- •1.Основные термины и определения
- •2. Концепция защиты свт и ас от нсд к информации
- •3.Основные направления обеспечения защиты от нсд
- •4.Классы защищенности свт
- •5.Требования к показателям (3) третьего класса защищенности
- •6.Требования к показателям (2) второго класса защищенности
- •7.Требования к показателям (1) первого класса защищенности
- •8.Требования по защите информации от нсд для ас.
- •9.Требования к классу защищенности 3а:
- •10.Требования к ас второй группы
- •11.Требования к ас первой группы
- •12. Временное положение по организации и разработке, изготовления и эксплуатации сзи нсд в ас и свт.
- •13.Потенциальные угрозы информации, обрабатываемой в пк.
- •14.Наиболее популярные методы идентификации:
- •15.Сравнительный анализ различных биометрических методов.
- •36,37.Partition Boot Sector (Boot Record)
- •39.Data Secure
- •16.Идентификация по клавиатурному почерку
- •19.Идентификация по росписи мышью
- •17.Идентификация по голосу
- •18.Распознавание по лицу
- •20.Идентификация с помощью электронных таблеток iButton (Touch Memory до 1997)
- •44,45.Система защиты от нсд Dallas Lock
- •21.Контактный серийный номер ds1990a
- •22.Контактный ключ ds 1991
- •23.Семейство эл. Таблеток с энергонезав. Озу ds 1992 - 1996
- •24.Таблетка ds 1994
- •25.Эл. Таблетка с электрически однократно программируемым пзу ds 1982, 85, 86 Не требует внутреннего ист-ка питания. Стр-ра памяти ds 1982:
- •26.Эт ds 1920
- •28.Ds 2404s-co1
- •30, 31.Временные параметры сетей MicroLan.
- •47,48.Защита от нск
- •49.Рассмотрим методы построения защиты от копирования (вопрос по методичке).
- •32.Сеть MicroLan.
- •40.Комплекс сзи от нсд “Аккорд”.
- •42.Основные версии аппаратного обеспечения комплекса:
- •43.Следующие версии по:
- •51. Защита от нск (продолжение)
- •54.Электронные ключи
- •55.Достоинства эк:
- •57.Способ построения систем защиты на базе hasp- ключей.
- •58.Семейство ключей hardlock.
42.Основные версии аппаратного обеспечения комплекса:
Следующие версии контроллеров А: А1 – некогда базовая версия, предназначалась для работы на локальных компьютерах ил сетевых РС, снабженных винчестерами; А1.5 – предназначена для работы на бездисковых РС; А2 – предназначается для работы на серверах, обычно NetWare. В настоящее время используется А4. Он содержит 2 специализированные СБИС и СБИС флэш-памяти. В качестве СБИС используются программные логические схемы фирмы ALTERA. Этот контроллер обеспечивает аппаратную поддержку интерфейса ведомых таблеток, блокировку ряда внешних устройств, в частности принтера, флопа, CD-ROMа, съемного винчестера. Контроллер имеет энергонезависимую память большого объема. ЭНЗ флэш-память разделяется на 2 области: 1) расширение BIOS и доступ только по чтению; 2) область для дополнительной информации. Тип доступа – чтение/запись. В нее можно записывать как дополнительное ПО, так и аутентифицирующие данные пользователя. Имеются разные модификации: А4R отличается наличием физического датчика случайных чисел и может использоваться для реализации усиленной аутентификации пользователя. А4С – обеспечивает блокировку физических каналов – блокировку дисков, CD-ROM… Имеется АRS – конструктивно выполнена вместе со съемником информации для ЭТ. Этот контроллер предназначен для установки на последовательный порт компьютера, выполняющего роль РС в сети Novell NetWare. При этом расширение BIOS, обеспечивающее в частности блокировку загрузки дискет и др. функции. Содержится в ПЗУ, которое устанавливается на сетевую карту в разъем ПЗУ удаленной загрузки. А4+ – аналог А4, но отличается использованием многослойной платы. При этом утверждается, что А4+ является универсальным и не требуется его замена при переходе в др. ОС. Имеется встроенный внутренний идентификатор контроллера. А4М – является дальнейшей модификацией А4R – также имеет датчик случайных чисел, но на него может устанавливаться дополнительно от 1 до 4 пользовательских энергонезависимых блоков памяти, в которой используется проц-р Z8. На базе данного контроллера разработан и распространяется комплекс А.AMD (автоматизированный модуль доверенной загрузки), который является средством идентификации и аутентификации пользователя, а также средства контроля целостности программной среды для ФС FAT16, FAT32, NTFS, NPFS (OS/2), FreBSD. Сертификат 191 от 17.07.98 – A.AMD.
43.Следующие версии по:
А1.31 – работает в среде MS DOS, win3.1. А1.35 – обеспечивает поддержку А2, включая работу с датчиками случайных чисел и работает в сети Novell NetWare. Кроме всего прочего, она обеспечивает создание индивидуальной для каждого пользователя рабочей программной среды, а также функциональное замыкание программной системы, также исключена возможность НС выхода из ОС. На комплекс с данным ПО имеется сертификат от 16.05.97 до 16.05.2000. В соответствии с ним система соответствует классу 1D для произвольной программной среды ПК и 1B для функционально замкнутой программной среды ПЭВМ для АСУ. Для любой пары субъект-объект, например, пользователь-диск, можно определить права доступа типа доступность/недоступность, видимость/невидимость, возможность/невозможность создавать/удалять подкаталоги и файлы… Подсистема аудита может быть реализована на 3х уровнях детальности электронных журналов. Для любого уровня детальности в журнале отражаются результаты идентификации и аутентификации пользователя и формируются записи о нарушении пользователями правил разграничения доступа. Для среднего уровня детальности дополнительно отражаются попытки доступа к защищаемым каталогам и отдельным файлам. Для высшего уровня отражаются все сообщения, связанные с работой пользователя. Также в журнале могут отражаться все изменения правил РД для отдельных пользователей. Администратор системы может создавать перечень файлов, целостность которых будет проверяться, определять стартовую задачу (для функционально замкнутой системы), определять детальность журнала доступа, временные ограничения для пользователей, параметры управления экраном. Более новая версия А1.35 (1.95 либо 1.35/95) – предназначена для работы в win95. Сертификат по классу 1B для АС от 17.02.98 №135 до 19.02.2008.
Для полноценной защиты ЛВС А4+ вместе с ПО 1.35/95 необходимо дополнить следующими компонентами: 1) подсистема распределения аудита и управления – позволяет администратору отслеживать все действия пользователей не только на РС, но и все запросы пользователя к ресурсам любого ФС. Регистрация событий производится в локальном журнале на РС. Администратор может просмотреть экран любой РС, работая в режиме эмуляции терминала, может получать журнал регистрации событий с любой локальной станции, может блокировать работу любой РС. 2) подсистема усиленной аутентификации – обеспечивает дополнительный механизм проверки подлинности РС в момент запроса доступа к ресурсам ФС и предотвращает как подмену одной локальной станции другой, так и подключение к ЛС нелегальных РС. Механизм основан на применении кодов аутентификации. При этом за чет использования аппаратного генератора случайных чисел обеспечивается уникальность каждого запроса-ответа, что предотвращает подмену кодов при прослушивании (анализе) сети. 3) контроль целостности ФС. Осуществляется аналогично контролю целостности на РС. Дополнительно контролируются файлы на ФС. 4) система защиты принт-сервера. Позволяет администратору путем задания атрибутов печати для каждого пользователя определять множество документов, которые можно печатать через специальную закрытую очередь. При этом обеспечивается защита от перехвата информации в процессе ее передачи. Имеется еще версия ПО Рубеж 1.3 – имеется возможность для DOS, win3.1 прозрачного шифрования файлов, а для файлов в win95 права доступа присваиваются на основе атрибутов. сертификат №167 от 26.03.98 до 26.03.2001 уровня защиты 1Г. Базовый комплект А4+ и ПО 1.95 – 250$, если используется ПО Рубеж 1.3 – 230$.