Ответы на вопросы к экзамену




НазваниеОтветы на вопросы к экзамену
страница2/5
Дата конвертации03.01.2013
Размер0.6 Mb.
ТипВопросы к экзамену
1   2   3   4   5

3. Построение систем защиты от угроз нарушения целостности.

Построение систем защиты от угроз нарушения доступности.

Принцип обеспечения целостности.

???


  1. Основные стандарты ИБ в России. «Оранжевая книга». Группы классов защищённости. Характеристики классов. Руководящие документы Гостехкомиссии России. Общие критерии


Стандарты в информационной безопасности.

В общем случае стандартом принято называть документ, в котором указываются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.

Формальной причиной необходимости использования стандартов является тот факт, что необходимость следования некоторым из них закреплена законодательно.


Основные стандарты информационной безопасности в России.

  1. Руководящие документы Гостехкомиссии России.
    Действуют и активно используются при проведении сертификации средств защиты информации в системе сертификации ФСТЭК (Федеральная служба по техническому и эксплуатационному контролю) России, МИД РФ, а также в ряде добровольных систем сертификации.

  2. Стандарт ГОСТ Р ИСО/МЭК 15408-202, более известный как общий критерий, действует и применяется при проведении сертификации средств защиты не предназначенных для работы с информацией, составляющих государственную тайну. Впоследствии предполагается полноценный переход к общим критериям, как единому оценочному стандарту.

  3. Криптографические стандарты (ГОСТ-28147-89, ГОСТ-3410-2001, ГОСТ-3411-94) являются обязательными для применения в системах защиты информации позиционируемые, как средства криптографической защиты.

  4. Управленческие стандарты (ISO-17799-2005, ISO-27001-2005) в настоящее время не имеют в РФ официального статуса, однако планируется принять их в качестве ГОСТ в ближайшее время.


Все остальные спецификации носят сугубо добровольный характер


Стандарты в области информационной безопасности.


1. Оценочные стандарты – предназначены для оценки и классификации автоматизированных систем оценки информации и средств защиты информации по требованиям безопасности.

а) «Оранжевая книга»

б) руководящие документы гос. тех. комиссии России

в) «Общий критерий»


2. Спецификации регламентируют различные аспекты реализации и использования средств и методов защиты

а) X.509 – инфраструктура открытых систем

б) ГОСТ-3410-2001, ГОСТ-3411-94, ГОСТ-2814-94

в) Управленческий стандарт ISO-17799, ISO-27001


«Оранжевая книга».

Стандарт «критерий оценки доверенных компьютерных систем» более известный, как оранжевая книга. Был разработан мин. обороны США в 1982 г.

Структура:

1. Политика безопасности

а) Возможность доступов субъектов к объектам должна осуществляться на основании их идентификации и набором правил управления доступом

б) С объектами должны быть ассоциированы метки безопасности используемые в качестве исходной информации для процедур контроля доступа.

2. Подотчётность

а) Все субъекты должны иметь уникальные идентификаторы, контроль доступа должен осуществляться на основе идентификатора субъекта, объекта доступа, аутентификации и правил разграничения доступа. Данные, используемые для идентификации и аутентификации должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы.

б) Для определения степени ответственности пользователя за действия в системе все происходящее в ней действия должны отслеживаться и регистрироваться с использованием защищенного протокола. Система регистрации должна осуществлять анализ большого потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надежно защищен от несанкционированных действий, т.е. доступа, модификации или уничтожения.

3. Гарантии

а) Средства защиты должны иметь независимые аппаратные или программные компоненты, обеспечивающие работоспособность ф-ций защиты, это означает, что все средства защиты, обеспечивающие политику безопасности, управления атрибутами и метками безопасности, регистрацию и учет должны находиться под контролем средств, проверяющих корректность их функционирования. Средства контроля должны быть полностью независимы от средств защиты.

б) Все средства защиты должны быть защищены от несанкционированного вмешательства или отключения, эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и автоматизированных систем в целом. Данное требование распространяется на весь жизненный цикл автоматизированных систем.


Оранжевая книга является оценочным стандартом, а значит, предназначена в первую очередь для проведения анализа защищенности автоматизированных систем, по результатам анализа автоматизированная система должна быть отнесена к одному из определенных классов защищенности указанных в документе группы классов защищенности.

А содержит единственный класс А1

В содержит классы В1,В2,В3.

C содержит классы C1,C2.

D содержит единственный класс D1

Требуемый уровень защищенности системы возрастает от группы D к группе A, а в пределах одной группы с увеличением номера класса. Каждый класс характеризуется определенным фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в автоматизированной системе.


Характеристики классов.

1. группа D – минимальная защита. К данной категории относятся те системы, которые были предоставлены для сертификации по требованиям одного или более высоких классов защищенности, но не прошли испытания.


2. группа C – дискреционная система (выборочная). Данная группа характеризуется наличием дискреционного управления доступом и регистрацией действий субъектов

С1. Дискреционная защита – система включает в себя средства контроля и управления доступом, позволяющие задавать ограничения для отдельных пользователей. Класс С1 рассчитан на однопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.

С2. Управление доступом – система обеспечивает избирательное управление доступом, путем применения средств индивидуального контроля за действиями пользователя, регистрацией, учета событий и выделение ресурсов.


3. группа B – мандатная защита (принудительная). Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.

B1. Защита с применением меток безопасности. Помимо выполнения всех требований к классу С2 система должна поддерживать маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке.

B2. Структурированная защита. Ядро безопасности должно поддерживать формально определенную и четко документируемую модель безопасности, предусматривающую дискреционную и мандатное управление доступом, которое распространяется на все субъекты. Должен осуществляться контроль скрытых каналов передачи информации, в структуре ядра безопасности должны быть выделены элементы, критичные с точки зрения безопасности. Управление безопасности должно осуществляться администратором.

В3. Домены безопасности. Ядро безопасности должно поддерживать монитор безопасности обращений, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Ядро безопасности содержит исключительно подсистемы, отвечающие за реализацию функций защиты и является достаточно компактным для обеспечения возможностей эффективного тестирования. Средства аудита должны включать механизмы оповещения администратора о событиях имеющих значения для безопасности системы. Необходимо наличие средств восстановления работоспособности системы.


4. группа А – верифицированная защита. Подтверждение соответствия конечного продукта предопределенным эталонным значениям. Эта группа характеризуется применением нормальных методов верификации, корректности функционирования механизмов управления доступов. Так де требуется дополнительная документация демонстрирующая, что архитектура и реализация ядра безопасности отвечают требованиям безопасности.


В настоящее время оранжевая книга практически не используется.


Руководящие документы гос. тех. Комиссии России.

Гос. Тех. Комиссия России (ныне называется федеральная служба по техническому и экслпутационному контролю ФСТЭК) разработала пакет руководящих документов, посвященных защите информации в автоматизированных системах обработки информации. Наибольший интерес представляют следующие из них:

1. Защита от несанкционированного доступа к информации, термины и определения. (1992 г.)

2. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (1992 г.)

3. Автоматизированные системы – защита от несанкционированного доступа к информации, классификация систем и требования по защите информации.

4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

5. Средства вычислительной техники. Межсетевые экраны. (1997 г.)

6. Защита от несанкционированного доступа, программное обеспечение средств защиты информации. Отсутствие недекларимуемых возможностей.


Общие критерии, недостатки:

1. Документы ориентированы на обеспечение защиты информации от угроз конфиденциальности и в определенной степени целостности, а угрозы нарушения доступности практически не рассматриваются.

2. Используемый табличный подход не позволяет учесть специфику конкретных систем или продуктов, в том числе порядок обработки информации в автоматизированных системах.

3. Документы содержат перечень механизмов, наличие которых необходимо, для отнесения автоматизированной системы к тому или иному классу защищенности. При этом совершенно не формализованы методы проверки корректности и адекватности реализации функциональных требований.

4. Формулировки ряда требований чрезвычайно туманны и допускают неоднозначную интерпретацию.


Руководящие документы гос. Тех. Комиссии России и оранжевая книга, как и все другие оценочные стандарты первого поколения создавались для давно ушедших в прошлое материально-технической базы и по целому ряду аспектов являются морально устаревшими. Стандарт ISO/MEC был разработан рядом специалистов: Канада, США, Великобритания, Германия, Франция, Нидерланды. Развитие стандарта продолжается непрерывно. В России перевод общих критериев версии 2 принят в качестве ГОСТ в 2002 г. И введен в действие с 1 января 2004 г. Его точное название ГОСТ Р-ISO/MEC 15408-2002 «Информационная технология, методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Документ состоит из 3х частей:

1. Введение и общая модель.

2. Функционирование требований безопасности.

3. Требования доверия к безопасности.

В настоящий момент оба поколения стандартов используются одновременно, причем общие критерии применяются исключительно при сертификации продуктов, не предназначенных для обработки информации, составляющих государственную тайну. Основное свойство общих критериев – максимально возможная универсальности. Под объектом оценки понимается произвольный продукт информационных технологий или система с руководствами администратора и пользователя. Продукт рассматривается как совокупность программных, программно-аппаратных или аппаратных средств информационных технологий, предоставляющих определенные функциональные возможности и предназначенных для непосредственного использования или включения в состав различных систем. Система – это специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.


5 Основные понятия криптографической защиты

Симметричные криптосистемы шифрования. Общие принципы.

Стандарт шифрования ГОСТ 28147-89

Криптография является методологической основой современных систем обеспечения безопасности в компьютерных системах и сетях. Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные – сделать их бесполезными для незаконных пользователей. Такие преобразования обеспечивают решение трех главных проблем защиты данных: Гарантии конфиденциальности, подлинности и целости передаваемых данных. Для обеспечения безопасности данных необходимо поддерживать 3 основные функции.


<пропущенный кусок>


Конфиденциальность обеспечивается с помощью алгоритмов и методов симметричного и ассиметричного шифрования, а так же путем взаимной аутентификации абонентов на основе многоразовых (или одноразовых) паролей, цифровых сертификатов, смарт-карт и т.д. Целостность и подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на односторонних функциях и ассиметричных метках шифрования. Аутентификация разрешает устанавливать соединение только между легальными пользователями и предотвращает доступ к средствам сети нежелательных лиц. Абонентам, доказавшим свою легальность, предоставляются разрешенные виды сетевого обслуживания. Основой большинства методов криптографических средств защиты информации является шифрование данных. Под шифром понимают совокупность процедур и правил криптографических преобразований, используемых для зашифрования и расшифрования информации по ключу шифрования. Под зашифрованием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст. Процесс восстановления исходного текста по криптограмме с использованием ключа шифрования называют дешифрованием. Обобщенная схема показана на рисунке:


Исходный текст передаваемой информации зашифровывается с помощью криптографического преобразования Ek1 с получением в результате шифт-текста C, где K1 – ключ шифрования. Однако последовательность знаков в нем внешне представляется случайной и не позволяет восстановить исходную информацию без знания ключа шифрования. Ключ шифрования является тем элементом, с помощью которого можно варьировать результат криптографического преобразования. Данный элемент может принадлежать конкретному пользователю или группе пользователей. И являться для них уникальным. Зашифрованная с помощью ключа информация может быть расшифрована только его владельцем или владельцами. Обратное преобразование информации выглядит так. Функция D является обратной к функции E и производит расшифрование шифр-текста. Она так же имеет дополнительный параметр в виде ключа K2. Ключ расшифрования K2 должен однозначно соответствовать ключу K1. В этом случае расшифрованное сообщение будет эквивалентно исходному сообщению. При отсутствии верного ключа K2 получить исходное сообщение M`=M с помощью функции D невозможно. Преобразование шифрования может быть симметричным или ассиметричным относительно преобразования расшифрования. Соответственно различают 2 основных класса криптосистем: Симметричные и ассиметричные. Известно несколько классификаций криптографических алгоритмов, одна из них подразделяет на количество ключей, применяемых в алгоритме:

а) безключевой алгоритм – в нем не используется никаких ключей.

б) одноключевые алгоритмы – работают с одним ключевым параметром.

в) двухключевые алгоритмы – на различных параметрах применяются секретный и открытый ключи.

Существуют более детальные классификации, например показанные на рисунке ниже.



!!! Тут к одноключевым относится симметричное шифрование, которое уже делится на блочное и поточное !!!


Классификация криптографической защиты информации.
1   2   3   4   5

Похожие:

Ответы на вопросы к экзамену iconВопросы к экзамену по хтт (2011) I. Перечень вопросов, ответы на которые
Перечень вопросов, ответы на которые необходимы для получения положительной оценки. Оценка "хорошо" предполагает уверенные ответы...

Ответы на вопросы к экзамену iconКананович И. В. Арбитражный процесс: Вопросы и ответы
К19 Кананович И. В. Арбитражный процесс: Вопросы и ответы. – М.: Юриспруденция, 1999. – 144 с. (Серия «Под готовка к экзамену»)

Ответы на вопросы к экзамену iconНовые поступления в библиотеку право
Информационное право : ответы на экзаменационные вопросы: [учеб пособие] / Н. А. Агалец. Минск : ТетраСистемс, 2007. 144 с. (Ответы...

Ответы на вопросы к экзамену iconВопросы к экзамену по хтт (2009) I. Перечень вопросов
Перечень вопросов, уверенные ответы на которые необходимы для получения положительной оценки

Ответы на вопросы к экзамену iconТ. В. Иванова География. 9 класс. Билеты и ответы для быстрой подготовки к устному экзамену
В предлагаемом пособии приведены краткие ответы на билеты, которые будут вынесены на устный экзамен по географии в 9 классах общеобразовательных...

Ответы на вопросы к экзамену iconОтветы на вопросы к экзамену по дисциплине: “бухгалтерский учет” для студентов 3 курса вечернего отделения обоего пола
Бухучет, его роль и значение в системе управления. Взаимосвязь оперативного, статистического и бухучета. Налоговый учет

Ответы на вопросы к экзамену iconВопросы и ответы по организации местного самоуправления
Типовые вопросы и ответы, связанные с реализацией Федерального закона «Об общих принципах организации местного самоуправления в Российской...

Ответы на вопросы к экзамену iconВопросы к зачету и экзамену по курсу “Классическая электродинамика”
Приведенные ниже ответы не являются полными, а скорее служат для пояснения вопроса. При подготовке ограничиваться этими ответами...

Ответы на вопросы к экзамену icon1. 07 Ответы на вопросы по междисциплинарному экзамену
Вопрос Линейные операторы (ЛО) в конечномерном пространстве и их матричное представление. Характеристический многочлен, собственные...

Ответы на вопросы к экзамену iconО материалах из иб "вопросы-ответы", иб "финансист"
Вопросы-ответы", иб "Финансист", иб "Корреспонденция счетов". Также для опубликования предлагаются отдельные наиболее интересные...


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница