- •Министерство финансов московской области королёвский институт управления, экономики и социологии
- •Для чего создается система разграничения доступа (срд) компьютерной системы, какие функциональные блоки она включает. Поясните работу функциональной схемы диспетчера доступа.
- •Перечислите методы ограничения доступа к компонентам эвм, какие применяют средства для ограничения доступа к компонентам эвм.
- •Почему компьютерные вирусы причисляют к особому классу разрушающих программных воздействий. Раскройте классификацию и жизненный цикл компьютерных вирусов.
- •Какими способами блокируется угроза несанкционированного копирования информации пэвм, в чем они заключаются, раскройте их содержание.
- •Почему компьютерные вирусы причисляют к особому классу разрушающих программных воздействий. Раскройте основные каналы распространения компьютерных вирусов и других вредоносных программ.
- •Перечислите атрибутивные идентификаторы, используемые для идентификации субъекта доступа в кс, и коротко дайте им определение. Перечислите рекомендации для организации парольной защиты.
- •В чем заключается процедура простой аутентификации, какими способами она производится, поясните схематично ее реализацию с использованием пароля.
- •Перечислите методы противодействия дизассемблированию программ для эвм, охарактеризуйте их.
- •Чем достигается защита средств управления, коммутации и внутреннего монтажа компьютерных систем (пэвм), из чего состоит и как действует единая система контроля вскрытия устройств (скву).
- •Приведите классификацию криптографических алгоритмов и охарактеризуйте их. Раскройте алгоритм шифрования rsa.
- •Перечислите и раскройте способы строгой аутентификации. Поясните на структурной схеме применение для аутентификации односторонней хэш-функции с параметром-ключом.
- •Приведите классификацию криптографических алгоритмов и охарактеризуйте их. Раскройте процедуру хэширования по алгоритму гост р 34.11-94.
- •Приведите классификацию криптографических алгоритмов и охарактеризуйте их. Раскройте процедуры алгоритмов цифровой подписи на основе отечественных стандартов гост р 34.10-94 и гост р 34.10-2001.
- •В чем заключается биометрическая аутентификация пользователей, какие у нее достоинства и недостатки.
- •Перечислите и раскройте способы строгой аутентификации. Поясните на структурной схеме применение односторонней хэш-функции к сообщению, дополненному секретным ключом.
- •Раскройте основные процедуры формирования электронной цифровой подписи и функции хэширования.
- •Какие существуют криптосистемы шифрования, раскройте их смысл функционирования.
- •Как осуществляется управление криптоключами, требования к распределению ключей, методы распределения ключей, поясните схему открытого распределения ключей Диффи-Хеллмана.
Какими способами блокируется угроза несанкционированного копирования информации пэвм, в чем они заключаются, раскройте их содержание.
Защита от несанкционированного копирования — система мер, направленных на противодействие несанкционированному копированию информации
При защите от копирования используются различные меры: организационные, юридические, программные и программно-аппаратные.
Организационные меры защиты
Основная идея организационных мер защиты заключается в том, что полноценное использование программного продукта невозможно без соответствующей поддержки со стороны производителя: подробной пользовательской документации, «горячей линии», системы обучения пользователей, обновления версий со скидкой и т. п.
Организационные меры защиты применяются, как правило, крупными разработчиками к достаточно большим и сложным программным продуктам.
Правовые меры защиты
Предусмотрена ответственность, в соответствии с действующим законодательством, как за использование контрафактных экземпляров программ для ЭВМ и баз данных, так и за преодоление применяемых технических средств защиты.
Электронные ключи
Электронный ключ – это некоторое физическое устройство. Электронный ключ может быть выполнен либо на основе специализированного чипа, либо на микросхемах энергонезависимой электрически перепрограммируемой памяти, либо на базе микропроцессоров.
Долгое время такие устройства подсоединялись к разъему параллельного (принтерного) порта компьютера, что ввиду неудобства сдерживало широкое внедрение электронных ключей. Позже появились технологии, позволяющие подсоединять электронные ключи и через последовательные порты.
Новейшие стандарты и технологии (в частности, технология подключения устройств на основе USB-шины - Universal Serial Bus) позволяют иметь дополнительные порты в удобных и легкодоступных местах компьютера и тем самым способствуют широкому применению аппаратных устройств для защиты.
В памяти электронного ключа хранится уникальная информация. Программная часть системы защиты определяет наличие электронного ключа при запуске программы и проверяет правильность содержащейся в ключе информации.
Память электронного ключа, кроме уникальной информации о пользователе (регистрационный номер, пароль, PIN-код), может содержать и другие параметры. Разработчики защиты с целью противодействия незаконному распространению и использованию программного обеспечения включают в электронный ключ информацию о программном обеспечении, например,
серийный номер программы;
номер версии;
дату выпуска (продажи) и др.
При наличии возможности программы работать в демонстрационном режиме (или в режиме блокирования некоторых функций) электронный ключ дополняется информацией о количестве запусков приложения, предельного времени (даты) работы. Заметим, что при этом электронный ключ может служить и для защиты условно-бесплатного программного обеспечения.
Замечательное свойство современных электронных ключей - возможность дистанционного перепрограммирования памяти ключа. Технологии дистанционного перепрограммирования памяти ключа используются разработчиками, во-первых, для противодействия незаконному использованию программ, а во-вторых, для улучшения потребительских свойств программного обеспечения.
Сегодня усилия разработчиков, помимо повышения качества основных функций программного обеспечения и увеличения надежности защиты, направлены и на повышение потребительских свойств продукта: простоту установки и настройки, удобство администрирования, гибкость применения и т.п. Дистанционное перепрограммирование памяти ключа позволяет разработчику с максимальной степенью удобства для конечного пользователя сопровождать программное обеспечение. Например, вместе с новой версией продукта пользователь получает и специальный модуль, который производит модификацию поля номера версии в памяти электронного ключа. Модуль защиты всегда производит сравнение номера версии программы с соответствующим полем. Такой механизм препятствует нелегальному использованию программы: нарушитель не сможет воспользоваться незаконно полученной копией новой версии продукта без перепрограммирования памяти электронного ключа.
Удобен для пользователя и перевод программного обеспечения из работы в демонстрационном режиме на режим полного функционирования. После оплаты пользователь также получает специальный модуль, модифицирующий поле памяти электронного ключа, ответственного за такой перевод. При этом пользователь освобождается от необходимости переустановки и/или перенастройки приложения.
Некоторые разработчики предлагают использование памяти электронного ключа и для управления правами доступа. В зависимости от уникальной информации о пользователе и специальных полей в памяти ключа, пользователю доступны те или иные функции программы. Перепрограммирование памяти ключа позволяет открыть/закрыть доступ к некоторым функциям.
Парольная защита
Пароли — основной способ определения подлинности пользователя. Вот почему парольная защита чрезвычайно важна для защиты.
Делайте следующее для создания безопасного пароля:
Придумывайте пароль длиной не меньше восьми символов — Чем длиннее пароль, тем лучше. Если вы используете пароли MD5, следует выбирать пароли из 15 символов и длиннее. Используя пароли DES, создавайте их максимально длинными (восемь символов).
Смешивайте буквы верхнего и нижнего регистра — Система Red Hat Enterprise Linux чувствительна к регистру, поэтому смешивайте регистр, чтобы усилить свой пароль.
Смешивайте буквы и цифры — Добавив пароли цифры, особенно, вставляя их в середину (а не просто в начало или конец), вы также увеличиваете стойкость пароля.
Включайте не алфавитно-цифровые символы — Специальные символы (например, &, $ и >) значительно усиливают пароль (их нельзя использовать в паролях DES).
Придумайте пароль, который вы можете запомнить — Лучший в мире пароль вовсе не хорош, если вы не можете его запомнить; используйте сокращения или другие приёмы, облегчающие запоминание паролей.
Создание паролей пользователей в организации
Если в организации работает значительное число пользователей, системные администраторы могут принудить их использовать сильные пароли двумя способами. Они могут создавать пароли для пользователей или позволить им создавать пароли самостоятельно, проверяя при этом качество этих паролей.
Создание паролей для пользователей гарантирует, что пароли хороши, но это становится непосильной задачей по мере роста организации. При этом также увеличивается опасность того, что пользователи начнут записывать свои пароли.
Поэтому многие системные администраторы предпочитают, чтобы пользователи придумывали себе пароли сами, и при этом постоянно проверяют их качество, а иногда вынуждают пользователей периодически менять пароли, ограничивая срок их действия.
Срок действия пароля
Ограничение срока действия пароля — ещё один приём, используемый системными администраторами, для защиты от плохих паролей. Ограничение срока действия означает, что по истечении заданного времени (обычно 90 дней) пользователю предлагается сменить пароль.
Перечислите базовые технологии (механизмы) безопасности информации в компьютерных системах. Дайте определение процессам идентификации, аутентификации и авторизации для обеспечения защиты информации. Дайте определение понятиям: пароль; персональный идентификационный номер; динамический пароль; система запрос-пароль; сертификаты и цифровые подписи.
Технологии ЗИ:
Использование систем контроля и управления доступом;
Технологии криптографической защиты важных элементов КС;
Технологии резервирования и восстановления;
Технологии VPN;
Технологии межсетевого экрана;
Обеспечение аудита:
Активный аудит – использование сканеров и другого вспомогательного ПО и аппаратных средств;
Пассивный аудит – просто наблюдение и регистрация событий;
Использование антивирусного ПО.
Идентификация субъекта – это процедура распознавания субъекта по его идентификатору. С каждый субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор является законным (легальным) субъектом.
Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.
Аутентификация субъекта – проверка подлинности субъекта с данным идентификатором.
Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил, после идентификации и аутентификации субъекта выполняют процедуру авторизации.
Авторизация субъекта – процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).
В зависимости от предъявляемых субъектом сущностей, процессы аутентификации могут быть разделены на основе:
Знание чего-либо. Примерами служат: пароль, персональный идентификационный номер (PIN), секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ.
Обладание чем-либо. Пример: магнитные карты, СМАРТ-карты, сертификаты и другие устройства типа Touch-memory.
Каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии лица, ладони и другие). В данной категории не используются криптографические методы и средства.
Система запрос – ответ.
Заключается в том, что одна из сторон инициирует аутентификацию, с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.
Сертификаты и цифровые подписи
Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организации.
В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.
Суть схемы одноразовых паролей – использование различных паролей при каждом новом запросе на предоставление доступа.
Одноразовый динамически пароль действителен только для одного входа в систему и затем его действия истекают.
Динамический механизм задания пароля – один из лучших способов защиты процесса аутентификации от внешних угроз. Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей.
Генерация одноразовых паролей пользователей может осуществляться аппаратным или программным способом. Некоторые аппаратные средства доступа на основе одноразовых паролей реализуются в виде миниатюрных устройств со встроенным микропроцессором, внешне похожим на платежные пластиковые карточки. Такие карты обычно называют ключами и могут иметь клавиатуру и небольшое дисплейное окно.