Вопрос 34. Встриавание средств защиты в сетевую подсистему.

Модельная и послойная архитектура NT позволяет встраивать дополнительные модули для реализации дополнительных требований, соответствующие современным системам защиты информации. Встраивание дополнительных компонентов, реали­зующих алгоритмы системы защиты, не должно ухудшить производительность системы и затруднять процесс администрирования. Реализация данных требований возможна, если дополнительные компоненты системы защиты встраиваются в ядро и работают в прозрачном для пользователя режиме. В наибольшей степени данный подход касается поддержки NT. NT представляет собой ОС со встроенной поддержкой многопротокольной сетевой архитектуры. NT представляет собой ОС со встроенной поддержкой мно­гопротокольной сетевой архитектуры. Environment Subsystem – подсистема выполнения команд. Особенность данной модели: сеть представлена как иерархический набор протоколов со встроенными функция для каж­дого слоя. При этом каждый протокол на определенном уровне обеспечивает вышестоящий слой необходимым сервисом, абстраги­руясь по конкретную реализацию нижестоящего слоя и получая от него необходимые сервисы и обслуживание. Interface CARD – интерфейсная карта. Разработанная архитектура сетевой подсистемы позволяет создавать гибкую транспортную многопротокольную среду, независящей от применяемой сетевой аппаратуры. Это достигается введением промежуточных интерфейсов, таких как NTIS и TDI. Специфичность TDI интерфейса позволяет вышестоящему слою драйверов сервера и редиректора функционировать независимо от типа протока транспортного уровня. Каждый транспортный протокол экспортирует известный набор универсальных функций, при помощи которых обеспечивает выполнение сетевых операций сервером или редиректором. Любой сетевой интерфейс может быть реализован при помощи набора примитивов TDI стандарта. NTIS – это системный драйвер, при помощи которого реализован ин­терфейс между одним или более драйверами сетевых адаптеров и, возможно, несколькими сетевыми картами, а также транспорт­ным протоколом и NIC драйверами. NTIS обеспечивает взаимодействие между выше названными драйверами и системой.

Вопрос 35. Журнал аудита. Расположен по адресу: / System 32/ Config/ SecEvent.evt

Формат файла не документирован, информация в открытом виде, защита журнала организовывается средствами системы организации доступа.

Для просмотра существуют утилиты. По умолчанию, позволяет читать журнал аудита администратору и аудиторам.

Все пользователи, которые могут читать, могут очищать его. Факт очистки журнала фиксируется сразу.

Максимальный размер 512 КБ. Может быть меньше. Шаг 64 КБ.

При переполнении журнала система может поступить следующим образом: старые события стираются по мере необходимости; если самое старое событие в журнале зафиксировано более n дней назад (n задается администратором), одно или несколько самых старых событий стираются. В противном случае новые события не будут регистрироваться (т.е. n дней не прошло, а журнал переполнен);

Если значение равно 1, при переполнении журнала это значение становится равным 2, после чего происходит крах ОС. При следующей загрузке в ОС, вход возможен только с правами администратора, который принудительно очищает журнал, возвращает значение в 1 и перезагружает компьютер.

Политика аудита. NT позволяет регистрировать в журнале событий: Вход \ выход пользователя в ОС; Доступ субъекта к объекту; Изменение в списке пользователя; Изменения в политике безопасности; Системное событие; Запуск и завершение процессов; Использование субъектами доступа опасных привилегий

Для каждого класса событий могут регистрироваться только успешные события, только неуспешные события, и те, и те, или никакие события.

Для NT опасными считаются следующие привилегии: Получение оповещения от файловой системы; Добавление записи в журнал аудита; Создание МД; Назначение МД процессам; Отладка программ; Создание резервной копии информации и восстановление

Вопрос 36. Уязвимость и связанные с ней угрозы представляются в виде цепочки: Уязвимость; Угроза; Последствия (атака)

Уязвимость – присущая объекту информатизация причин, приводящая к нарушению безопасности информации на конкретном объекте и обусловлена недостатками недостатка процесса функционирования объекта свойства архитек­туры автоматизированных систем, протоколами обмена и интерфейсами, применяемым программным обеспечением и платформой и условиями эксплуатации. Угроза – это возможная опасность, потенциальная или реально существующая, в содержании какого–либо деяния (действия или бездействия), направленное против объекта защиты, проявившегося в опасности искажения или потери информации. Последствие (атака) – возможное следствие реализации угрозы через имеющуюся уязвимость. Угрозы безопасности информации – хищение, модификация, уничтожение, нарушение доступности, отрицание подлинности и навязывание ложности. Источник угрозы безопасности как субъекты, так и объекты. Источники угроз как внутри защищенного объ­екта, так и вне его. Угрозы, как возможные опасности совершения какого-либо действия, направленное против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящей к нарушению информации на объекте. Каждой угрозе могут быть сопоставлены различные уязвимости.