Безопасность компьютерных сетей: протоколы сетевой безопасности, программно-аппаратные комплексы защиты сетей.
Первая задача протоколов безопасности – аутентификация удаленного объекта или субъекта (пользователя системы или процесса). Практически все протоколы несут в себе аутентификацию, как одну из функций, но есть ряд протоколов предназначенных специально для аутентификации (PAP, CHAP и их подвиды: RADIUS, TACACS, Kerberos, S/Key). Следующая задача протоколов – обеспечить защиту информации при прохождении по каналам связи, т.е. согласовать ключи шифрования, зашифровать данные в точке отправления, расшифровать в точке получения. Говоря о подобных протоколах, следует понимать область их приложения, относительно модели OSI или TCP/IP. Это важно учитывать при выборе конкретной модели безопасности, так как необходимо знать, какая часть информации остается видимой после криптографической обработки (адрес отправителя и получателя, другая служебная информация). Например, протоколы прикладного уровня оставляют в открытом, нешифрованном виде всю информацию, которая необходима для работы нижних уровней. Протоколы транспортного уровня (SSL, Secure Shell, SOCKS) скрывают картину работы отдельных приложений, но оставляют информацию для сетевого уровня. Многие протоколы сетевого и подсетевого уровня (IPSec, L2F, PPTP, L2TP) могут скрывать: либо данные, пришедшие от протокола верхнего уровня (транспортного), оставляя видимыми адреса отправителя и получателя; либо полностью инкапсулировать все данные сетевого уровня, выставляя новые заголовки и окончания пакетов, такой режим работы часто называют туннелированием и именно он участвует в построении виртуальных частных сетей (VPN). Некоторые протоколы известны задачами, которые они решают. SSL – это де-факто сложившийся стандарт защиты Интернет-соединений. Сервер протокола SOCKS, обеспечивающий защиту данных между отправителем и получателем, выступает как шлюз-посредник приложений. Kerberos популярен как система, позволяющая пользователю аутентифицировать себя лишь однажды, при входе в систему, а далее получать прозрачный доступ (в рамках своих прав) ко всем ресурсам сети. X.509 – протокол цифровых сертификатов, указывающий, каким образом субъекты, использующие в открытой сети механизмы асимметрической криптографии, должны распространять свои открытые ключи через центры сертификации (CA). LDAP – протокол, регулирующий доступ к данным об объектах и субъектах данной зоны управления (домена, службы каталогов).
Существуют различные классы МСЭ. Пакетный фильтр в чистом виде – это устройство, которое фильтрует сетевые пакеты на основе предопределенных данных о сетевых (IP) адресах источника и получателя. Однако в виде независимых программно-аппаратных комплексов МСЭ этого типа уже давно не встречаются в основном по причине недостаточной функциональности. В настоящее время пакетным фильтром можно назвать маршрутизатор с функциями МСЭ этого уровня. При этом, сам маршрутизатор может выполнять более сложные функции – анализ пакетов на транспортном уровне с учетом портов обращений, сокрытие внутренних адресов сети, на границе которой он находится, сокрытие портов обращений, формирование групп доступа по сетевым адресам с более сложным разграничением доступа, расширенные возможности аутентификации (поддержка протоколов RADIUS, TACACS), дифференцирование сетевых интерфейсов и т.п. МСЭ с контролем соединения производят более тонкий анализ проходящего трафика: рассматривают каждый пакет в принадлежности его к конкретному соединению, в том числе с учетом того, кем, когда и как было инициировано соединение и какая активность в рамках данного соединения была перед получением данного пакета. Технология посредника приложения заключается в том, что хосты во внутренней сети и хосты во внешней сети устанавливают соединения между собой не напрямую, а через виртуального «посредника» - отдельный сервис или демон в МСЭ, который общается с клиентом от имени сервера, а с сервером от имени клиента. Т.о. МСЭ выступает как часть соединения и, соответственно, может анализировать все происходящие при соединении события, обнаруживая в том числе и возможные атаки. Общемировым стандартом подобного «универсального» прокси-сервера стал протокол SOCKS. Технология персонального МСЭ заключается в том, что вся функциональность фильтрации соединений выполняется модулем, расположенным непосредственно на персональном компьютере. Для доступа внешних пользователей к ряду хостов (Веб-сервер, FTP-сервер, почтовый сервер) логично создать отдельную подсеть, свободную от элементов внутренней и внешней сети. Данная технология получила название демилитаризованной зоны. Технология трансляции сетевых адресов (NAT) заключается в том, что на МСЭ, который в данном случае играет роль шлюза, при выходе во внешнюю сеть во всех сетевых пакетах производится подмена внутреннего адреса на предопределенный внешний адрес. При этом шлюз ведет таблицу соответствия отправленных пакетов таким образом, что для входящих пакетов из внешней сети производится обратная замена внешнего адреса на внутренний. Различают статический NAT, когда за одним адресом внутренней сети жестко закреплен один внешний адрес, и более часто используемый динамический NAT, когда за множеством внутренних адресов закреплен некоторый, обычно небольшой, диапазон внешних адресов (а, возможно, и всего один IP-адрес).
- Программа государственного экзамена
- Пояснительная записка
- Основные задачи государственного экзамена
- Содержание государственного экзамена
- Структура экзаменационного билета
- Требования к ответу на вопросы экзаменационного билета
- Критерии оценки ответа
- Программа
- I. Общепрофессиональные дисциплины
- Раздел 1. Программирование на языке высокого уровня
- Динамический тип данных, линейные динамические структуры данных: стек, очередь, списки; нелинейные динамические структуры данных: мультисписки, деревья.
- Процедуры и функции: описание, вызов, передача параметров, программирование рекурсивных алгоритмов.
- Раздел 2. Компьютерная графика
- Раздел 3. Организация эвм и систем
- Архитектура эвм, периферийные устройства, организация ввода-вывода информации.
- Системы эвм: вычислительные системы и сети, сопроцессоры, мультипроцессорные вычислительные системы, матричные и конвейерные вычислительные системы, связные устройства, модемы, протоколы обмена.
- Раздел 4. Операционные системы
- Виртуальная память: страничная, сегментная, сегментно-страничная организация памяти, коллективное использование и защита информации; файлы, отображаемые в память.
- Файловая система ос: состав, управление, типы файловых систем; логическая и физическая организация файла, методы доступа, операции над файлами, отображаемые файлы.
- Раздел 5. Базы данных
- Управление транзакциями, сериализация транзакций (синхронизационные захваты, метод временных меток), изолированность пользователей.
- Архитектура "клиент-сервер": открытые системы, клиенты и серверы локальных сетей, системная архитектура "клиент-сервер", серверы баз данных.
- Распределенные бд: разновидности распределенных систем, распределенная субд System r, интегрированные или федеративные системы и мультибазы данных.
- Раздел 6. Сети эвм и телекоммуникации
- Передача дискретных данных: линии связи, методы передачи дискретных данных на физическом уровне, методы передачи данных канального уровня, методы коммутации.
- Средства анализа и управления сетями: функции и архитектура систем управления сетями, стандарты систем управления, мониторинг и анализ локальных сетей.
- Раздел 7. Методы и средства защиты компьютерной информации
- Безопасность компьютерных сетей: протоколы сетевой безопасности, программно-аппаратные комплексы защиты сетей.
- Безопасность современных ос и программных комплексов, вредоносные программы, системы обнаружения вторжений, комплексный подход к проектированию и анализу защищенных ис.
- Раздел 8. Системное программирование
- Организация ячеек памяти, регистры, форматы команд.
- Ассемблер: основные понятия, директивы, команды. Условный и безусловный переходы. Циклы. Массивы. Процедуры. Упакованные данные. Структуры.
- Защищенный режим процессора Intel 80386: страничная адресация, переключение контекста, использование возможностей защищенного режима различными ос.
- Раздел 9. Структуры и алгоритмы обработки данных
- Абстрактный тип данных. Линейные и нелинейные структуры данных. Стек, очередь, списки, деревья, графы.
- Алгоритмы сортировки: методы внутренней и внешней сортировки, анализ сложности и эффективности алгоритмов сортировки.
- Алгоритмы поиска: последовательный, бинарный, интерполяционный поиск, использование деревьев в задачах поиска; хеширование с открытой и закрытой адресацией; алгоритмы поиска подстроки в строке.
- Раздел 10. Функциональное и логическое программирование
- Принципы функционального программирования: программирование при помощи функций, функциональность, основные свойства функциональных языков, язык программирования Лисп, рекурсия.
- Функционалы: функциональное значение функции, способы композиции функций, функции более высокого порядка.
- Раздел 11. Объектно-ориентированное программирование
- Параметрический полиморфизм: шаблонные классы и шаблонные функции - назначение, параметризованные типы данных, синтаксис и семантика.
- Раздел 12. Теория вычислительных процессов
- Элементы теории вычислимости: вычислимость и разрешимость, интуитивное и точное понятие алгоритма, вычислимые функции, машина Тьюринга, массовые алгоритмические проблемы.
- Раздел 13. Теория языков программирования и методы трансляции
- Раздел 14. Архитектура вычислительных систем
- Раздел 15. Технология разработки программного обеспечения
- 1 Область применения
- Структуры данных: несвязанные, с неявными связями, с явными связями; иерархические модели Джексона-Орра; моделирование данных – диаграммы «сущность-связь» (erd); метод Баркера; метод idef1.
- Разработка структуры по при объектом подхода
- Раздел 16. Человеко-машинное взаимодействие
- Типы пользовательских интерфейсов и этапы их разработки, психофизические особенности человека, связанные с восприятием, запоминанием и обработкой информации.
- Раздел 17. Системы искусственного интеллекта
- Системы распознавания образов (идентификации): обучение распознаванию образов, геометрический и структурный подходы, гипотеза компактности, адаптация и обучение.
- Эволюционные методы поиска решений: метод группового учета аргументов, генетический алгоритм.
- Экспертные системы: классификация и структура; инструментальные средства проектирования, разработки и отладки; этапы разработки; примеры реализации.
- Раздел 18. Проектирование информационных систем
- Архитектуры реализации корпоративных информационных систем на платформах Sun, Microsoft, Linux.
- Раздел 19. Сетевые операционные системы
- Основные концепции ос семейства Windows nt: особенности установки, конфигурирования, администрирования, оптимизации производительности.
- Администрирование удаленного доступа к сетям Windows, взаимодействие с сетями tcp/ip, взаимодействие с сетями NetWare, средства просмотра сетевых ресурсов.
- Основные концепции ос unix/Linux, средства графического интерфейса пользователей, основные механизмы и компоненты ядра, программирование в среде unix /Linux.
- Основные концепции ос NetWare, проектирование Novell Directory Services, поддержка ос NetWare.
- Администрирование ос NetWare, дополнительные средства ос NetWare: средства защиты nds для nt, встроенные утилиты администрирования сети.
- Раздел 20. Комплексные программные платформы
- Системы планирования ресурсов предприятия (erp). Основные понятия, принципы, подсистемы.
- Методология внедрения erp-систем.
- Раздел 21. Программное обеспечение распределенных систем и сетей
- Раздел 22. Разработка корпоративного web-узла
- Перечень литературы
- Перечень основных стандартов в области обеспечения жизненного цикла и качества программных средств