- •Пояснительная записка
- •Конспект лекций по дисциплине «Информационная безопасность» Лекция 1-2 «Роль и место знаний по дисциплине в сфере профессиональной деятельности»
- •Лекция 2-3 «Понятие информационной безопасности» Уровни зрелости соиб организации
- •Законодательная, нормативно-правовая и научная база
- •Структура и задачи органов (подразделений), обеспечивающих безопасность ит
- •Программно-технические способы и средства обеспечения информационной безопасности
- •Средства защиты от несанкционированного доступа (нсд)
- •Криптографические средства
- •Лекция 5-6 «Наиболее распространенные угрозы»
- •Лекция 7-8 «Оценочные стандарты и технические спецификации»
- •"Оранжевая книга" как оценочный стандарт
- •Лекция 9-10 «Рекомендации х.800»
- •Лекция 11-12 «Стандарт iso/ise 15408. Критерии безопасности информационных технологий»
- •Часть 1. Введение и общая модель.
- •Часть 2. Функциональные требования безопасности.
- •Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").
- •Требования общих критериев и результаты оценки
- •Лекция 13-14 «Обзор российского законодательства в области информационной безопасности»
- •Виды угроз информационной безопасности Российской Федерации
- •Лекция 15-16 «Обзор зарубежных законодательных актов»
- •Лекция 17-18 «Основные понятия. Политика безопасности»
- •Лекция 19-20 «Программа безопасности»
- •Лекция 21-22 «Управление рисками» Основные принципы управления рисками информационной безопасности
- •Лекция 23-24 «Основные понятия. Классы мер процедурного уровня»
- •Лекция 25-26 «Поддержание работоспособности информационных систем»
- •Требования к системе резервного копирования
- •Виды резервного копирования
- •Лекция 27-28 «Планирование восстановительных работ»
- •Лекция 29-30 «Основные понятия программно-технического уровня информационной безопасности»
- •Лекция 31-32 «Архитектурная безопасность»
- •Сервисы безопасности: Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Контроль защищенности
- •Лекция 33-34 «Идентификация и аутентификация. Управление доступом»
- •1. Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля.
- •2. Основанные на использовании уникального предмета: жетона, электронной карточки и др.
- •3. Основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.
- •4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.
- •Лекция 35-36 «Протоколирование и аудит, шифрование, управление доступом»
- •Лекция 37-38 «Обзор антивирусных и иных защитных программ» Принципы работы антивирусных программ Общие сведения
- •Сигнатурный поиск
- •Эвристический анализ
- •Детектирование аномального поведения
- •Шифрование методом замены (подстановки)
- •Одноалфавитная подстановка
- •Многоалфавитная одноконтурная обыкновенная подстановка
- •Многоалфавитная одноконтурная монофоническая подстановка
- •Практическое занятие 2 (лекция 41-42) «Шифрование файлов»
- •Простая перестановка
- •Перестановка, усложненная по таблице
- •Практическое занятие 3, 4 (лекция 43-44) «Работа с антивирусным программным обеспечением. Архивация файлов» Архиватор WinZip
- •Архиватор WinRar
- •Практическое занятие 5 (лекция 45-46) «Настройка параметров безопасности пк»
4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.
Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System). Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата.
Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет ее использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.
Лекция 35-36 «Протоколирование и аудит, шифрование, управление доступом»
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит - это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация протоколирования и аудита решает следующие задачи:
- обеспечение подотчетности пользователей и администраторов;
- обеспечение возможности реконструкции последовательности событий;
- обнаружение попыток нарушений информационной безопасности;
- предоставление информации для выявления и анализа проблем.
Для протоколирования необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов оставался в пределах допустимого. Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность. Разумный подход к упомянутым вопросам применительно к операционным системам предлагается в "Оранжевой книге", где выделены следующие события:
- вход в систему (успешный или нет);
- выход из системы;
- обращение к удаленной системе;
- операции с файлами (открыть, закрыть, переименовать, удалить);
- смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).
При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
- дата и время события;
- уникальный идентификатор пользователя - инициатора действия;
- тип события;
- результат действия (успех или неудача);
- источник запроса (например, имя терминала);
- имена затронутых объектов (например, открываемых или удаляемых файлов);
- описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).
Еще одно важное понятие, фигурирующее в "Оранжевой книге", - выборочное протоколирование, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Характерная особенность протоколирования и аудита - зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.
Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как сдерживающее средство. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать все его действия, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации. Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.
Обнаружение попыток нарушений информационной безопасности - функция активного аудита. Обычный аудит позволяет выявить подобные попытки с опозданием, но и это оказывается полезным. Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.
Непросто осуществить организацию согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах.