- •Федеральное агентство по образованию
- •Лекция 1. Информационная безопасность Предисловие
- •Современная ситуация в области информационной безопасности
- •Проблемы безопасности лвс
- •Термины и определения
- •Рис 1.3. Схема обеспечения безопасности информации
- •Классификация методов и средств защиты информации
- •Безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Неформальная модель нарушителя в ас
- •Причины возникновения угроз ас и последствия воздействий
- •Лекция 3. Основные направления защиты информации Классификация мер обеспечения информационной безопасности
- •Классификация мер обеспечения безопасности компьютерных систем
- •Закон о коммерческой тайне предприятия
- •Лекция 4. Пакет руководящих документов Государственной технической комиссии при Президенте Российской Федерации
- •Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •Документы Гостехкомиссии России о модели нарушителя в автоматизированной системе
- •Классификация защищенности средств вычислительной техники. Классификация защищенности автоматизированных систем
- •Показатели защищенности межсетевых экранов
- •Общие положения:
- •Лекция 5. Организационные меры защиты информации
- •Организационная структура, основные функции службы компьютерной безопасности
- •Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации от нсд
- •Планирование восстановительных работ
- •Лекция 6. Административный уровень информационной безопасности
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •Лекция 7. Управление рисками
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •Управление рисками при проектировании систем безопасности. Анализ рисков
- •Рис 7.1. Схема подходов к проведению анализа рисков Общая схема анализа рисков
- •Основные подходы к анализу рисков
- •Анализ рисков в информационных системах с повышенными требованиями к безопасности
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Ранжирование угроз
- •Оценивание показателей частоты повторяемости и возможного ущерба от риска
- •Оценивание уровней рисков
- •Лекция 8. Процедурный уровень информационной безопасности Основные классы мер процедурного уровня
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •Лекция 9. Аппаратно-программные средства защиты
- •Основные механизмы защиты компьютерных систем от проникновения в целях дезорганизации их работы и нсд к информации
- •Основные понятия программно-технического уровня информационной безопасности
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с помощью биометрических данных
- •Управление доступом
- •Ролевое управление доступом
- •Модель безопасности БеллаЛа Падулы
- •Р НарушениеСвойстваОграниченияис.9.4. Схема запрещенного взаимодействия конфиденциального объекта
- •Системы разграничения доступа
- •Диспетчер доступа. Сущность концепции диспетчера доступа состоит в том, что некоторый абстрактный механизм является посредником при всех обращениях субъектов к объектам (рис.9.5).
- •Атрибутные схемы
- •Лекция 10. Основные понятия криптологии, криптографии и криптоанализа
- •Краткая история. Традиционные симметричные криптосистемы
- •Симметричные системы с закрытым (секретным) ключом
- •Алгоритмы des и Тройной des
- •Алгоритм idea
- •Алгоритм гост 28147-89
- •Асимметричные системы с открытым ключом. Математические основы шифрования с открытым ключом
- •Алгоритм rsa (Rivest, Shamir, Adleman)
- •Алгоритм Эль Гамаля
- •Лекция 11. Электронная цифровая подпись
- •Контроль целостности
- •Цифровые сертификаты
- •Основные типы криптоаналитических атак
- •Лекция 12. Управление механизмами защиты
- •Система обеспечения иб рф, ее основные функции и организационные основы
- •Общие методы обеспечения иб рф
- •Особенности обеспечения иб рф в различных сферах жизни общества
- •Организационные, физико-технические, информационные и программно-математические угрозы. Комплексные и глобальные угрозы иб деятельности человечества и обществ
- •Источники угроз иб рф
- •Организационное и правовое обеспечение
- •Информационной безопасности рф. Правовое
- •Регулирование информационных потоков
- •В различных видах деятельности общества
- •Международные и отечественные правовые и нормативные акты обеспечения иб процессов переработки информации
- •Организационное регулирование защиты процессов переработки информации
- •Категорирование объектов и защита информационной собственности
- •Лекция 14. Методологические основы
- •Обеспечения информационной безопасности
- •Жизнедеятельности общества и его структур
- •Современные подходы к обеспечению решения проблем иб деятельности общества
- •Методология информационного противоборства.
- •Информационно - манипулятивные технологии
- •Технологии информационного противоборства в Интернете и их анализ
- •Лекция 15. Всемирная паутина - World Wide Web (www)
- •Поиск информации в Интернете с помощью браузера
- •Примеры политик для поиска информации
- •Веб-серверы
- •Примеры политик веб-серверов
- •Лекция 16. Электронная почта Использование электронной почты
- •Основы e-mail
- •Угрозы, связанные с электронной почтой
- •Защита электронной почты
- •Хранение электронных писем
- •Приложения
- •Законодательство Российской Федерации по вопросам обеспечения информационной безопасности Основы законодательства России по вопросам защиты информации
- •Глава 19. Преступления против конституционных прав и свобод человека и гражданина
- •Глава 23. Преступления против интересов службы в коммерческих и иных организациях.
- •Глава 22. Преступления в сфере экономической деятельности
- •Глава 25. Преступления против здоровья населения и общественной нравственности
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 6. Общие положения:
- •Глава 38. Выполнение научно-исследовательских, опытно-конструкторских и технологических работ.
- •Глава 45. Банковский счет:
- •Глава 48. Страхование
- •Важнейшие законодательные акты в области защиты информации
- •3.2.1. Закон рф «о государственной тайне»”
- •Раздел VI, статья 20 Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации, следующие организации:
- •Закон рф “Об информации, информатизации и защите информации”
- •Защита конфиденциальной информации
Сервер аутентификации Kerberos
Kerberos — это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты — пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект С мог доказать свою подлинность субъекту S (без этого S не станет обслуживать С), он должен не только назвать себя, но и продемонстрировать знание секретного ключа (рис 9.1).
Рис. 9.1. Схема формирования доступа
С и s — сведения (например, имя), соответственно, о клиенте и сервере. dl и d2 — дополнительная (по отношению к билету) информация. Tc.s — билет для клиента С на обслуживание у сервера S. Кс и Ks — секретные ключи клиента и сервера. {info}K — информация info, зашифрованная ключом К
Приведенная схема — крайне упрощенная версия реальной процедуры проверки подлинности. Более подробное рассмотрение системы Kerberos можно найти, например, в статье В. Галатенко «Сервер аутентификации Kerberos» (Jet Info, 1996, 12-13). Нам же важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и поддерживает концепцию единого входа в сеть.
Идентификация и аутентификация с помощью биометрических данных
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
Биометрией во всем мире занимаются очень давно, однако долгое время все, что было связано с ней, отличалось сложностью и дороговизной. В последнее время спрос на биометрические продукты, в первую очередь в связи с развитием электронной коммерции, постоянно и весьма интенсивно растет. Это понятно, поскольку, с точки зрения пользователя, гораздо удобнее предъявить себя самого, чем что-то запоминать. Спрос рождает предложение, и на рынке появились относительно недорогие аппаратно-программные продукты, ориентированные в основном на распознавание отпечатков пальцев.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными.
Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Обычно биометрию применяют вместе с другими аутентификатерами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом зашиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте. Активность в области биометрии очень велика. Организован соответствующий консорциум (см.. http://www.biometrics.org), активно ведутся работы по стандартизации разных аспектов технологии (формата обмена данными, прикладного программного интерфейса и т.п.), публикуется масса рекламных статей, в которых биометрия преподносится как средство обеспечения сверхбезопасности, ставшее доступным широким массам.
На наш взгляд, к биометрии следует относиться весьма осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Во-первых, биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. А, как известно, за время «пути» много чего может произойти. Во-вторых, биометрические методы не более надежны, чем база данных шаблонов. В-третьих, следует учитывать разницу между применением биометрии на контролируемой территории под бдительным оком охраны и в «полевых» условиях, когда, например, к устройству сканирования роговицы могут поднести муляж и т.п. В-четвертых, биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.
Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется, как минимум, производить существенную модернизацию всей системы.