Ответы на вопросы к экзамену




НазваниеОтветы на вопросы к экзамену
страница1/5
Дата конвертации03.01.2013
Размер0.6 Mb.
ТипВопросы к экзамену
  1   2   3   4   5
Ответы на вопросы к экзамену


1.Информационная безопасность. Основные определения. Базовые свойства защищаемой информации. Методы обеспечения информационной безопасности. Угрозы информационной безопасности


Информация — всё то, что может быть представлено в символах конечного алфавита (например, бинарного).

Автоматизированная система обработки информации (АС) — совокупность следующих объектов:

  • Средства вычислительной техники

  • ПО

  • Каналы связи

  • Информация на разных носителях

  • Персонал и пользователи системы


Информационная безопасность АС рассматривается как состояние системы, при котором:

  1. Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз

  2. Функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы


Базовые свойства защищаемой информации:

  1. Конфиденциальность (доступ только для легальных пользователей)

  2. Целостность, которая обеспечивает:

    1. Изменение информации только законными и имеющими соответствующие полномочия пользователями

    2. Внутреннюю непротиворечивость информации

  3. Доступность, гарантирующая беспрепятственный доступ к информации для законных пользователей.

Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.


Методы обеспечения информационной безопасности:

Теоретические:

  1. Формализация различного рода процессов с обеспечением информационной безопасности

  2. Строгое обоснование корректности и адекватности функционирования системы обеспечения информационной безопасности при проведении анализа их защищённости.

Организационные: управление информационной безопасностью на предприятии.

Инженерно-технические: защита информации от утечки по техническим каналам.

Сервисы сетевой безопасности:

  1. Идентификация и аутентификация

  2. Разграничение доступа

  3. Протоколирование и аудит

  4. Средства защиты периметра

  5. Криптографические средства защиты

Правовые:

  1. Ответственность

  2. Работа с государственной тайной

  3. Защита авторских прав

  4. Лицензирование и сертификация


Угроза – потенциально возможное событие, действие, процесс, явление, которое может привести к нанесению ущерба чьим либо интересам. Угроза информационной безопасности автоматизированной системы – это возможность реализации воздействия на информацию, обрабатываемую в автоматизированной системе, приводящую к нарушению конфиденциальности, целости или доступности этой информации, а так же возможность воздействия на компоненты автоматизированной системы, приводящего к их утрате, уничтожению или сбою функционирования.


Классификация угроз.

1. По природе возникновения.

  • Естественные. Это угрозы, возникающие в результате воздействия на автоматизированную систему объективных физических процессов, или стихийных природных явлений, не зависящих от человека.

  • Искусственные — вызванные действием человеческого фактора.

2. По степени преднамеренности.

  • Случайные (обусловлены халатностью или непреднамеренными ошибками персонала).

  • Преднамеренные – это угрозы, которые обычно возникают в результате направленной деятельности злоумышленников.

3. В зависимости от источника угрозы.

  • Угрозы, источником которых является природная среда (пожары, наводнение)

  • Угрозы, источником которых является человек

  • Угрозы, источником которых является санкционированное программное обеспечение (например, некомпетентное использование системных утилит)

  • Угрозы, источником которых являются несанкционированные программно-аппаратные средства.

4. По положению источника.

  • Угрозы, источник которых находится вне контролируемой зоны (перехват данных, передаваемых по каналам связи)

  • Угрозы, источник которых находится в пределах контролируемой зоны (например, подслушивающие устройства)

5. По степени воздействия на автоматизированную систему.

  • Угрозы, использующие стандартный доступ, т.е. несанкционированное получение пароля, путем подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю)

  • Нестандартный путь доступа (использование недекларированных возможностей средств защиты)

Основная классификация угроз.

1. Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями доступа к ней.

2. Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с помощью автоматизированной системы.

3. Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторым ресурсам автоматизированной системы для легальных пользователей блокируется.


2. Построение систем защиты от угроз нарушения конфиденциальности информации. Особенности парольных систем аутентификации. Разграничение доступа. Криптографические методы обеспечения конфиденциальности информации. Методы защиты внешнего периметра. Системы обнаружения вторжений


Построение систем защиты от угроз нарушения конфиденциальности информации.

Модель построения системы безопасности. Схема традиционно выстраиваемой эшелонированной защиты.


Организационные меры защиты



Идентификация и аутентификация



Разграничение доступа



Методы:

Криптографические методы

Защита внешнего периметра

Протоколирование и аудит

Вспомогательные меры

Методы защиты информации от утечки по техническим каналам.


Первичная защита осуществляется за счет реализуемых организационных мер и механизмов контроля физического доступа к автоматизированной системе. На этапе контроля логического доступа защита осуществляется с помощью использования различных методов сетевой безопасности. Во всех случаях параллельно должен быть развернут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам.


Организационные меры и меры обеспечения физической безопасности.

1. Развертывание системы контроля и разграничение физического доступа к автоматизированной системе.

2. Создание службы охраны и физической безопасности.

3. Организация механизмов контроля над перемещением сотрудников и посетителей.

4. Разработка и внедрение регламентов, должностных инструкций и других регулирующих документов.

5. Регламентация порядка работы с носителями, содержащими конфиденциальную информацию.


Идентификация и аутентификация.

Идентификация – это присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных.

Аутентификация – это проверка принадлежности субъекту доступа предъявленного им идентификатором и подтверждению его подлинности.

Т.е. задача идентификации ответить на вопрос «кто это?», а аутентификации «а он ли это на самом деле?»


Схема аутентификации и идентификации.



Пустое - проверка успешна?


Выше блокировки – сигнализация о несанкционированной попытке.

Схема учитывает возможные ошибки оператора при проведении процедуры аутентификации, т.е. если аутентификация не выполнена и допустимое число попыток не превышено, то пользователю предлагается пройти процедуру идентификации и аутентификации еще раз.


Методы аутентификации.

1. Методы, основанные на знании некоторой секретной информации (парольная защита).

2. Методы, основанные на использовании уникального предмета (смарт-карта, электронный ключ).

3. Методы, основанные на использовании биометрических характеристик человека (отпечатки пальцев, рисунок сетчатки или радужной оболочки глаза, тепловой рисунок кисти руки, фотография или тепловой рисунок лица, подпись, голос).

4. Методы, основанные на информации, ассоциированной с пользователем (GPS-координаты, многофакторная аутентификация (совместное использование нескольких механизмов)).


Особенности парольных систем аутентификации.

Парольная защита – это наиболее распространенный механизм аутентификации из всех существующих.

1. Относительная простота реализации.

2. Традиционность (не вызывает психологического отторжения, в отличие, например, от сканеров сетчатки глаза).

Однако стойкие пароли малопригодны для использования человеком, потому что стойкость пароля возникает по мере его усложнения, но чем сложнее пароль – тем его сложнее запомнить. Отсюда вытекает искушение записать неудобный пароль, что создает дополнительный канал утечки.


Основные угрозы безопасности парольных систем.

1. Слабости человеческого фактора (подглядывание, подслушивание, шантаж, угрозы, использование чужих учетных записей).

2. Подбор

А) Полный перебор. Для стойкого пароля время, необходимое для атаки, должно превышать временные возможности злоумышленника.

Б) Подбор по словарю. Подбор по осмысленным словам и предложениям.

В) Подбор с использованием сведений о пользователе. В данном случае подбор пароля, заданного в виде некоторой личной информации, связанной с пользователем автоматизированной системы. Такой вариант возможен при самостоятельном назначении пароля пользователя.

Г) Недостатки реализации парольных систем.


Рекомендации по практической реализации парольных систем.

1. Установление минимальной длины пароля.

2. Увеличение мощности алфавита пароля.

3. Проверка и отбраковка паролей по словарю.

4. Установка максимального срока действия пароля.

5. Установка минимального срока действия пароля.

6. Отбраковка по журналу истории паролей (предотвращает повторное использование паролей).

7. Ограничение числа попыток ввода паролей.

8. Принудительная смена пароля при первом входе пользователя в систему.

9. Задержка при вводе неправильного пароля (препятствует интерактивному подбору пароля).

10. Запрет на выбор пароля пользователем и автоматическая его генерация.


Оценка стойкости парольных систем

Введем обозначения:

А – мощность алфавита паролей

L – длина пароля

S=AN – мощность пространства паролей

V – скорость подбора паролей

T – срок действия пароля

P – вероятность подбора пароля в течении срока его действия

P=V*T/S

Уменьшение скорости подбора пароля уменьшает вероятность удачного подбора, из этого следует, что если подбор паролей осуществляется путем вычисления хэш-функций и сравнения результата с заданным значением, то большую стойкость парольной системы обеспечит применение медленной хэш-функции.


Методы хранения паролей.

1. В открытом виде (не является оптимальным).

2. В виде хэш-значений. Этот механизм удобен тем, что хэш-значения однозначно связаны с паролем, но не представляют интереса для злоумышленников.

3. В зашифрованном виде. Ключ шифрования может храниться в следующем месте:

а) На одном из постоянных элементов системы.

б) На некотором носителе (электронный ключ, смарт-карта), который предъявляется при инициализации систем.

в) Ключ может генерироваться из некоторых других параметров безопасности автоматизированной системы (например, из пароля, который вводится при инициализации системы).


Передача паролей по сети.

1. Передача паролей в открытом виде. Данный подход весьма уязвим, поскольку пароли могут быть перехвачены в каналах связи, но множество сетевых протоколов на практике используют именно этот метод, например FTP.

2. Передача паролей в виде хэш-значений. Такой подход обычно не имеет смысла, т.к. пароли могут быть перехвачены злоумышленником и переданы повторно.

3. Передача паролей в зашифрованном виде. Наиболее разумный вариант.


Разграничение доступа.

Под разграничением доступа понимают установления полномочий субъектов для последующего контроля санкционированного использования ресурсов. Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами. На практике дискреционное разграничение доступа может быть реализовано, например, с помощью матрицы доступа. Очевидно, что вместо матрицы доступа можно использовать списки полномочий, например, каждому пользователю может быть сопоставлен список доступных ему ресурсов, с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к этому ресурсу.

Мандатное разграничение доступа (принудительное) обычно реализуется как разграничение доступа по уровням секретности. Полномочия каждому пользователю задаются в соответствии с максимальным уровнем секретности, к которому он допущен, при этом все ресурсы должны быть разделены по уровням секретности.

Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем. Если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне и владелец ресурса не может оказывать на него влияние.


Криптографические методы обеспечения конфиденциальности информации.

1. Симметричные системы.



В симметричных криптосистемах для шифрования и дешифрования информации используется один и тот же секретный ключ, которым взаимодействующие стороны предварительно обмениваются по некоторому защищенному каналу. В качестве примеров симметричных криптосистем можно привести отечественный стандарт ГОСТ 28147-89, а также международные стандарты DES и пришедший ему на смену AES.


2. Ассиметричные криптосистемы.

Ассиметричные криптосистемы характеризуются тем, что в них используются различные ключи для шифрования и дешифрования информации. Ключ для шифрования (открытый ключ) можно сделать общедоступным, с тем, чтобы любой желающий мог зашифровать сообщение для некоторого получателя. Получатель же, являясь единственным обладателем ключа для дешифрования (секретный ключ), будет единственным, кто сможет расшифровать зашифрованное для него сообщение.



Симметричные и ассиметричные криптосистемы, а также их различные комбинации используются в автоматизированных системах для шифрования данных на различных носителях и для шифрования трафика.


Методы защиты внешнего периметра.

Подсистема защиты внешнего периметра автоматизированной системы обычно включает в себя два основных механизма:

1. Средства межсетевого экранирования.

2. Средства обнаружения вторжений.


Межсетевой экран выполняет функции разграничения информационных потоков на границе защищаемой автоматизированной системы. Это позволяет:

а) Повысить безопасность объектов внутренней среды, за счет игнорирования неавторизованных запросов из внешней среды.

б) Контролировать информационные потоки во внешнюю среду.

в) Обеспечить регистрацию процессов информационного обмена.

Контроль информационных потоков производится посредством фильтрации информации, т.е. анализа ее по совокупности критериев и принятия решения о распространения в автоматизированной системе или из нее. В зависимости от принципов функционирования выделяют несколько классов межсетевых экранов, основным классификационным признаком является уровень модели ИЗО/ОЗИ, на котором функционирует межсетевой экран.


Фильтры пакетов.

Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровне модели ИЗО/ОЗИ. Фильтрация пакетов обычно осуществляется по следующим критериям:

1. IP адрес источника

2. IP адрес получателя

3. Порт источника

4. Порт получателя

5. Специфические параметры сетевых пакетов.

Фильтрация осуществляется путем сравнения перечисленных параметров заголовков сетевых пакетов с базой фильтрации.


Шлюзы сеансового уровня.

Данные межсетевые экраны работают на сеансовом уровне модели ИЗО/ОЗИ, в отличие от фильтра пакетов они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня.


Шлюзы прикладного уровня.

Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных протоколов прикладного уровня. Для этого используются прокси-серверы, т.е программы специального назначения, управляющие трафиком через межсетевой экран для определенных высокоуровневых протоколов

HTTP

A<------------------>B

HTTP HTTP

A<---------->Прокси сервер<----------->B


Если без использования прокси-серверов соединение устанавливается с взаимодействующими сторонами A и B напрямую, то в случае использования прокси-сервера появляется посредник прокси-сервер, который самостоятельно взаимодействует со вторым участником информационного обмена. Такая схема позволяет контролировать допустимость использования отдельных команд протоколов высокого уровня, а так же фильтровать данные, получаемые прокси-сервером извне, при этом прокси-сервер на основании установленных политик может принимать решения о возможности или невозможности передачи этих данных клиенту А.

  1   2   3   4   5

Добавить в свой блог или на сайт

Похожие:

Ответы на вопросы к экзамену iconВопросы к экзамену по хтт (2011) I. Перечень вопросов, ответы на которые
Перечень вопросов, ответы на которые необходимы для получения положительной оценки. Оценка "хорошо" предполагает уверенные ответы...

Ответы на вопросы к экзамену iconКананович И. В. Арбитражный процесс: Вопросы и ответы
К19 Кананович И. В. Арбитражный процесс: Вопросы и ответы. – М.: Юриспруденция, 1999. – 144 с. (Серия «Под готовка к экзамену»)

Ответы на вопросы к экзамену iconНовые поступления в библиотеку право
Информационное право : ответы на экзаменационные вопросы: [учеб пособие] / Н. А. Агалец. Минск : ТетраСистемс, 2007. 144 с. (Ответы...

Ответы на вопросы к экзамену iconВопросы к экзамену по хтт (2009) I. Перечень вопросов
Перечень вопросов, уверенные ответы на которые необходимы для получения положительной оценки

Ответы на вопросы к экзамену iconТ. В. Иванова География. 9 класс. Билеты и ответы для быстрой подготовки к устному экзамену
В предлагаемом пособии приведены краткие ответы на билеты, которые будут вынесены на устный экзамен по географии в 9 классах общеобразовательных...

Ответы на вопросы к экзамену iconОтветы на вопросы к экзамену по дисциплине: “бухгалтерский учет” для студентов 3 курса вечернего отделения обоего пола
Бухучет, его роль и значение в системе управления. Взаимосвязь оперативного, статистического и бухучета. Налоговый учет

Ответы на вопросы к экзамену iconВопросы и ответы по организации местного самоуправления
Типовые вопросы и ответы, связанные с реализацией Федерального закона «Об общих принципах организации местного самоуправления в Российской...

Ответы на вопросы к экзамену iconВопросы к зачету и экзамену по курсу “Классическая электродинамика”
Приведенные ниже ответы не являются полными, а скорее служат для пояснения вопроса. При подготовке ограничиваться этими ответами...

Ответы на вопросы к экзамену icon1. 07 Ответы на вопросы по междисциплинарному экзамену
Вопрос Линейные операторы (ЛО) в конечномерном пространстве и их матричное представление. Характеристический многочлен, собственные...

Ответы на вопросы к экзамену iconО материалах из иб "вопросы-ответы", иб "финансист"
Вопросы-ответы", иб "Финансист", иб "Корреспонденция счетов". Также для опубликования предлагаются отдельные наиболее интересные...


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница