Лекции по курсу


The Presentation inside:

Slide 0

Лекции по курсу «Методы и средства защиты компьютерной информации»


Slide 1

Содержание Лекция 1 Лекция 2 Лекция 3 Лекция 4 Лекция 5 Лекция 6 Лекция 7 Лекция 8 Лекция 9 Лекция 10 Лекция 11 Лекция 12 Лекция 13 Лекция 14 Лекция 15 Лекция 16 Лекция 17


Slide 2

Лекция 1 Основные понятия и определения


Slide 3

Безопасность АСОИ - защищенность АСОИ от случайного или преднамеренного вмешательства в нормальный процесс их функционирования, а также от попыток хищения, изменения или разрушения их компонентов.


Slide 4

Доступ к информации - ознакомление с ней, ее обработка, в частности копирование, модификация и уничтожение


Slide 5

Субъект доступа - активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (пользователь, процесс, прикладная программа и т.п.)


Slide 6

Объект доступа - пассивный компонент системы, хранящий, принимающий или передающий информацию (файл, каталог и т.п.)


Slide 7

Субъект и объект доступа субъект доступа объект доступа Доступ


Slide 8

Санкционированный доступ к информации - доступ, не нарушающий установленные правила разграничения доступа, служащие для регламентации прав доступа субъектов к объектам доступа


Slide 9

Несанкционированный доступ (НСД) к информации - доступ, нарушающий установленные правила разграничения доступа


Slide 10

Свойства информации доступность целостность конфиденциальность


Slide 11

Ценность информации свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.


Slide 12

Модель решетки ценностей - обобщение порядковой шкалы. Для большинства встречающихся в теории защиты информации решеток существует представление решетки в виде графа. В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security).


Slide 13

Лекция 2 Угрозы безопасности КС


Slide 14

Угроза информацией в системах обработки данных (СОД) Угроза безопасности АСОИ – потенциальная возможность определенным образом нарушить информационную безопасность (разрушение системы, кража паролей, денег).


Slide 15

Классификация угроз по происхождению угроз случайные преднаме- ренные Отказы, сбои Ошибки Побочные влияния Стихийные бедствия Злоумы- шленные действия людей


Slide 16

Классификация угроз по источникам угроз люди тех. устройства модели, алгоритмы программы тех. средства обработки внешняя среда Посторонние лица Пользователи Персонал Регистрации Передачи Хранения Переработки Выдачи Общего назначения Прикладные Вспомо- гателные Ручные Человеко- машинные Внутри машинные Сетевые Состояние атмосферы Побочные шумы Побочные сигналы


Slide 17

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения, несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя.


Slide 18

Каналы утечки информации электромагнитный виброакустический информационный визуальный


Slide 19

Принципы обеспечения ИБ Системности. Комплексности. Непрерывности защиты. Разумной достаточности. Гибкости управления и применения. Открытости алгоритмов и механизмов защиты. Простоты применения защитных мер и средств.


Slide 20

Меры обеспечения безопасности компьютерных систем правовые (законодательные); морально-этические; организационно-административные; физические; аппаратно-программные.


Slide 21

Лекция 3 Основные понятия разграничения доступа Дискреционная модель политики безопасности


Slide 22

Разграничение доступа к информации разделение информации, циркулирующей в КС, на части, элементы, компоненты, объекты и т. д., и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части (к тем компонентам) информации, которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений.


Slide 23

Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.


Slide 24

Политики безопасности неформальные формальные


Slide 25

Формальные политики безопасности Преимущество – отсутствие противоречий в политике безопасности и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности.


Slide 26

Недостаток формальных методов - они имеют дело не с самой системой, а с ее моделью.


Slide 27


Slide 28

Политики безопасности Одной из самых простых и распространенных моделей политик безопасности является дискреционная политика


Slide 29

Дискреционная политика безопасности Пусть О – множество объектов компьютерной системы, над которыми могут производиться различные операции, U – множество пользователей (субъектов) компьютерной системы, которые могут производить операции над объектами, S – множество всевозможных операций (действий) субъектов над объектами.


Slide 30

Дискреционная политика безопасности определяет отображение O -> U (объектов на пользователей-субъектов).


Slide 31

Дискреционная политика безопасности Каждый объект объявляется собственностью соответствующего пользователя, который может выполнять над ними определенную совокупность действий.


Slide 32

Дискреционная политика безопасности Пользователь, являющийся собственником объекта, иногда имеет право передавать часть или все права другим пользователям (обладание администраторскими правами).


Slide 33

Дискреционная политика безопасности МАТРИЦА ДОСТУПОВ Полные права Полные права Полные права Запрет Чтение Чтение Чтение, передача прав Чтение, запись Полные права


Slide 34

Модель Харрисона-Руззо-Ульмана Теорема 1. Существует алгоритм для определения, является или нет моно-операционная система безопасной для данного права a. Теорема 2. Проблема определения безопасности для данного права а в системе с запросами общего вида является неразрешимой.


Slide 35

Лекция 4 Мандатные модели политики безопасности


Slide 36

Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.


Slide 37

Политики безопасности Одной из базовых политик безопасности является мандатная политика.


Slide 38

Исходная мандатная политика безопасности Пусть в компьютерной системе (КС) определено n субъектов доступа и m объектов доступа. Вводится множество атрибутов безопасности A, элементы которого упорядочены с помощью установленного отношения доминирования.


Slide 39

Исходная мандатная политика безопасности Каждому объекту КС ставится в соответствие атрибут безопасности, который соответствует ценности объекта и называется его уровнем (грифом) конфиденциальности. Каждому субъекту КС ставится в соответствие атрибут безопасности, который называется уровнем допуска субъекта и равен максимальному из уровней конфиденциальности объектов, к которому субъект будет иметь допуск


Slide 40

Исходная мандатная политика безопасности Максимальный из уровней конфиденциальности объектов, к которому субъект будет иметь допуск = Уровень допуска субъекта


Slide 41

Исходная мандатная политика безопасности Субъект имеет допуск к объекту тогда и только тогда, когда уровень допуска субъекта больше или равен уровню конфиденциальности объекта.


Slide 42

Мандатная модель политики безопасности Белла-ЛаПадула (БЛМ) Свойство NRU (not read up) «нет чтения вверх» Свойство (NWD) (not write down) «нет записи вниз»


Slide 43

Определение безопасного состояния Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и записи.


Slide 44

Основная теорема безопасности Система (v0, R, T) безопасна тогда и только тогда, когда состояние v0 безопасно и Т таково, что для любого состояния v, достижимого из v0 после исполнения конечной последовательности запросов из R, T(v, c) = v*, где v = (F, M) и v* = (F*, M*), переходы системы (Т) из состояния в состояние подчиняются следующим ограничениям для любого s из S и для любого o из О: если чтение принадлежит M*[s, o] и чтение ?M[s, o], то F*(s)?F*(o); если чтение принадлежит M[s, o] и F*(s)<F*(o), то чтение ?M*[s, o]; если запись принадлежит M*[s, o] и запись ?M[s, o], то F*(о)?F*(s); если запись принадлежит M[s, o] u F (o)<F (s), то запись ? М*[s, o].


Slide 45

Лекция 5 Идентификация и аутентификация субъектов


Slide 46

Идентификация - это присвоение пользователю некоторого несекретного идентификатора, который он должен предъявить СЗИ при осуществлении доступа к объекту.


Slide 47

Аутентификация - это подтверждение пользователем своего идентификатора, проверка его подлинности.


Slide 48

Стойкость подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.


Slide 49

Требования паролю: Минимальная длина пароля должна быть не менее 6 символов. Пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.). В качестве пароля не должны использоваться реальные слова, имена, фамилии и т.д.


Slide 50

Требования к подсистеме парольной аутентификации. максимальный срок действия пароля; ограничение числа попыток ввода пароля; временная задержка при вводе неправильного пароля;


Slide 51

P=(V*T)/S=(V*T)/AL P – вероятность подбора пароля злоумышленником A – мощность алфавита паролей L – длина пароля. S=AL – число всевозможных паролей длины L, которые можно составить из символов алфавита A. V – скорость перебора паролей злоумышленником. T – максимальный срок действия пароля.


Slide 52

Биометрическая аутентификация - это аутентификация, основанная на использовании индивидуальных физиологических характеристик человека.


Slide 53

Динамика работы пользователя на клавиатуре - наиболее дешевый среди признаков, используемых при проведении биометрической аутентификации пользователя


Slide 54

Биометрическая аутентификация характеризуется коэффициентом ошибочных отказов (False rejection rate FRR) и коэффициентом ошибочных подтверждений (false acceptance rate FAR).


Slide 55

Лекция 6 Введение в криптографию Основные термины


Slide 56

Элементы теории чисел


Slide 57

Элементы теории чисел


Slide 58

Числовые функции


Slide 59

Криптография - совокупность методов преобразования данных (шифрования), направленных на то, чтобы сделать эти данные бесполезными для противника.


Slide 60

Ключ шифрования K - конкретное состояние некоторого параметра (параметров), обеспечивающее выбор одного преобразования из совокупности возможных для используемого метода шифрования.


Slide 61

Открытый текст M - исходное сообщение, которое шифруют для его сокрытия от посторонних лиц.


Slide 62

Закрытый текст (шифротекст) С - сообщение, формируемое в результате шифрования открытого текста


Slide 63

Криптоанализ - решает задачу, характерную для злоумышленника – раскрыть шифр, получив открытый текст, не имея подлинного ключа шифрования.


Slide 64

Типы криптоаналитических атак атака при наличии только известного закрытого текста С. атака по открытому тексту. атака методом полного перебора всех возможных ключей. атака методом анализа частотности закрытого текста.


Slide 65

Криптостойкость определяет стойкость шифра к раскрытию с помощью методов криптоанализа. определяется интервалом времени, необходимым для раскрытия шифра.


Slide 66

Лекция 7 Симметричные криптосистемы Шифрование заменой


Slide 67

Симметричные криптосистемы Здесь шифрование и дешифрование информации осуществляется на одном ключе K, являющемся секретным. Рассекречивание ключа шифрования ведет к рассекречиванию всего защищенного обмена.


Slide 68

Схема симметричной криптосистемы


Slide 69

Традиционные симметричные криптосистемы Шифры замены Шифры перестановки Шифры гаммирования


Slide 70

Шифрование заменой (подстановкой) символы шифруемого текста заменяются символами того же или другого алфавита в соответствие с заранее оговоренной схемой замены. Например, шифр Цезаря.


Slide 71

Шифр Цезаря А?Г Б?Д В?Е Г?Ж Д?З и т.д. каждая буква заменяется на другую букву того же алфавита путем ее смещения в используемом алфавите на число позиций, равное K. К=3


Slide 72

Многоалфавитная замена Каждой букве алфавита открытого текста в различных ситуациях ставятся в соответствие различные буквы шифротекста в зависимости от соответствующего ей элемента ключа.


Slide 73

Шифр Гронсфельда Ключ К=193431 Чтобы зашифровать первую букву сообщения Н, в результате чего получим букву О необходимо сдвинуть ее в алфавите русских букв на число позиций 1,


Slide 74

Шифр Вернама


Slide 75

Лекция 8 Симметричные криптосистемы Методы перестановки Криптоанализ


Slide 76

Методы перестановки символы открытого текста переставляются по определенному правилу в пределах некоторого блока этого текста. Данные преобразования приводят к изменению только порядка следования символов исходного сообщения


Slide 77

Методы перестановки Метод простой перестановки Перестановки по маршрутам типа гамильтоновских


Slide 78

Метод гаммирования


Slide 79

Метод фон-Неймана


Slide 80

Линейный конгруэнтный метод


Slide 81

Криптоанализ – наука о раскрытии исходного текста зашифрованного сообщения без доступа к ключу.


Slide 82

Особенность большинства языков - они имеют характерное частотное распределение букв и других знаков.


Slide 83

Частотное распределение букв русского алфавита


Slide 84

Криптоанализ, основанный на исследовании частотности символов в тексте Если наиболее часто встречаемый в тексте символ – это «Б», а второй по встречаемости - «К», то криптоаналитик может сделать вывод, что символ «Б» это «Пробел», а «К» это буква «О».


Slide 85

Частотное распределение букв английского алфавита


Slide 86

Общая схема шифрования алгоритма DES


Slide 87

DES


Slide 88

DES. Функция шифрования


Slide 89

ГОСТ 28147-89


Slide 90

ГОСТ 28147-89


Slide 91

Лекция 9 Односторонние функции Открытое распространение ключей Шифры с открытыми ключами Криптосистема RSA ЭЦП Стойкость ассиметричных криптосистем


Slide 92

Асимметричные криптосистемы здесь используются два ключа один для шифрования, другой для дешифрования.


Slide 93

Функциональная схема ассимметричной криптосистемы ОК – открытый ключ, СК – секретный ключ.


Slide 94

Схема распределения ОК


Slide 95

Однонаправленные функции


Slide 96

Однонаправленные функции


Slide 97

Алгоритм шифрования RSA стал первым алгоритмом шифрования с открытым ключом. Надежность данного алгоритма основывается на трудности факторизации больших чисел и вычисления дискретных логарифмов


Slide 98

Алгоритм шифрования RSA


Slide 99

Электронно-цифровая подпись (ЭЦП) удостоверяет, что подписанный текст исходит от лица, поставившего подпись. ЭЦП не дает отказаться лицу, поставившего подпись, от своих обязательств. гарантирует целостность документа.


Slide 100

Угрозы Активный перехват. Маскарад. Ренегатство. Подмена. Повтор.


Slide 101

Функциональная схема использования ЭЦП ОК – открытый ключ, СК – секретный ключ.


Slide 102

Функциия хэширования H функция, сжимающая сообщение произвольной длины M, в значение фиксированной длины H(M), и обладающая свойствами необратимости, рассеивания и чувствительности к изменениям.


Slide 103

Схема процедур установки и проверки ЭЦП


Slide 104

Лекция 10 Хранение и распределение ключевой информации


Slide 105

Базу данных аутентификации в КС необходимо защищать от двух основных видов угроз Угрозы прямого доступа к базе данных аутентификации с целью ее копирования, исследования, модификации Угрозы исследования содержимого базы данных аутентификации


Slide 106

Первая типовая схема хранения ключевой информации


Slide 107

Вторая типовая схема хранения ключевой информации


Slide 108

Утверждение (о подмене эталона) Если пользователь имеет возможность записи объекта хранения эталона, то он может быть идентифицирован и аутентифицирован (в рамках рассмотренных схем), как любой пользователь.


Slide 109

Защита баз данных аутентификации в ОС, построенных на технологии Windows NT Алгоритм хэширования LANMAN Алгоритм хэширования NTLM


Slide 110

LANMAN


Slide 111

Иерархия ключевой информации мастер-ключ ключи шифрования ключей сеансовые ключи


Slide 112

Распределение ключей Распределение ключевой информацией с использованием одного либо нескольких центров распределения ключей. Прямой обмен сеансовыми ключами между пользователями.


Slide 113

Протокол Диффи-Хеллмана


Slide 114

Лекция 11 Протоколы безопасной аутентификации пользователей


Slide 115

Обеспечение подлинности канала связи Механизм запрос-ответ Механизм отметки времени


Slide 116

Стойкость подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.


Slide 117

Протоколы безопасной аутентификации пользователей Аутентификация на основе сертификатов Процедура «рукопожатия»


Slide 118

Протоколы безопасной удаленной аутентификации пользователей Протокол CHAP (Challenge Handshaking Authentication Protocol) Протокол одноразовых ключей S/KEY


Slide 119

CHAP


Slide 120

S/KEY


Slide 121

Удаленная аутентификация с помощью хэша LANMAN


Slide 122

Удаленная аутентификация с помощью хэша LANMAN


Slide 123

Лекция 12 Защита информации в компьютерных сетях


Slide 124

Классы типовых удаленных атак Анализ сетевого трафика Подмена доверенного субъекта Введение ложного объекта компьютерной сети Отказ в обслуживании (DoS) Сканирование компьютерных сетей


Slide 125

Защита внутренней сети организации от НСД из сети INTERNET


Slide 126

виды МЭ фильтрующие маршрутизаторы (пакетные фильтры); шлюзы сетевого уровня; шлюзы прикладного уровня.


Slide 127

Формирование правил запрещать все, что не разрешено в явной форме; разрешать все, что не запрещено в явной форме.


Slide 128

Фильтрующие МЭ


Slide 129

DMZ


Slide 130

Лекция 13 Active Directory Защита программного обеспечения с помощью электронных ключей HASP Электронные ключи серии HASP 4


Slide 131

Доменная архитектура в Windows NT. Служба Active Directory


Slide 132

Централизованный контроль удаленного доступа


Slide 133

Основные задачи при взаимодействии через открытые каналы


Slide 134

VPN


Slide 135

VPN


Slide 136

Протокол SKIP


Slide 137

Лекция 14 Защита программного обеспечения с помощью электронных ключей HASP


Slide 138

Электронные ключи HASP Разработка фирмы Aladdin представляют собой современное аппаратное средство защиты ПО от несанкционированного использования. Базовой основой ключей HASP является специализированная заказная микросхема (ASIC – Application Specific Integrated Circuit), имеющая уникальный для каждого ключа алгоритм работы и функцию шифрования и связанную с ней функцию отклика f(x), принимающую на вход 32-битный аргумент и формирующая на выходе четыре 32-битных значения.


Slide 139

Модели семейства ключей HASP HASP4 Standard; MemoHASP; TimeHASP; NetHASP.


Slide 140

Система защиты HASP Standard позволяет осуществлять проверку наличия HASP Standard; проверку соответствия выходов, формируемых функцией отклика f(x) для различных значений x, эталонным значениям; использовать функцию шифрования электронного ключа для шифрования и дешифрования своего исполняемого кода, используемых данных и т.д.


Slide 141

MemoHASP Добавлена встроеная в них энергонезависимой памяти (EEPROM), доступной для чтения и записи во время выполнения защищенной программы. Модификации данных ключей HASP4 M1 – 112 байт EEPROM, возможность одновременной защиты до 16 программ. HASP4 M4 – 496 байт EEPROM, возможность одновременной защиты до 112 программ.


Slide 142

С помощью MemoHASP могут быть реализованы Хранение в энергонезависимой памяти MemoHASP конфиденциальной информации – ключей шифрования, части исполняемого кода и т.д. Хранение в энергонезависимой памяти информации о модулях защищённого программного обеспечения, к которым пользователь имеет доступ и о тех, к которым не имеет (в зависимости от заплаченной суммы за приобретение программы). Хранение в энергонезависимой памяти информации о количестве запусков программы, либо об оставшемся количестве запусков. Данный подход актуален при создании демонстрационных версий программ, работа с которыми ограничена количеством запусков.


Slide 143

TimeHASP Кроме функций MemoHASP, данные ключи обладают встроенными часами реального времени с автономным питанием от литиевой батарейки (отражающие время и дату). Используя часы реального времени, производитель может защищать свое программное обеспечение по времени использования и на основании этого строить гибкую маркетинговую политику – сдачу программ в аренду, лизинг ПО и периодический сбор платы за его использование и т.д.


Slide 144

NetHASP Данные ключи имеют в своем составе все компоненты MemoHASP и предназначены для защиты ПО в сетевых средах. Один ключ, установленный на любом компьютере сети, способен защитить ПО от тиражирования, а также ограничить количество рабочих мест (лицензий), на которых ПО используется одновременно. Ключ может работать на выделенном либо невыделенном сервере, либо любой станции. Он поддерживает различные протоколы – IPX/SPX, NetBIOS, NetBEUI, TCP/IP.


Slide 145

Способы внедрения защитных механизмов в ПО с помощью электронных ключей HASP HASP API (с помощью API функций). Пакетный режим (HASP Envelope).


Slide 146

Лекция 15 Нормативная база РФ Показатели защищенности СВТ Классы защищенности АС


Slide 147

Руководящие документы Гостехкомиссии России "Концепция защиты средств вычислительной техники от несанкционированного доступа к информации" "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"


Slide 148

Критерии безопасности показатели защищенности средств вычислительной техники (СВТ) от НСД критерии защищенности автоматизированных систем (АС) обработки данных


Slide 149


Slide 150


Slide 151

Лекция 16 Инженерно-техническая защита информации


Slide 152

Классификация технических каналов


Slide 153

Основные группы технических средств перехвата информации Радиопередатчики с микрофоном Электронные "уши" Устройства перехвата телефонных сообщений Устройства приема, записи, управления Видеосистемы записи и наблюдения Системы определения местоположения контролируемого объекта Системы контроля компьютеров и компьютерных сетей


Slide 154

Классификация обнаружителей радиоизлучений закладных устройств


Slide 155

Классификация средств обнаружения неизлучающих закладок


Slide 156

Классификация средств подавления закладных устройств


Slide 157

Противодействие перехвату речевой информации Информационное скрытие Энергетическое скрытие Обнаружение, локализация и изъятие закладных устройств


Slide 158

Способы подавления опасных электрических сигналов


Slide 159

Лекция 17 ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Slide 160

Особенность современного развития цивилизации информационные ресурсы инфокоммуникационные системы


Slide 161

Первый закон Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95.


Slide 162

Информация сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления


Slide 163

Информатизация организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов


Slide 164

Документированная информация (документ) зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать


Slide 165

«Информационная война» особый вид отношений между государствами, при котором для разрешения существующих межгосударственных противоречий используются методы, средства и технологии силового воздействия на информационную сферу этих государств


Slide 166

Особенность информационной войны скрытность латентность


Slide 167

Информационное оружие стратегическое оперативное тактическое


Slide 168

«Хакерская» война организация атак на вычислительные системы и сети специально обученными лицами


Slide 169

Элементы негативных действий уничтожение блокирование модификация и копирование информации нарушение работы средства


Slide 170

Законодательная база информационного права «Доктрина информационной безопасности «Об информации» «О государственной тайне» «О связи» «Об оружии» «О безопасности» кодексы «Уголовный» «Уголовно - процессуальный» «Гражданский» и др


Slide 171

Основные информационно-правовые статьи «Уголовного кодекса» Ст. 272 УК РФ – «Неправомерный доступ к компьютерной информации» Ст. 273 УК РФ – «Создание, использование и распространение вредоносных программ для ЭВМ» Ст. 274 УК РФ – «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети»


×

HTML:





Ссылка: