Оценка защищенности заданной конфигурации Windows: файловая система, реестр.

Оценка защищенности заданной конфигурации Windows: файловая система, реестр.

Проблема обеспечения безопасности при удаленном доступе.

При организации связи в режиме удаленного доступа к сети возникают дополнительные проблемы, связанные с безопасностью систем, так как становится невозможным установить, какой компьютер подключается к сети и кто им управляет. Физическая безопасность, которая является важнейшим фактором, утрачивается. Поэтому, наряду с обеспечением стандартных средств безопасности в локальных сетях, таких, как аутентификация пользователей операционной системой сервера локальной сети, современная система удаленного доступа должна непременно иметь собственные средства аутентификации пользователей (компьютеров) и средства управления доступом. Эти средства включают в себя:

• протоколы аутентификации удаленного доступа, которые позволяют произвести аутентификацию удаленного компьютера (или его пользователя) сервером удаленного доступа и по ее результату наделить удаленного пользователя соответствующими правами;

• функцию обратного вызова, которая применяется на коммутируемых линиях; обратный вызов позволяет добиться того, чтобы к серверу удаленного доступа могли обращаться только пользователи из определенных точек (чьи телефонные номера имеются в базе данных); при использовании обратного вызова пользователь удаленной системы связывается с сервером, после чего сервер проверяет правильность указанных удаленной системой идентификатора и пароля, и, если идентификатор и пароль указаны правильно, то сервер извещает клиента, что последует обратный вызов, затем сервер разрывает соединение и самостоятельно инициирует вызов, используя указанный в базе данных телефонный номер;

• механизм взаимодействия с базой данных учетных записей, которая используется для работ протоколов аутентификации удаленного доступа и средств обратного вызова;

• службу аудита, которая позволяет помещать в журнал регистрации такие события, как подключение и отключение удаленного пользователя с указанием идентификатора удаленного пользователя, предоставленных ему прав доступа и результата действия (разрешение или отказ);

• шифрование информации в линии передачи данных, которое защищает данные от перехвата на потенциально опасном участке, который не может контролироваться организацией, к серверам которой обращается удаленный компьютер;

• компоненты для построения виртуальных частных сетей VPN (Virtual Private Network), которые обеспечивают безопасность информации в том случае, когда сервер удаленного доступа соединен с серверами локальной сети через сеть передачи данных общего пользования.

 

Билет 22

Оценка защищенности заданной конфигурации Windows: список пользователей, политика безопасности в области поролей.

Понятия адаптивной безопасности и систем обнаружения атак.

классические системы обнаружения атак также можно классифицировать по уровню информационной инфраструктуры, на котором обнаруживаются нарушения политики безопасности.

Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного ПО, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т. ч. и использующие известные уязвимости. Средства обнаружения атак функционируют сразу на двух этапах ­­­­­­– втором и третьем. На втором этапе эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность корпоративной сети. Например, при проникновении противника в сеть через межсетевой экран, система обнаружения атак сможет обнаружить и предотвратить действия, отличающиеся от нормального поведения пользователя, у которого украли пароль. Также эффективно системы обнаружения атак будут блокировать и враждебные действия привилегированных пользователей (администраторов). И, наконец, эти системы одинаково эффективно функционируют и для защиты периметра корпоративной сети, дополняя возможности межсетевых экранов, и для защиты внутренних сегментов сети.

Вторым, не менее важным подходом является использование модели адаптивной защиты информации от несанкционированного доступа в условиях информационного противоборства. С позиции адаптивной защиты ВС от НСД при ведении компьютерной войны основными аспектами оборонительной составляющей является защита информационных, программных, вычислительных и телекоммуникационных ресурсов, обнаружение и противодействие НСД.

Ключевым аспектом технологии адаптивной защиты является переход от принципа «обнаружения и ликвидация НСД» к принципу «анализ – прогнозирование – предупреждение – противодействие». Для вычислительных сетей реализация данного принципа является обязательной, так как целенаправленное воздействие противника является для них вполне очевидным и предсказуемым явлением.

Основу системы адаптивной защиты (САЗ) составляет подсистема идентификации безопасности состояний ВС, которая в основном и определяет способность системы защиты информации (СЗИ) оперативно обнаруживать и предупреждать НСД к ее ресурсам. Реализация данной подсистемы может быть основана на следующих частных методах динамической идентификации:

- обнаружение НСД на основе динамического анализа использования вычислительных ресурсов при выполнении прикладных программ;

- обнаружение злоупотреблений пользователей на основе анализа данных аудита.

Осуществляя контроль вызовов системных функций в процессе выполнения прикладных программ в многопрограммном режиме и статистический анализ использования ими ресурсов вычислительной системы, можно в режиме реального времени обнаруживать деструктивные изменения программного кода и блокировать их реализацию в вычислительной среде.

Второй из предлагаемых частных методов адаптивной защиты – метод обнаружения злоупотреблений пользователей основан на анализе данных различных регистрационных журналов узлов сети (например, журнала безопасности, журнала системных событий, журналов приложений и т. п.). Цель анализа – выявление неявных (скрытых) закономерностей и действий субъектов доступа – пользователей и инициируемых ими прикладных программ по отношению к объектам доступа – защищаемым информационным ресурсам.

Рассмотренные методы не позволяют в полном объеме решать проблему динамической идентификации состояний вычислительной сети, так как отражают лишь аспекты защиты от злоупотреблений пользователей и внедрения деструктивного кода. Однако их несомненным достоинством является возможность упреждения (предотвращения) НСД, что является основным принципом реализации технологии адаптивной защиты информации.

 

Билет 23

Билет 24

Методы и средства хранения ключевой информации.

Нормативные документы

Положение разрабатывалось с учетом:

· Федерального закона "Об электронной цифровой подписи"

· "Временного положения о цифровой электронной подписи (ЭЦП) в системе межрегиональных электронных платежей ЦБ РФ в период проведения эксперимента", утвержденного 16 августа 1995 г. Первым Заместителем Председателя ЦБ РФ А.В.Войлуковым

· Временных требований ЦБ РФ № 60 от 03 апреля 1997 г. "По обеспечению безопасности технологии обработки электронных платежных документов в системе Центрального банка Российской Федерации"

· Положения ЦБ РФ № 20-П от 12 марта 1998 г. "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России" в редакции Указания Банка России № 774-У от 11.04.2000 г.

Общие положения

2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

2.2. Данное Положение включает:

· организационные мероприятия по работе с НКИ;

· порядок использования НКИ в системе электронных взаимодействий;

· порядок изготовления, учета, регистрации ключей ЭЦП и ключей шифрования в системе электронных взаимодействий;

· порядок действий при компрометации ключевых материалов;

· порядок обеспечения режима безопасности при работе с НКИ.

2.3. Основные термины:

· Носитель ключевой информации – носитель информации (дискета, флэш-память, и прочие носители) на которых храниться электронный ключ, предназначенный для защиты электронных взаимодействий.

· ЦУКС - центр управления ключевыми системами место изготовления носителя ключевой информации НКИ.

· Секретный (закрытый) ключ подписи - ключ предназначенный для формирования им электронной цифровой подписи электронных документов.

· Открытый (публичный) ключ подписи - ключ, автоматически формируется при изготовлении секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи электронного документа. Открытый ключ считается принадлежащим участнику электронных взаимодействий, если он был сертифицирован (зарегистрирован) установленным порядком.

· Ключ шифрования - ключ предназначенный для закрытия электронного документа при электронных взаимодействиях.

· Шифрование - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей.

· Компрометация ключевой информации - утрата, хищение, несанкционированное копирование или подозрение на копирование носителя ключевой информации НКИ или любые другие ситуации, при которых достоверно не известно, что произошло с НКИ. К компрометации ключевой информации также относится увольнение сотрудников, имевших доступ к ключевой информации.

· Сертификация ключа - процедура заверения (подписания) открытой части регистрируемого ключа электронной цифровой подписью.

· Заявка на регистрацию ключа - служебное сообщение, содержащее новый открытый ключ, подписанное электронной цифровой подписью.

Билет 25

Оценка защищенности заданной конфигурации Windows: файловая система, реестр.