
|
59. Методика работы службы информационной безопасности с аварийным планом предприятия.
60. Порядок работы службы информационной безопасности при нарушении режима информационной безопасности. Порядок действий группы реагирования:
|
61. Организация контроля физического доступа в помещения предприятия. Задачи:
Механизмы:
Система контроля и управления доступом (СКУД):
Задачи СКД:
Механизмы управления входом:
СКП предназначена для контроля персонала при перемещении в здании. Ставится устройство идентификации. При проектировании необходимо учитывать политику безопасности предприятия и параметры субъекта. Политика доступа должна храниться на одном сервере. Перемещение субъектов должно фиксироваться в журнале. Мастер-ключ должен изготавливаться в 3-х экземплярах и храниться у директора, заместителя директора и начальника службы безопасности предприятия. |
62. Организация системы видеонаблюдения на объектах предприятия. Вопросы при выборе видеокамер:
При разрешении 200твл объект (человек) можно заметить на расстоянии 50м, узнать знакомого на 10м, опознать незнакомого на 5м и увидеть автомобильный номер на 4м. Недостатки поворотных камер:
Способы передачи видеосигнала:
Организация электропитания камеры:
Мультиплексор – устройство позволяющее выводить несколько изображений на один экран. Виды систем видеонаблюдения:
|
63. Объекты и направления информационного нападения на проводные средства связи.
Методы защиты:
|
64. Методы защиты проводных сетей связи. Методы защиты:
Работы:
|
65. Способы защиты речевой информации.
Технические и программные средства выявления:
Приборы:
|
66. Организация управления доступом на предприятии. Охрана периметра. 1 – Ограничители скорости. Предназначены для снижения скорости подъезда автомобиля к КПП. 2 – КПП. 3 – Металлические штыри для преграждения проезда на территорию предприятия. 4 – Камера видеонаблюдения для фиксирования номеров автомобилей.
Периметр предприятия по желанию можно огородить железной проволокой, системами детектирования движения и камерами видеонаблюдения.
Система контроля и управления доступом (СКУД):
Задачи СКД:
Механизмы управления входом:
|
67. Доктрина информационной безопасности РФ о состоянии информационной безопасности РФ, основных задачах и общих методах ее обеспечения. Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере. Сложившееся положение дел в области обеспечения информационной безопасности РФ требует безотлагательного решения таких задач, как: -развитие и совершенствование системы обеспечения ИБ РФ, реализирующей единую государственную политику в этой области -совершенствование нормативной правовой базы обеспечения ИБ РФ -установление ответственности за соблюдение требований ИБ -обеспечение технологической независимости РФ в важнейших областях информатизации -разработка современных методов и средств защиты информации
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические. |
68. Правовая основа информационной безопасности и перспективы ее развития. Это комплекс нормативно-правовых документов, разрабатываемых на двух иерархических уровнях:
Законы РФ:
Кодексы:
Указы президента
Постановления правительства.
О порядке допуска к государственной тайне. |
69. Правовой режим государственной тайны. Правовая основа государственной тайны:
Государственная тайна - защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной деятельности, распространение которых может нанести вред безопасности РФ. Для государственной тайны устанавливается особый правовой режим - жесткое ограничение доступа, надежной защите ее от НСД и четким распределением крута лиц, которым предоставлен доступ. Режим ГТ:
Принципы отнесения к государственной тайне:
Степени секретности:
Гриф - реквизит документа, определяющий степень его секретности, соответственно, три формы допуска: 1, 2, 3. |
70. Система контроля состояния защиты и юридическая ответственность за нарушение правового режима защиты. Контроль за защитой государственной тайны осуществляет президент и правительство. Межведомственный контроль осуществляют органы федеральной исполнительной власти. Меры ответственности за нарушение ГТ определяются соответствующими статьями уголовного кодекса:
|
70. Система контроля состояния защиты и юридическая ответственность за нарушение правового режима защиты. Контроль за защитой государственной тайны осуществляет президент и правительство. Межведомственный контроль осуществляют органы федеральной исполнительной власти. Меры ответственности за нарушение ГТ определяются соответствующими статьями уголовного кодекса:
|
71. Законодательство РФ об авторском праве и смежных правах. Конвенция интеллектуальной собственности (составлена всемирной организацией интеллектуальной собственности). Интеллектуальная собственность включает в себя права на:
Интеллектуальная собственность - материально выраженный результат умственной деятельности, дающий его автору исключительные права на него. Формы охраны интеллектуальной собственности: патенты, свидетельства, факт выпуска. Документы:
Объектом авторского права являются:
Авторское право действует на протяжении всей жизни автора и 50 лет после смерти.
|
72. Правовые проблемы защиты информации в Интернете. Интернет - распределенная всемирная база знаний, включающая в себя множество различных информационных массивов. Интерент не является субъектом и объектом права. Внутри Интернет - множество субъектов и объектов. Основные объекты информационного правонарушения:
Объекты те же, что и в других отраслях информационной сферы. Интерент часто используется в преступных целях:
Направления правового регулирования:
|
73. Правовая регламентация лицензионной деятельности в области защиты информации. Лицензирование - процесс предоставления разрешения на занятия тем или иным видом деятельности конституция РФ, ФЗ о лицензировании, постановления правительства на лицензионную деятельность в области КИ, ГТ, ЗИ. В результате лицензирования определяется способность осуществлять деятельность по ЗИ и выдается лицензия - документ, разрешающий осуществление деятельности. Органы:
Основные государственные органы:
Лицензия выдается государственным органом по лицензированию на конкретные виды деятельности на срок 3-5 лет. Условия: заявка, производственная и испытательная база, нормативная и методическая документация, научный и инженерный потенциал, на основании экспертизы деятельности.
|
74. Правовые основы применения ЭЦП. Основной документ - федеральный закон об ЭЦП. ЭЦП - реквизит электронного документа, предназначенный для защиты данных электронного документа от подделки, получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить неизменность документа. Условия равнозначности ЭЦП и собственноручной подписи:
|
75. Признаки и общая характеристика правонарушений в информационной сфере. Информационное правонарушение - противоправное общественноопасное виновное действие либо бездействие лица, за которое законодательством предусмотрена ответственность. Информационные правонарушения:
Признаки правонарушения:
Виды правонарушений:
Недостатки, затрудняющие расследование неправомерного доступа:
|
76. Режимы соединений, организуемые в сетях стандарта IEEE 802.11, и их особенности. Ad Hoc В режиме Ad Hoc клиенты устанавливают связь непосредственно друг с другом. Устанавливается одноранговое взаимодействие по типу "точка-точка", и компьютеры взаимодействуют напрямую без применения точек доступа. При этом создается только одна зона обслуживания, не имеющая интерфейса для подключения к проводной локальной сети. Инфраструктурный режим В этом режиме точки доступа обеспечивают связь клиентских компьютеров. Точку доступа можно рассматривать как беспроводной коммутатор. Клиентские станции не связываются непосредственно одна с другой, а связываются с точкой доступа, и она уже направляет пакеты адресатам. Режимы WDS и WDS WITH AP Термин WDS (Wireless Distribution System) расшифровывается как "распределенная беспроводная система". В этом режиме точки доступа соединяются только между собой, образуя мостовое соединение. При этом каждая точка может соединяться с несколькими другими точками. Подключение клиентов осуществляется только по проводной сети через uplink-порты точек. Термин WDS with АР (WDS with Access Point) означает "распределенная беспроводная система, включающая точку доступа", т.е. с помощью этого режима можно не только организовать мостовую связь между точками доступа, но и одновременно подключить клиентские компьютеры. Режим повторителя Аналогично проводному повторителю, беспроводной повторитель просто ретранслирует все пакеты, поступившие на его беспроводной интерфейс. Эта ретрансляция осуществляется через тот же канал, через который они были получены. Режим клиента При переходе от проводной архитектуры к беспроводной иногда можно обнаружить, что имеющиеся сетевые устройства поддерживают проводную сеть Ethernet, но не имеют интерфейсных разъемов для беспроводных сетевых адаптеров. Для подключения таких устройств к беспроводной сети можно использовать точку доступа "клиент". |
77. Угрозы и риски безопасности беспроводных сетей. Подслушивание Наиболее распространенная проблема в таких открытых и неуправляемых средах, как беспроводные сети, - возможность анонимных атак. Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Другой способ подслушивания - подключение к беспроводной сети. Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP). Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Когда жертва атаки инициирует соединение, мошенник перехватывает его и затем завершает соединение с требуемым ресурсом, а потом пропускает все соединения с этим ресурсом через свою станцию. При этом атакующий может посылать и изменять информацию или подслушивать все переговоры и потом расшифровывать их. Атакующий посылает ARP-ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик. Затем злоумышленник будет отсылать пакеты указанным адресатам. Отказ в обслуживании Полную парализацию сети может вызвать атака типа DOS. Во всей сети, включая базовые станции и клиентские терминалы, возникает такая сильная интерференция, что станции не могут связываться друг с другом. Глушение клиентской или базовой станции Глушение клиентской станции Глушение в сетях происходит тогда, когда преднамеренная или непреднамеренная интерференция превышает возможности отправителя или получателя в канале связи, и канал выходит из строя. Глушение базовой станции Глушение базовой станции предоставляет возможность подменить ее атакующей станцией. Угрозы криптозащиты В беспроводных сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и использованию информации злоумышленниками. |
78. Механизм шифрования WEP и краткая характеристика его уязвимостей. Шифрование WEP (Wired Equivalent Privacy - секретность на уровне проводной связи) основано на алгоритме RC4 (Rivest's Cipher v.4 - код Ривеста), который представляет собой симметричное потоковое шифрование. Ядро алгоритма состоит из функции генерации ключевого потока. Эта функция генерирует последовательность битов, которая затем объединяется с открытым текстом посредством суммирования по модулю два. Дешифрация состоит из регенерации этого ключевого потока и суммирования его с шифрограммой по модулю два для восстановления исходного текста. Другая главная часть алгоритма - функция инициализации, которая использует ключ переменной длины для создания начального состояния генератора ключевого потока. Атаки:
Сеть пассивно прослушивается злоумышленником и собранным фреймам восстанавливается ключ.
Стандартом IEEE 802.11 не предусмотрены какие-либо механизмы управления ключами шифрования. |
79. Принципы аутентификации абонентов в стандарте IEEE 802.11 и краткая характеристика уязвимостей. Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network - TSN) предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication). Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети, позволяющий логически отличать сети друг от друга. Принцип аутентификации абонента в IEEE 802.11 Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию абонентского устройства радиодоступа, а не конкретного абонента как пользователя сетевых ресурсов. Открытая аутентификация Открытая аутентификация по сути не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации. Аутентификация с общим ключом Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. Процесс аутентификации: Уязвимости Проблемы идентификатора беспроводной ЛВС сторонний наблюдатель в состоянии с легкостью определить SSID с помощью анализатора трафика протокола 802.11, например Sniffer Pro Wireless. Уязвимость открытой аутентификации Открытая аутентификация не позволяет точке радиодоступа определить, является абонент легитимным или нет. Это становится заметной брешью в системе безопасности в том случае, если в беспроводной локальной сети не используется шифрование WEP Уязвимость аутентификации с общим ключом Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования Challenge Text, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрации его ответа на Challenge и сравнения его с отправленным оригиналом. Обмен фреймами, содержащими Challenge Text, происходит по открытому радиоканалу, а значит, подвержен атакам со стороны наблюдателя (Man in the middle Attack).
|
80. Стандарт безопасности WPA, его основные составляющие и улучшения по сравнению с WEP. Стандарт безопасности WPA обеспечивает уровень безопасности куда больший, чем может предложить WEP Он перебрасывает мостик между стандартами WEP и 802.11i и имеет немаловажное преимущество, которое заключается в том, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений. IEEE предложила временный протокол целостности ключа (Temporal Key Integrity Protocol, TKIP).
Основные усовершенствования, внесенные протоколом TKIP:
Пофреймовое изменение ключей шифрования Атаки, применяемые в WEP, использующие уязвимость слабых IV (Initialization Vectors), основаны на накоплении нескольких фреймов данных, содержащих информацию, зашифрованную с использованием слабых IV. Простейшим способом сдерживания таких атак является изменение WEP-ключа, используемого при обмене фреймами между клиентом и точкой доступа, до того как атакующий успеет накопить фреймы в количестве, достаточном для вывода битов ключа. IEEE адаптировала схему, известную как пофреймовое изменение ключа (per-frame keying). Основной принцип, на котором основано пофреймовое изменение ключа, состоит в том, что IV, MAC-адрес передатчика и WEP-ключ обрабатываются вместе с помощью двухступенчатой функции перемешивания. Контроль целостности сообщения MIC имеет уникальный ключ, который отличается от ключа, используемого для шифрования фреймов данных. Этот уникальный ключ перемешивается с назначенным MAC-адресом и исходным MAC-адресом фрейма, а также со всей незашифрованной частью фрейма. |
81. Стандарт сети 802.11i с повышенной безопасностью (WPA2), режимы работы и их краткая характеристика. Стандарт 802.11i использует концепцию повышенной безопасности (Robust Security Network - RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности. Это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. В переходный период будет поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP начнут отмирать. 802.11i приложим к различным сетевым реализациям и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким образом, является более мощным расширяемым решением. В концепции RSN применяется AES в качестве системы шифрования, подобно тому как алгоритм RC4 задействован в WPA. Однако механизм шифрования куда более сложен и не страдает от проблем, свойственных WEP AES - блочный шифр, оперирующий блоками данных по 128 бит. CCMP, в свою очередь, - протокол безопасности, используемый AES. Он является эквивалентом TKIP в WPA. CCMP вычисляет MIC, прибегая к хорошо известному и проверенному методу Cipher Block Chaining Message Authentication Code (CBC-MAC). Изменение даже одного бита в сообщении приводит к совершенно другому результату. RSN определяет иерархию ключей с ограниченным сроком действия, сходную с TKIP В AES/CCMP, чтобы вместить все ключи, требуется 512 бит - меньше, чем в TKIP В обоих случаях мастер-ключи используются не прямо, а для вывода других ключей. К счастью, администратор должен обеспечить единственный мастер-ключ. 802.11i (WPA2) - это наиболее устойчивое, расширяемое и безопасное решение, предназначенное в первую очередь для крупных предприятий, где управление ключами и администрирование доставляет множество хлопот. |
|