Информационные и сетевые ресурсы открытых систем как объекты атак
Ниже выделены уязвимости наиболее часто применяемых утилит, команд и служб.
Теlnet
Теlnet: — это терминальный сервис, предназначенный для терминального доступа на удаленный компьютер по протоколу ШР. Сам по себе он не представляет проблем. Проблема в том, что он открывает хост для удаленного доступа. При установлении сеанса с удаленным хостом, используя Теlnet, пароль пользователя передается по Internet в незашифрованном виде. Вторая опасность заключается в том, что атакующий может подключиться к уже существующей Telnet сессии. Для этого используется техника, которая называется "session hijacking" (перехват сеансов связи). И, в-третьих, удаленные пользователи способны нарушить полномочия на доступ к данным.
Обычно, если злоумышленник пробует войти посредством Telnet на чужой хост, и этот сервис недоступен, то он, скорее всего, перейдет к другой, более беззащитной цели.
FТР
Протокол передачи файлов (FТР) может быть одной из наиболее безопасных утилит Internet, но если он неправильно сконфигурирован, то может стать и самой незащищенной. Использование анонимного FТР является в Internet основой для передачи миллионов байт данных в день и обычно не доставляет хлопот. Однако, если FТР-сервер хоть в чем-нибудь неправильно сконфигурирован, то злоумышленник сможет воспользоваться этим, чтобы проникнуть на чужой хост и далее изменять или удалять, а также незаконно распространять информацию или ПО. Ошибки в конфигурировании FТР-сервера могут позволить злоумышленнику изменять или удалять, а также незаконно распространять информацию или ПО.
Обобщая меры безопасности для протоколов Теlnet и FТР, перечислим их: конфиденциальность и целостность для коммуникаций с установлением соединений, аутентификация субъектов коммуникаций и контроль доступа на основе идентификации субъекта коммуникаций. Эти сервисы могут быть полность обеспечены на прикладном уровне модели OSI/ISO, однако целсообразно использовать некоторые механизмы на более низких уровнях, в частности, используя специальные защищенные протоколы сетевого и транспортного уровней NLSP, SSL, и т.д. При этом устраняется дублирование сервисов на более высоких уровнях, однако возникает необходимость введения новых программных модулей в ядро ОС
Gopher
Информационная система Gорhег ("парень на побегушках"), содержащая большие массивы информации в виде файлов, директорий, запросов, сеансов Telnet и FТР, также может послужить источником беспокойства. Главную опасность представляет система поиска информации по ключевым словам. Обычно она реализуется в виде отдельной программы и запускается по требованию пользователя. При этом можно перехватить запрос и послать ложный ответ с последующей адресацией на атакующий объект. Кроме этого, система позволяет включить в дерево Gорhег практически любой файл из файловой системы, что при наличии ошибок в назначении прав доступа может привести к "утечке" информации и, наконец, можно заставить G-сервер выполнять shell-команды, которые написал злоумышленник.
NFS
Сетевая файловая система NFS является способом, с помощью которого хосты могут совместно использовать дисководы, директории и файлы всей сети. NFS, первоначально разработанная Sun Microsystems для своих рабочих станций, теперь доступна для широкого круга компьютеров от большинства Unix-систем до ПК, работающих под DOS. NFS позволяет пользователям иметь доступ к файлам сервера даже без регистрации на этом компьютере. NFS использует 32-байтовый пакет, называемый файловым указателем. Подключившись к файловому указателю, злоумышленник получает важную информацию обо всех файлах, расположенных в разных директориях на ПК, составляющих интрасети. Существуют средства, позволяющие взломщику подсоединить NFS-каталоги без соответствующего разрешения со стороны сервера. Некоторые из этих пакетов используют старые ошибки NFS, в то время как другие просто выискивают и используют файловые указатели. В любом случае злоумышленники имеют возможность подсоединить каталоги и копировать файлы на сервер и с него.
NFS представляет определенные возможности по НСД к информации. Во-первых, как и в большинстве случаев, это ошибки администратора системы. Другим источником проколов в системе безопасности может быть наличие символьных ссылок, которые назначаются по команде ln. Указывая на другую область файловой системы, такая ссылка расширяет возможность проникновения за пределы смонтированной файловой системы или директории, что может привести к НСД к информации.
Наконец, злоумышленник может воспользоваться тем, что NFS "доверяет" portmapper (эта программа проверяет, какие приложения сервиса удаленного выполнения процедур RРС являются доступными и на каких портах), а это значит, что можно пройти и здесь, если получить доступ к этой программе.
Главная рекомендация при использовании NFS состоит в том, что не надо лениться прописывать всех пользователей и их права доступа и не следует делать открытых всему миру монтируемых файловых систем. Также можно запрещать пакеты, направленные на порты 2048 и 2049 — порты данных для NFS.
DNS
В Internet используется две службы директорий DNS - система доменных имен и Х.500. Средства безопасности и необходимые протоколы хорошо определены для Х.500. Так, широкое применение находит система распределения и сертификации открытых ключей Х.509. Однако нет хорошо разработанной концепции и специальных механизмов безопасности для DNS.
Необходимыми средствами безопасности для службы директорий являются аутентификация происхождения данных и целостность данных для запросов и ответов. Контроль доступа необходим для защиты хранимых в директории данных от модификации и раскрытия неавторизованными пользователями. Общей рекомендацией может быть использование в Internet: для защиты директорий средств Х.500 на прикладном уровне и соответствующих протоколов более низких уровней. Попытки реализовать необходимые средства безопасности для DNS посредством сервисов и механизмов более низких уровней не дает достаточной защищенности.
Рассмотрим подробнее DNS. Система доменных имен - это распределенная база данных на Internet, обеспечивающая преобразование IР-адреса в имя хоста, а также определяющая системы электронной почты и сервера имен для домена. Такое преобразование необходимо, так как на сетевом уровне адресация пакетов осуществляется не по именам, а по IР-адресам. Установка базы данных DNS не так трудна, однако неудачная конфигурация может блокировать доступ во внешнюю сеть или доступ удаленных пользователей на сервер. Поддержка файлов DNS — тоже не сложная, но требующая от администратора определенных навыков задача. Изменения в DNS должны быть доступны только администраторам, так как DNS содержит всю информацию о топологии сети и может служить путеводителем по ней, что очень нужно взломщику для определения потенциальных жертв НСД.
По умолчанию служба DNS функционирует на базе протокола UDР (хотя возможно и использование протокола ТСР), что, естественно, делает ее менее защищенной, так как протокол UDР, в отличие от ТСР, вообще не предусматривает средств идентификации сообщений. Это требует от администратора сети специальных знаний и несколько снижает скорость работы системы, так как при использовании ТСР требуется создание виртуального соединения, а конечные сетевые ОС вначале посылают DNS-запрос с помощью протокола UDР. Значение поля "порт отправителя" в UDP-пакете вначале принимается равным 1023, а затем увеличивается с каждым переданным DNS-запросом. В случае передачи DNS-запроса с хоста значение идентификатора (ID) DNS-запроса зависит от конкретного сетевого приложения, генерирующего DNs-запрос.
Подстановка ложных доменных имен - один из самых громких методов осуществления злонамеренных действий в Internet, один из самых опасных и в то же время самый трудно диагностируемый метод осуществления преступных замыслов в Internet. Эта атака организуется с помощью ряда сетевых протоколов и приложений, устанавливающих доверительные отношения на основе доменных имен хостов. Смысл атаки сводится к "взлому" одного или нескольких DNS-серверов сети Internet, изменению базы данных, отвечающей за преобразование Internet-адреса в IР-адрес, и, возможно, рассылке искаженной информации по другим DNS-серверам сети Internet.
Для службы DNS выделяют три основных варианта УА, рассмотренных далее более подробно.
I. Перехват запроса DNS. Его осуществляют путем перепрограммирования сетевого адаптера для приема всех передаваемых по каналу пакетов, извлечения из него номера UDP-порта отправителя запроса, двухбайтового значения ID идентификатора DNS-запроса и искомого имени и последующей посылкой ложного DNS-ответа на указанный в DNS-запросе UDP-порт, в котором нужно указать в качестве искомого IР-адреса IР-адрес ложного DNS-сервера.
2. "Шторм" ложных ответов DNS. Этот вариант удаленной атаки основан на ТУА "Ложный объект РВС" — атакующий осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера без приема DNS-запроса. Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Критерии, предъявляемые сетевой ОС хоста к полученному от DNS-сервера ответу, — это, во-первых, совпадение IР-адреса отправителя ответа с IР-адресом DNS-сервера; во-вторых, необходимо, чтобы в DNS-ответе было указано то же имя, что и в DNS-запросе; в-третьих, DNS-ответ должен быть направлен на тот же UDP-порт, с которого был послан DNS-запрос (это первая проблема, для атакующего), и, в-четвертых, в DNS-ответе поле идентификатора запроса в заголовке DNS (ID) должно содержать то же значение, что и в переданном DNS-запросе (это вторая проблема). Номер UDP-порта, с которого был послан запрос, можно попробовать найти простым перебором, направляя ложные ответы на соответствующий перечень портов. Двухбайтовый идентификатор DNS-запроса либо равен единице, либо в случае DNS-запроса имеет значение порядка единицы.
3. Цель — сервер DNS. Из рассмотренной ранее схемы удаленного DNS-поиска следует, что в том случае, если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то запрос отсылается сервером на один из корневых DNS-серверов, адреса которых содержатся в файле настроек сервера root.cache. Теперь сам DNS-сервер является инициатором удаленного DNS-поиска. Целью атаки станет не хост, а DNS-сервер, и ложные DNS-ответы будут направляться атакующим от имени корневого DNS-сервера на атакуемый DNS-сервер.
Если атакующий не может перехватить DNS-запрос от DNS-сервера, для реализации атаки ему необходим "шторм" ложных DNS-ответов, направленный на DNS-сервер. При этом нужен перебор 216 возможных значений ID и отпадает проблема перебора портов, так как все DNS-запросы передаются DNS-сервером на 53 порт.
И еще одно условие осуществления этой удаленной атаки на DNS-сервер при направленном "шторме" ложных DNs-ответов: атака будет иметь успех, только если DNS-сервер пошлет запрос на поиск определенного имени (которое содержится в ложном DNS-ответе). Сам атакующий может послать на атакуемый DNS-сервер подобный DNS-запрос и спровоцировать DNS-сервер на поиск указанного в запросе имени.
NIS
Network Information System (сетевая информационная система) является приложением типа клиент/сервер, которое позволяет нескольким компьютерам совместно использовать общие файлы типа список хостов, файл паролей и т.п. Эта система первоначально, была известна как "Желтые страницы" . NIS используется для управления группой компьютеров, обычно рабочих станций Unix и ПК. NIS облегчает администратору работу по управлению своей сетью, позволяя обновлять только один файл, который затем будет разделяться всеми связанными системами. К сожалению, каждый раз, когда речь идет о файле паролей, нужно иметь в виду, что злоумышленники будут всячески стремиться заполучить его. Программы, использующие слабые места NIS, были в ходу некоторое время назад. Эти программы: позволяли злоумышленникам получать записи о паролях, содержащихся в NIS. Поэтому NIS была усовершенствована, чтобы блокировать попытки многих подобных программ.
WWW
Серверы "всемирной паутины" WWW также не доставляют больших хлопот при правильной конфигурации, однако есть несколько проблем, которые могут возникать в определенных ситуациях. Web уязвима в каждом из трех аспектов ее деятельности: клиентском обеспечении (браузерах), серверном обеспечении и каналах их соединяющих, т.е. во всей сети.
С ростом популярности WWW многие пользователи стали уделять много внимания расширению возможностей своих домашних страниц, используя средства создания скриптов СGI. СGI — это протокол для выполнения сценариев на серверах; в свою очередь, серверы осуществляют конечную обработку, например, связь с базой данных по запросу со страницы Web. Все коммерческие серверы Web поддерживают сценарии СGI. Каждый раз при вызове пользователем сценария СGI он запускается целиком заново, потому что каждый сценарий является исполняемым. Сценарии СGI пишутся на Регl, командных языках shell и т.п., а программы СGI — на С++ или других компилируемых языках. Скрипт — это программа, которую сервер вызывает для выполнения дополнительных функций, не предусмотренных в протоколе НТТР. Но, как и в случае любой другой программы, если какие-либо параметры неправильно обрабатываются, могут возникнуть нежелательные побочные эффекты. Например, если скрипт был написан без соответствующей обработки ошибок и способен неправильно обрабатывать строку, злоумышленник может воспользоваться этой ошибкой. В прошлом подобные проблемы позволяли злоумышленникам просматривать скрытые файлы и выполнять недоступные команды. Кроме того, если злоумышленник способен поместить файл в систему некоторым способом (возможно, при помощи анонимного FТР) и если WWW-сервер способен распознать его и обработать, то могут возникнуть определенные проблемы.
Вот некоторые виды атак, которые могут осуществляться на электронную почту:
1). Фальшивые адреса отправителя. Адресу отправителя в электронной почте нельзя доверять, так как отправитель может указать фальшивый обратный адрес, или заголовок может быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SМТР-портом на компьютере, от имени которой он хочет отправить письмо, и ввести текст письма.
2). Перехват письма. Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Internet. Заголовок может быть модифицирован, чтобы скрыть или изменить отправителя, или для того чтобы перенаправить сообщение.
3). Почтовые бомбы. Почтовая бомба — это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и того, как он сконфигурирован.
Возможны следующие типовые варианты выхода почтового сервера из строя:
Почтовые сообщения принимаются до тех пор, пока диск, где они размещаются, не переполнится. Следующие письма не принимаются. Если этот диск также основной системный диск, то вся система может аварийно завершиться.
Входная очередь переполняется сообщениями, которые нужно обработать и передать дальше, до тех пор, пока не будет достигнут предельный размер очереди. Последующие сообщения не попадут в очередь.
У некоторых почтовых систем можно установить максимальное число почтовых сообщений или максимальный общий размер сообщений, которые пользователь может принять за один раз. Последующие сообщения будут отвергнуты или уничтожены.
Может быть превышена квота диска для данного пользователя. Это помешает принять последующие письма, и может помешать ему выполнять другие действия. Восстановление может оказаться трудным для пользователя, так как ему может понадобиться дополнительное дисковое пространство для удаления писем.
Большой размер почтового ящика может сделать трудным для системного администратора получение системных предупреждений и сообщений об ошибках.
Посылка почтовых бомб в список рассылки может привести к тому, что его члены могут отписаться от списка.
4). Угрожающие письма. Так как любой человек в мире может послать письмо другому человеку, то может оказаться трудным заставить его прекратить посылать их. Люди могут узнать адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если где-то был указан почтовый адрес какому-нибудь Web-узлу, от он может продать этот адрес "почтовым мусорщикам". Некоторые Web-браузеры сами указывают почтовый адрес при посещении узлов. Много почтовых систем имеет возможности фильтрации почты, то есть поиска указанных слов или словосочетаний в заголовке письма или его теле, и последующего помещения его в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использовать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.
Для безопасной атаки может использоваться анонимный ремэйлер (пересыльщик почты). Когда кто-то хочет послать оскорбительное или угрожающее письмо и при этом скрыть свою личность, он может воспользоваться анонимным ремэйлером. Если человек хочет послать электронное письмо, не раскрывая свой домашний адрес тем, кто может угрожать ему, он может тоже использовать анонимный ремэйлер. Если он начнет вдруг получать нежелательные письма по своему текущему адресу, он может отказаться от него и взять новый.
Одним часто используемым средством защиты, применяемым некоторыми пользователями Usenet является конфигурирование своих клиентов для чтения новостей таким образом, что в поле Reply-То (обратный адрес) письма, посылаемого ими в группу новостей, помещается фальшивый адрес, а реальный адрес помещается в сигнатуре или в теле сообщения. Таким образом программы сбора почтовых адресов, собирающие адреса из поля Reply-То, окажутся бесполезными.
5). Спэм. Данная атака проносит очень много проблем пользователям электронной почты. "Спэмминг" - это массовая рассылка бесполезной электронной почты (спэма), чаще всего коммерческого и рекламного характера о продуктах и услугах. В настоящее время термин "спэм" практически стал бранным словом для обозначения всякой "виртуальной помойки", постепенно сливаясь с более общим термином junk mail — мусорная (то есть ненужная адресату) почта.
Злоумышленником случайно выбирается доменное имя и отгадывается имя хоста почтового SМТР-сервера. Если этот сервер примет почту, спэммер просит его распространить сообщение по списку адресов. Сервер исполняет запрос, создавая впечатление, что сообщения исходят с IР-адреса компании-жертвы.
- Вопрос 8.1. Условные вероятности. Независимость событий. Формула полной вероятности. Формулы Байеса. Независимые случайные величины
- Вопрос 15.1. Математическое ожидание случайной величины и его свойства. Вычисление математических ожиданий и дисперсий типовых распределений
- Свойства математического ожидания
- Моменты старших порядков, дисперсия
- Математические ожидания и дисперсии стандартных распределений
- Вопрос 22.1. Виды сходимости последовательностей случайных величин. Закон больших чисел. Теорема Чебышева Виды сходимости последовательностей случайных величин.
- Закон больших чисел Чебышева
- Теорема Чебышева
- Вопрос 29.1. Центральная предельная теорема для независимых одинаково распределенных случайных величин
- Вопрос 43.1. Точечные оценки неизвестных значений параметров распределений: несмещенные оценки, состоятельные оценки. Примеры.
- Лемма Неймана-Пирсона
- Плотность распределения x2n
- Алгебра Вопрос 2.1. Определение группы, примеры. Циклические группы и их свойства.
- Вопрос 9.1. Определение группы, примеры. Симметрическая группа подстановок. Теорема Кели. Системы образующих симметрической и знакопеременной групп.
- Вопрос 16.1. Определение кольца, примеры. Кольцо многочленов над полемб нод и нок многочленов, алгоритм Евклида. Кольцо многочленов над полем как кольцо главных идеалов.
- Вопрос 23.1. Определение кольца, примеры. Кольцо вычетов по модулю натурального числа, китайская теорема об остатках. Решение линейных сравнений.
- Вопрос 30.1. Классификация простых полей. Простые расширения полей. Поле разложения многочлена.
- Вопрос 37.1. Существование и единственность конечного поля заданной мощности. Свойства конечных полей Конечные поля.
- Вопрос 44.1. Линейное пространство над полем базис и размерность линейного пространства. Решение систем линейных уравнений.
- Рассмотрим методы решения систем линейных уравнений. Метод Крамера
- Матричный метод
- Метод Гаусса.
- Вопрос 51.1. Евклидово пространство и его свойства. Ортонормированный базис.
- Структура данных и алгоритмы Вопрос 3.1. Как реализуется сортировка методом "пузырька" и какова временная сложность этого метода сортировки
- Вопрос 10.1. Как реализуется сортировка вставками и какова временная сложность этого метода сортировки
- Вопрос 17.1. Как реализуется сортировка посредством выбора и какова временная сложность этого метода сортировки
- Вопрос 24.1. Как реализуется сортировка Шелла и какова временная сложность этого метода сортировки
- Вопрос 31.1. В чем состоит алгоритм "быстрой сортировки"
- Вопрос 38.1. Как может быть повышена эффективность реализации "быстрой сортировки"
- Вопрос 45.1. В чем состоит алгоритм внешней сортировки слиянием
- Сортировка слиянием
- Листинг 1. Сортировка слиянием
- Вопрос 52.1. Как можно повысить эффективность внешней сортировки слиянием
- Ускорение сортировки слиянием
- Минимизация полного времени выполнения
- Многоканальное слияние
- Многофазная сортировка
- Когда скорость ввода-вывода не является „узким местом"
- Свойства энтропии
- Вопрос 11.1. Математические модели каналов связи, их классификация. Помехоустойчивость передачи информации Математические модели каналов связи и их классификация
- Помехоустойчивость передачи информации
- Вопрос 18.1. Пропускная способность каналов связи. Теорема Шеннона для каналов без помех и с ними Характеристики процессов передачи информации
- Пропускная способность каналов связи
- Теорема Шеннона для каналов без помех и с ними Теорема Шеннона для канала без помех
- Теорема Шеннона для дискретного канала с шумом
- Вопрос 25.1. Типы сигналов, их дискретизация и восстановление. Частотное представление дискретных сигналов т ипы сигналов
- Дискретизация и восстановление (интерполяция) сигналов
- Спектральные характеристики непериодического сигналов
- Частота Найквиста, теорема Котельникова
- Вопрос 39.1. Ортогональное преобразование дискретных сигналов. Задачи интерполяции и прореживания сигналов Ортогональное преобразование дискретных сигналов
- Задачи интерполяции и прореживания сигналов
- Прореживание (децимация)
- Интерполяция
- Вопрос 46.1. Классификация кодов. Линейные коды. Оптимальное кодирование Основные определения
- Классификация кодов
- Линейные коды
- Способы задания линейных кодов
- Основные свойства линейных кодов
- Оптимальное кодирование.
- Вопрос 53.1. Помехоустойчивое кодирование. Корректирующие коды Общие понятия
- Неравномерные коды Хэмминга
- Циклические коды
- Вопрос 14.1. Особенности и состав научно-методологического базиса решения задач защиты информации. Общеметодологические принципы формирования теории защиты информации
- Вопрос 21.1. Основное содержание теории защиты информации. Модели систем и процессов защиты информации Основное содержание теории защиты информации
- Системная классификация угроз информации
- Показатели уязвимости информации
- Модель уязвимости информации
- Вопрос 35.1. Постановка задачи определения требований к защите информации
- 1. В терминалах пользователей:
- 2. В устройствах группового ввода/вывода (угвв):
- 3. В аппаратуре и линиях связи:
- 4. В центральном вычислителе:
- 6. В хранилище носителей:
- 7. В устройствах подготовки данных:
- 8. Требования к защите информации, обуславливаемые территориальной распределенностью асод, заключаются в следующем:
- Вопрос 42.1. Методы оценки параметров защищаемой информации. Факторы, влияющие на требуемый уровень защиты информации Методы оценки параметров защищаемой информации.
- 1. Важность информации.
- 2. Полнота информации.
- 3. Адекватность информации.
- 4. Релевантность информации.
- 5. Толерантность информации.
- Факторы, влияющие на требуемый уровень защиты информации.
- Основы архитектурного построения систем защиты
- Типизация и стандартизация систем защиты
- Перспективы развития теории и практики защиты
- Трансформация проблемы защиты информации в проблему обеспечения информационной безопасности.
- Стандартизация в сфере обеспечения информационной безопасности автоматизированных систем Вопрос 1.2. Структура требований адекватности и уровня доверия
- Класс acm: Управление конфигурацией
- Класс agd: Руководства
- Руководство администратора (agd_adm)
- Руководство пользователя (agd_usr)
- Класс alc: Поддержка жизненного цикла
- Безопасность разработки (alc_dvs)
- Устранение недостатков (alc_flr)
- Определение жизненного цикла (alc_lcd)
- Анализ уязвимостей (ava_vla)
- Класс ama: Поддержка доверия
- Вопрос 8.2 Структура и ранжирование функциональных требований
- Операции на компонентах
- Зависимости компонентов
- Соглашение о наименовании компонентов
- Цели таксономии
- Функциональные компоненты
- Расширяемость компонентов
- Каталог компонентов
- Вопрос 15.2. Структура профиля защиты и задания по безопасности Ключевые понятия
- Уверенность в безопасности
- Профиль защиты
- Введение
- Описание оо
- Среда безопасности
- Цели безопасности
- Требования безопасности ит
- Обоснование
- Задание по безопасности
- Введение
- Подход к оценке
- Примеры пз
- Вопрос 22.2. Классы защищенности автоматизированных систем от нсд к информации
- Документ. Автоматизированные системы. Защита от нсд к информации
- 1. Классификация ас
- Классы защищенности ас от нсд к информации
- 2. Требования по защите информации от нсд для ас
- Вопрос 29.2. Определение и классификация нарушителей правил разграничения доступа модель нарушителя в ас
- Вопрос 36.2. Требования классов защищенности по tcsec
- Основные положения
- Классы безопасности
- Требования к политике безопасности
- Произвольное управление доступом:
- Повторное использование объектов:
- Метки безопасности:
- Целостность меток безопасности:
- Принудительное управление доступом:
- Требования к подотчетности Идентификация и аутентификация:
- Предоставление надежного пути:
- Требования к гарантированности Архитектура системы:
- Верификация спецификаций архитектуры:
- Конфигурационное управление:
- Тестовая документация:
- Описание архитектуры:
- Вопрос 43.2. Фундаментальные требования компьютерной безопасности
- Основные положения
- Основные элементы политики безопасности
- Произвольное управление доступом
- Безопасность повторного использования объектов
- Метки безопасности
- Принудительное управление доступом
- Классы безопасности
- Вопрос 50.2. Основные положения критериев tcsec ("Оранжевая книга"). Монитор обращений Основные положения
- Монитор обращений
- Основные элементы политики безопасности
- Произвольное управление доступом
- Безопасность повторного использования объектов
- Метки безопасности
- Принудительное управление доступом
- Классы безопасности
- Правовое обеспечение информационной безопасности Вопрос 2.2. Правовые основы функционирования электронных платежных систем
- Отличия электронного документооборота от бумажного
- Эцп. Удостоверяющие центры эцп. Их функции
- Иок (pki) - инфраструктура с открытыми ключами. Структура, особенности.
- Использование стандарта X.509.
- Некоторые правовые аспекты использования эцп
- Часть I. Глава 9. Статья 160. Письменная форма сделки
- Часть I. Глава 28. Статья 434. Форма договора
- Часть I. Глава 28. Статья 435. Оферта
- Часть I. Глава 28. Статья 438. Акцепт
- Вопрос 5.2. Органы, уполномоченные на ведение лицензионной деятельности, и их полномочия
- Вопрос 9.2. Содержание сертификата эцп. Правовой статус и задачи удостоверяющих центров
- Содержание сертификата эцп
- Глава II. Условия использования электронной цифровой подписи. Статья 6. Сертификат ключа подписи
- Правовой статус и задачи удостоверяющих центров
- Глава III. Удостоверяющие центры Статья 8. Статус удостоверяющего центра
- Правовые основы сертификации в области защиты информации
- Структура системы сертификации средств защиты информации,составляющей государственную тайну
- Порядок сертификации средств защиты информации, составляющей государственную тайну
- Вопрос 16.2. Основные положения Федерального закона "Об электронной цифровой подписи" Основные положения закона рф "Об электронной цифровой подписи".
- Особенности защиты государственной тайны на предприятиях, в организациях и учреждениях в условиях реализации международных договоров по сокращению вооружений и вооруженных сил
- Особенности защиты государственной тайны в условиях создания совместных предприятий.
- Особенности защиты государственной тайны в условиях научно-технического, военно-технического и экономического сотрудничества с другими странами.
- Вопрос 23.2. Основные положения патентного закона Российской Федерации
- Регулирование вопросов обеспечения сохранности государственной тайны в трудовых отношениях
- Вопрос 30.2. Основные положения закона Российской Федерации "Об авторском праве и смежных правах".
- Вопрос 33.2. Юридическая ответственность за противоправное распространение сведений, составляющих государственную тайну
- Статья 26 закона о гостайне. Ответственность за нарушение законодательства Российской Федерации о государственной тайне
- Раздел X. Преступления против государственной власти
- Глава 29. Преступления против основ конституционного строя и безопасности государства
- Глава III. Основы правового положения государственного служащего
- Глава IV. Прохождение государственной службы
- Вопрос 37.2. Модели структуры и основные задачи служб безопасности коммерческих организаций Основные задачи службы безопасности коммерческих предприятий.
- Структура служб безопасности коммерческих предприятий.
- Научная теория безопасности предприятия
- Политика и стратегия безопасности
- Средства и методы обеспечения безопасности
- Концепция безопасности предприятия
- Вопрос 40.2. Порядок доступа к государственной тайне физических лиц, порядок доступа к работам со сведениями, составляющими государственную тайну юридических лиц
- Порядок доступа к государственной тайне физических и юридических лиц. Статья 21. Допуск должностных лиц и граждан к государственной тайне
- Статья 21.1. Особый порядок допуска к государственной тайне
- Статья 22. Основания для отказа должностному лицу или гражданину в допуске к государственной тайне
- Статья 23. Условия прекращения допуска должностного лица или гражданина к государственной тайне
- Статья 24. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне
- Статья 25. Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну
- Статья 10. Ограничение прав собственности предприятий, учреждений, организаций и граждан Российской Федерации на информацию в связи с ее засекречиванием
- Статья 15. Исполнение запросов граждан, предприятий, учреждений, организаций и органов государственной власти Российской Федерации о рассекречивании сведений
- Статья 16. Взаимная передача сведений, составляющих государственную тайну, органами государственной власти, предприятиями, учреждениями и организациями
- Статья 17. Передача сведений, составляющих государственную тайну, в связи с выполнением совместных и других работ
- Статья 18. Передача сведений, составляющих государственную тайну, другим государствам
- Статья 19. Защита сведений, составляющих государственную тайну, при изменении функций субъектов правоотношений
- Статья 27. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну
- Статья 2. Правовая основа частной детективной и охранной деятельности
- Статья 3. Виды частной детективной и охранной деятельности
- Вопрос 47.2. Порядок отнесения сведений к государственной тайне, их засекречивание и рассекречивание
- Порядок отнесения сведений к государственной тайне, их засекречивание и рассекречивание. Статья 6. Принципы отнесения сведений к государственной тайне и засекречивания этих сведений
- Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию
- Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений
- Статья 9. Порядок отнесения сведений к государственной тайне
- Статья 11. Порядок засекречивания сведений и их носителей
- Статья 12. Реквизиты носителей сведений, составляющих государственную тайну
- Статья 13. Порядок рассекречивания сведений
- Статья 14. Порядок рассекречивания носителей сведений, составляющих государственную тайну
- Вопрос 51.2. Краткая уголовно-правовая характеристика преступлений, связанных с компьютерной информацией Краткая уголовно-правовая характеристика преступлений, связанных с компьютерной информацией.
- Противоправные действия в отношении компьютерной информации
- Способы совершения преступлений
- Вопрос 54.2. Общая характеристика правовых систем ограничения в доступе к информации
- Право на доступ к информации в российском законодательстве Конституция рф
- Закон рф «Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-фз
- Принципы информационной открытости
- Правовые ограничения доступа к информации Закон рф «Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-фз
- Закон рф «Об оперативно-розыскной деятельности» от 05.07.1995 г. N 144-фз:
- Государственная тайна
- Коммерческая тайна
- Криптографические методы защиты информации Вопрос 4.2. Стандарт цифровой подписи России (гост р 34.10).
- Гост р. 34 10-01
- Процедура подписи сообщения включает в себя следующие этапы:
- Процедура проверки :
- Понятие о криптографическом протоколе
- Протоколы с посредником
- Примеры протоколов Обмен ключами
- Обмен ключами с помощью симметричной криптографии
- Удостоверение подлинности
- Удостоверение подлинности с помощью однонаправленных функций
- Вскрытия с помощью словаря и "соль"
- Вопрос 11.2. Стандарты цифровой подписи сша (dsa)
- Стандарты цифровой подписи сша (dsa)
- Генерация ключей dsa
- Подпись сообщения
- Проверка подписи
- Доказательство корректности подписи
- Активные и пассивные атаки на шифрсистемы.
- Задачи криптоаналитика
- Совершенно стойкие шифры.
- Практическая стойкость шифров и ее основные характеристики (трудоемкость и надежность дешифрования, количество необходимого материала).
- Сложность дешифрования.
- Безопасность криптосистемы
- Расстояние уникальности
- Вопрос 18.2. Открытое распределение ключей. Схема Меркля, Диффи - Хеллмана, Месси - Омуры Открытое распределение ключей в схемах Диффи-Хеллмана
- Криптосистема Месси-Омуры
- Сложность
- Особенности
- Особенности
- Требования к гамме, вырабатываемой генератором синхронной поточной системы (периоды, линейная сложность, статистические свойства)
- Статистические свойства последовательностей. Постулаты Голомба
- Вопрос 25.2 Схемы шифрования и цифровой подписи Эль Гамаля и их модификации Схемы шифрования с открытым ключом и цифровой подписи. Основные принципы
- Схемы открытого шифрования Эль Гамаля
- Схемы цифровой подписи с использованием дискретных логарифмов
- Схемы цифровой подписи с использованием дискретных логарифмов
- Вопрос 27.1. Итерационные системы блочного шифрования. Особенности строения и ключевой системы шифров des, gost. Режимы шифрования. Аутентификация сообщений с использованием блочного шифра
- Сети Фейстеля
- Начальная перестановка
- Преобразования ключа
- Перестановка с расширением
- Подстановка с помощью s-блоков
- Перестановка с помощью p-блоков
- Заключительная перестановка
- Расшифрирование des
- Режимы des
- Безопасность des Слабые ключи
- Описание гост
- Криптоанализ гост
- Режимы гост
- Криптографические режимы
- Режим электронной шифровальной книги (ecb)
- Свойства
- Режим сцепления блоков шифра (cbc)
- Вектор инициализации
- Свойства
- Вопросы безопасности
- Режим обратной связи по шифру (cfb)
- Вектор инициализации
- Свойства
- Режим выходной обратной связи или гаммирования (ofb)
- Ofb и проблемы безопасности
- Режим счетчика
- Аутентификация сообщений
- Вопрос 34.1. Итерационные системы блочного шифрования. Особенности строения и ключевой системы шифров idea. Режимы шифрования. Аутентификация сообщений с использованием блочного шифра
- Сети Фейстеля
- Обзор idea
- Описание idea
- Скорость idea
- Криптоанализ idea
- Криптографические режимы
- Режим электронной шифровальной книги (ecb)
- Свойства
- Режим сцепления блоков шифра (cbc)
- Вектор инициализации
- Свойства
- Вопросы безопасности
- Режим обратной связи по шифру (cfb)
- Вектор инициализации
- Свойства
- Режим выходной обратной связи или гаммирования (ofb)
- Ofb и проблемы безопасности
- Режим счетчика
- Аутентификация сообщений
- Вопрос 41.1. Итерационные системы блочного шифрования. Особенности строения и ключевой системы шифров Rijndael. Режимы шифрования. Аутентификация сообщений с использованием блочного шифра
- Сети Фейстеля
- Победитель aes – шифр Rijndael
- Криптографические режимы
- Режим электронной шифровальной книги (ecb)
- Свойства
- Режим сцепления блоков шифра (cbc)
- Вектор инициализации
- Свойства
- Вопросы безопасности
- Режим обратной связи по шифру (cfb)
- Вектор инициализации
- Свойства
- Режим выходной обратной связи или гаммирования (ofb)
- Ofb и проблемы безопасности
- Режим счетчика
- Аутентификация сообщений
- Теперь рассмотрим несколько примеров применения цифровой подписи вслепую Электронные платежные системы
- Электронное тайное голосование.
- Вопрос 39.2 Схемы шифрования и цифровой подписи Рабина
- Вопрос 46.2. Схемы шифрования и цифровой подписи rsa. Схемы шифрования с открытым ключом и цифровой подписи. Основные принципы
- Схемы шифрования и подписи rsa
- Вопрос 53.2 Однонаправленные функции и однонаправленные функции с секретом, их применение
- Фильтрующие генераторы
- Комбинирующий генератор
- Схемы с неравномерным движением регистров
- Генераторы «стоп-вперед»
- Генераторы с «перемежающимся шагом»
- Каскадный генератор
- Сжимающий генератор
- Архитектура ос Unix (ядро, файловая структура, устройства, интерпретатор команд, утилиты)
- Эволюция операционных систем. Поколения операционных систем. Первый период (1945 -1955)
- Второй период (1955 - 1965)
- Третий период (1965 - 1980)
- Четвертый период (1980 - настоящее время)
- Специальные символы shell-операторов
- Специальные символы shell-переменных
- Команды System V Bourne Shell
- Определение ос
- Стратегии проектирования ос.
- Основные задачи, решаемые ос
- Порождение процессов
- Планирование процессов
- Атрибуты процесса
- Сигналы
- Команды управления процессами
- Определение процесса
- Дескриптор процесса. Контекст процесса
- (Более подробно о контексте)
- Состояния процесса
- /Etc/passwd - файл паролей
- /Etc/shadow - зашифрованный файл паролей
- /Etc/group - файл групп пользователей
- Переключение между пользователями
- Системы пакетной обработки данных
- Тупиковые ситуации
- Предотвращение тупиковых ситуаций
- Линейное упорядочение ресурсов
- Иерархическое упорядочение ресурсов
- Алгоритм банкира
- Вопрос 33.1. Уровни выполнения в ос Unix. Процесс init (/etc/inittab). Переходы между уровнями Уровни выполнения
- Процесс Init.
- Описание файла /etc/inittab.
- Вопрос 40.1. Права доступа на файлы и директории в ос Unix. Команды смен прав доступа
- Вопрос 47.1. Расширенные атрибуты файлов и директорий (setuid, setguid, sticky). Списки прав доступа на файлы (acl). Алгоритмы планирования процессов
- Алгоритмы планирования процессов
- Алгоритмы планирования процессов
- Вопрос 54.1. Файловая система ufs. Монтирование файловых систем в ос Unix (/etc/vfstab). Команды монтирования. Классификация операционных систем
- Поддержка многозадачности
- Поддержка многопользовательского режима.
- Вытесняющая и невытесняющая многозадачность.
- Поддержка многонитевости
- Многопроцессорная обработка
- Особенности аппаратных платформ
- Особенности областей использования
- Особенности методов построения
- Мониторы
- Ревизоры
- Методика применения средств борьбы с вирусами
- Методы обнаружения и удаления компьютерных вирусов
- Обнаружение вирусов. Обнаружение загрузочного вируса.
- Обнаружение файлового вируса.
- Обнаружение макровируса.
- Обнаружение резидентного вируса.
- Вопрос 13.2. Возможные воздействия вредоносных компьютерных программ на вычислительную систему и их последствия
- Деструктивные возможности вирусов
- 1. По среде обитания вирусы можно разделить на:
- 2. По способу заражения среды обитания можно выделить:
- 3. По деструктивным возможностям можно выделить:
- 4. По особенностям алгоритма работы можно выделить:
- Вопрос 27.2. Разновидности вредоносных компьютерных программ и их особенности
- Базы данных Вопрос 34.2. Идентификация и аутентификация объектов баз данных, языковые средства разграничения доступа, концепция и реализация механизма ролей
- 1. Введение
- 2. Идентификация и проверка подлинности пользователей
- 3. Управление доступом
- 3.1. Основные понятия
- 3.2. Основные категории пользователей
- 3.3. Виды привилегий
- 3.3.1. Привилегии безопасности
- 3.3.2. Привилегии доступа
- 3.3.3. Получение информации о привилегиях
- 3.4. Использование представлений для управления доступом
- 3.5. Иерархия прав доступа
- 3.7. Метки безопасности и принудительный контроль доступа
- Вопрос 41.2. Организация аудита событий в системах управления базами данных, средства контроля целостности информации
- 1. Введение
- 2. Поддержание целостности данных в субд
- 2.1. Ограничения
- 2.2. Правила
- 3. Аудит
- Вопрос 48.2 задачи и средства администратора безопасности баз данных
- Задачи абд
- Средства администратора безопасности баз данных
- Вопрос 55.2. Системы управления базами данных: классификация, принципы организации, достоинства и недостатки. Принципы обеспечения безопасности баз данных различного типа Классификация субд
- Система безопасности Идентификация пользователя
- Управление доступом
- Привилегии доступа
- Сети Вопрос 7.2. Угрозы и защита архитектуры клиент/сервер. Угрозы, уязвимости и защита хостов сети Защита архитектуры клиент/сервер
- Защита хостов интрасети
- Модели доверия
- Вопрос 21.2. Удаленные атаки на сети, их классификация и принципы реализации. Классические и современные методы взлома интрасетей Удаленные атаки
- Классификация атак
- Типовые атаки
- Классические методы взлома интрасетей Подбор пароля обычным методом.
- Подбор пароля методом «грубой силы».
- Подбор пароля методом «зашифровать и сравнить».
- Социальная инженерия.
- Современные методы взлома интрасетей
- Перехват данных Перехват данных при их перемещении по каналам связи
- Перехват ввода с клавиатуры
- Мониторинг в системе
- Подмена системных утилит
- Нападения с использованием сетевых протоколов
- "Летучая смерть"
- Спуффинг
- Нападения на основе протокола iсмр
- Другие примеры современных атак злоумышленников
- Вопрос 28.2. Понятие интрасети как примера открытой системы и задачи ее защиты. Причины уязвимости интрасетей. Информационные и сетевые ресурсы открытых систем как объекты атак Понятие интрасети
- Защита интрасети
- Уязвимости
- Информационные и сетевые ресурсы открытых систем как объекты атак
- Вопрос 35.2 Структура кадра Frame relay. Интерфейс доступа в сеть Frame Relay. Структура кадра Frame relay
- Интерфейс доступа в сеть Frame Relay
- Вопрос 56.2. Особенности протокола х.25. Механизмы обеспечения безошибочной передачи данных Особенности протокола х.25
- Механизмы обеспечения безошибочной передачи данных
- Пакет «запрос вызова»
- Вопрос 49.2 Структура информационного кадра hdlc
- Технические средства и методы защиты информации Вопрос 3.2. Основные методы и средства инженерной защиты и технической охраны объектов: подсистемы охраны и их интеграция в единую систему
- Подсистема инженерной защиты
- Подсистема оповещения
- Подсистема наблюдения
- Подсистема нейтрализации угроз
- Подсистема управления
- Подсистема инженерной защиты
- Подсистема оповещения
- Подсистема наблюдения
- Подсистема нейтрализации угроз
- Подсистема управления
- Вопрос 24.2. Основные методы и средства защиты информации в каналах связи.
- Вопрос 31.2. Основные методы и средства защиты информации от утечки по техническим каналам.
- Вопрос 38.2. Классификация технических каналов утечки информации (определение ткуи, виды ткуи их сравнительные характеристики).
- Вопрос 45.2. Концепция инженерно-технической защиты информации (итзи): базовые принципы и основные направления итзи.