- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Проблема безопасности в сетях презентация
Содержание
- 1. Проблема безопасности в сетях
- 2. ОСНОВНЫЕ ПОНЯТИЯ БЕЗОПАСНОСТИ МИОЭС Компьютерные сети
- 3. Конфиденциальность (confidentiality) — гарантия того, что секретные
- 4. Доступность (availability) — гарантия того, что авторизованные
- 5. Целостность (integrity) — гарантия сохранности данными правильных
- 6. КЛАССИФИКАЦИЯ УГРОЗ МИОЭС Компьютерные сети
- 7. Незаконное проникновение может быть реализовано через уязвимые
- 8. Разрушение системы с помощью программ-вирусов Отличительной особенностью
- 9. Нелегальные действия легального пользователя — этот тип
- 10. «Подслушивание» впутрисетевого трафика — это незаконный мониторинг
- 11. ВЫБОР СТРАТЕГИИ ЗАЩИТЫ ДАННЫХ МИОЭС Компьютерные сети
- 12. Системный подход к обеспечению безопасности
- 13. Морально-этические средства К морально-этическим средствам защиты можно
- 14. Законодательные средства защиты — это законы, постановления
- 15. Административные меры — это действия, предпринимаемые руководством
- 16. Психологические меры безопасности могут играть значительную роль
- 17. Физические средства К физическим средствам защиты относятся
- 18. Технические средства информационной безопасности реализуются программным и
- 19. Принципы политики безопасности
- 20. Минимальный уровень привилегий Одним из таких принципов
- 21. Комплексный подход Следующий принцип — использование комплексного
- 22. Баланс надежности защиты всех уровней Используя многоуровневую
- 23. Максимальная защита Следующим универсальным принципом является использование
- 24. Принцип единого контрольно-пропускного пункта — весь
- 25. Принцип баланса Принцип баланса возможного ущерба от
- 26. Политика доступа к сети
- 27. Политика доступа к сетевым службам Интернета включает
- 28. Политика доступа к ресурсам внутренней сети компании
- 29. Методы обеспечения безопасности
- 30. Шифрация (Шифрование) МИОЭС Компьютерные сети
- 31. Шифрация (Шифрование) Шифрование — это краеугольный камень
- 32. Криптосистема Пара процедур — шифрование и дешифрирование
- 33. Аутентификация МИОЭС Компьютерные сети
- 34. Аутентификация (authentication) предотвращает доступ к сети нежелательных
- 35. Аутентификация Аутентификацию следует отличать от идентификации. Идентификаторы
- 36. Аутентификация В процедуре аутентификации участвуют две стороны:
- 37. Аутентификация В качестве доказательства аутентичности используются самые
- 38. Авторизация доступа МИОЭС Компьютерные сети
- 39. Авторизация доступа Средства авторизации (authorization) контролируют доступ
- 40. Избирательные права доступа реализуются в операционных системах
- 41. Мандатный подход к определению прав доступа заключается
- 42. Аудит (auditing) — фиксация в системном журнале
- 43. Технология защищенного канала призвана обеспечивать безопасность передачи
- 44. Технология защищенного канала Защищенный канал подразумевает выполнение
- 45. Технология защищенного канала Совокупность защищенных каналов, созданных
- 46. Два способа образования защищенного канала МИОЭС Компьютерные сети
- 47. Существует два способа образования VPN: с
- 48. МЕЖСЕТЕВЫЕ ЭКРАНЫ МИОЭС Компьютерные сети
- 49. Межсетевые экраны Межсетевые экраны (firewall, брандмауэр) делают
- 50. Межсетевые экраны Они могут быть использованы для
- 51. Принципы работы межсетевых экранов Существует два основных
- 52. Принципы работы межсетевых экранов Поэтому включающий межсетевой
- 53. Принципы работы межсетевых экранов Безопасность может быть
- 54. ПРАВОВАЯ РЕГЛАМЕНТАЦИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ МИОЭС Компьютерные сети
- 55. Правовая регламентация деятельности в области защиты информации
- 56. Регламентация может выражаться в следующей форме: обязательное
- 57. Основные документы Лицензия является официальным документом, который разрешает
- 58. Виды деятельности, требующие лицензии: В области шифровальных
- 59. Виды деятельности, на которые выдаются разрешения экспорт
- 60. Виды деятельности, на которые не нужны лицензии
- 61. Спасибо за внимание! МИОЭС Компьютерные сети
ОСНОВНЫЕ ПОНЯТИЯ БЕЗОПАСНОСТИ МИОЭС Компьютерные сети
Слайд 3Конфиденциальность
(confidentiality) — гарантия того, что секретные данные будут доступны только тем
пользователям, которым этот доступ разрешен
(такие пользователи называются авторизованными).
МИОЭС
Компьютерные сети
Слайд 4Доступность
(availability) — гарантия того, что авторизованные пользователи всегда получат доступ к
данным.
МИОЭС
Компьютерные сети
Слайд 5Целостность
(integrity) — гарантия сохранности данными правильных значений, которая обеспечивается запретом для
неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать
данные.
МИОЭС
Компьютерные сети
Слайд 7Незаконное проникновение
может быть реализовано через уязвимые места в системе безопасности с
использованием недокументированных возможностей операционной системы.
Использование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.
Еще один способ получения пароля — это внедрение в чужой компьютер «троянского коня». В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.
Использование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.
Еще один способ получения пароля — это внедрение в чужой компьютер «троянского коня». В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.
МИОЭС
Компьютерные сети
Слайд 8Разрушение системы с помощью программ-вирусов
Отличительной особенностью таких программ является способность «заражать»
другие файлы, внедряя в них свои собственные копии.
Чаще всего вирусы поражают исполняемые файлы.
Когда такой исполняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус.
Вирусы могут привести к повреждению или даже полной утрате информации.
Чаще всего вирусы поражают исполняемые файлы.
Когда такой исполняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус.
Вирусы могут привести к повреждению или даже полной утрате информации.
МИОЭС
Компьютерные сети
Слайд 9Нелегальные действия легального пользователя
— этот тип угроз исходит от легальных пользователей
сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей.
Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам.
Однако на предприятии может быть информация, доступ к которой администратору сети запрещен.
Нелегальные действия может попытаться предпринять и обычный пользователь сети.
Существующая статистика говорит о том, что едва ли не половина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.
Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам.
Однако на предприятии может быть информация, доступ к которой администратору сети запрещен.
Нелегальные действия может попытаться предпринять и обычный пользователь сети.
Существующая статистика говорит о том, что едва ли не половина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.
МИОЭС
Компьютерные сети
Слайд 10«Подслушивание» впутрисетевого трафика
— это незаконный мониторинг сети, захват и анализ сетевых
сообщений.
Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно тривиальной.
Еще более усложняется защита от этого тина угроз в сетях с глобальными связями.
Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи.
Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зависит от того, используются собственные, арендуемые каналы или услуги общедоступных территориальных сетей, подобных Интернету.
Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно тривиальной.
Еще более усложняется защита от этого тина угроз в сетях с глобальными связями.
Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи.
Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зависит от того, используются собственные, арендуемые каналы или услуги общедоступных территориальных сетей, подобных Интернету.
МИОЭС
Компьютерные сети
Слайд 13Морально-этические средства
К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились
по мере распространения вычислительных средств в той или иной стране.
Например, подобно тому как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.
Например, подобно тому как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.
МИОЭС
Компьютерные сети
Слайд 14Законодательные средства защиты
— это законы, постановления правительства и указы президента, нормативные
акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
МИОЭС
Компьютерные сети
Слайд 15Административные меры
— это действия, предпринимаемые руководством предприятия или организации для обеспечения
информационной безопасности.
К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере.
К административным мерам также относятся правила приобретения предприятием средств безопасности.
К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере.
К административным мерам также относятся правила приобретения предприятием средств безопасности.
МИОЭС
Компьютерные сети
Слайд 16Психологические меры
безопасности могут играть значительную роль в укреплении безопасности системы.
Пренебрежение
учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты.
Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора).
В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль.
Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора).
В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль.
МИОЭС
Компьютерные сети
Слайд 17Физические средства
К физическим средствам защиты относятся экранирование помещений для защиты от
излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т. д. и т. п.
МИОЭС
Компьютерные сети
Слайд 18Технические средства
информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей.
Такие
средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого трафика и много других задач.
Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.
Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.
МИОЭС
Компьютерные сети
Слайд 20Минимальный уровень привилегий
Одним из таких принципов является предоставление каждому сотруднику предприятия
того минимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.
Ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.
Ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.
МИОЭС
Компьютерные сети
Слайд 21Комплексный подход
Следующий принцип — использование комплексного подхода к обеспечению безопасности.
Чтобы
затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры.
административный запрет па работу в воскресные дни ставит потенциального нарушителя под визуальный контроль администратора и других пользователей,
физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером,
строенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия).
административный запрет па работу в воскресные дни ставит потенциального нарушителя под визуальный контроль администратора и других пользователей,
физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером,
строенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия).
МИОЭС
Компьютерные сети
Слайд 22Баланс надежности защиты всех уровней
Используя многоуровневую систему защиты, важно обеспечивать баланс
надежности защиты всех уровней.
Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой.
Если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине, то все достоинства средств защиты файловой системы сводятся на нет.
Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на брандмауэр, можно считать выброшенными на ветер.
Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой.
Если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине, то все достоинства средств защиты файловой системы сводятся на нет.
Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на брандмауэр, можно считать выброшенными на ветер.
МИОЭС
Компьютерные сети
Слайд 23Максимальная защита
Следующим универсальным принципом является использование средств, которые при отказе переходят
в состояние максимальной защиты.
Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию.
А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть.
Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию.
А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть.
МИОЭС
Компьютерные сети
Слайд 24Принцип единого
контрольно-пропускного пункта
— весь входящий во внутреннюю сеть и выходящий
во внешнюю сеть трафик должен проходить через единственный узел сети, например через межсетевой экран (firewall).
Только это позволяет в достаточной степени контролировать трафик.
В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети но доступу к серверам внешней сети и обратно — права внешних клиентов по доступу к ресурсам внутренней сети.
Только это позволяет в достаточной степени контролировать трафик.
В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети но доступу к серверам внешней сети и обратно — права внешних клиентов по доступу к ресурсам внутренней сети.
МИОЭС
Компьютерные сети
Слайд 25Принцип баланса
Принцип баланса возможного ущерба от реализации угрозы и затрат на
ее предотвращение.
Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку является результатом компромисса между возможными рисками и возможными затратами.
Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных.
Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же можно пойти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.
Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку является результатом компромисса между возможными рисками и возможными затратами.
Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных.
Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же можно пойти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.
МИОЭС
Компьютерные сети
Слайд 27Политика доступа к сетевым службам Интернета
включает следующие пункты:
Определение списка служб Интернета,
к которым пользователи внутренней сети должны иметь ограниченный доступ.
Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями.
Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают только для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.
Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями.
Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают только для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.
МИОЭС
Компьютерные сети
Слайд 28Политика доступа к ресурсам внутренней сети
компании может быть выражена в одном
из двух принципов:
запрещать все, что не разрешено в явной форме;
разрешать все, что не запрещено в явной форме.
запрещать все, что не разрешено в явной форме;
разрешать все, что не запрещено в явной форме.
МИОЭС
Компьютерные сети
Слайд 31Шифрация (Шифрование)
Шифрование — это краеугольный камень всех служб информационной безопасности, будь
то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.
МИОЭС
Компьютерные сети
Слайд 32Криптосистема
Пара процедур — шифрование и дешифрирование — называется криптосистемой.
В современных алгоритмах
шифрования предусматривается наличие параметра — секретного ключа.
Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.
Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.
МИОЭС
Компьютерные сети
Слайд 34Аутентификация
(authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для
легальных пользователей.
Термин «аутентификация» в переводе с латинского означает «установление подлинности».
Термин «аутентификация» в переводе с латинского означает «установление подлинности».
МИОЭС
Компьютерные сети
Слайд 35Аутентификация
Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с
теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности.
Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
МИОЭС
Компьютерные сети
Слайд 36Аутентификация
В процедуре аутентификации участвуют две стороны:
одна сторона доказывает свою аутентичность,
предъявляя некоторые доказательства,
а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение.
а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение.
МИОЭС
Компьютерные сети
Слайд 37Аутентификация
В качестве доказательства аутентичности используются самые разнообразные приемы:
аутентифицируемый может продемонстрировать знание
некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);
аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
МИОЭС
Компьютерные сети
Слайд 39Авторизация доступа
Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы,
предоставляя каждому из них именно те права, которые ему были определены администратором.
Два класса доступа:
избирательный доступ;
мандатный доступ.
Два класса доступа:
избирательный доступ;
мандатный доступ.
МИОЭС
Компьютерные сети
Слайд 40Избирательные права доступа
реализуются в операционных системах универсального назначения.
В наиболее распространенном
варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами.
МИОЭС
Компьютерные сети
Слайд 41Мандатный подход
к определению прав доступа заключается в том, что вся информация
делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации.
Такой подход используется в известном делении информации на информацию для служебного пользования, «секретно», «совершенно секретно».
Такой подход используется в известном делении информации на информацию для служебного пользования, «секретно», «совершенно секретно».
МИОЭС
Компьютерные сети
Слайд 42Аудит
(auditing) — фиксация в системном журнале событий, связанных с доступом к
защищаемым системным ресурсам.
Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
МИОЭС
Компьютерные сети
Слайд 43Технология защищенного канала
призвана обеспечивать безопасность передачи данных по открытой транспортной сети,
например по Интернету.
МИОЭС
Компьютерные сети
Слайд 44Технология защищенного канала
Защищенный канал подразумевает выполнение трех основных функций:
взаимную аутентификацию абонентов
при установлении соединения, которая может быть выполнена, например, путем обмена паролями;
защиту передаваемых по каналу сообщений от несанкционированного доступа, например, путем шифрования;
подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.
защиту передаваемых по каналу сообщений от несанкционированного доступа, например, путем шифрования;
подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.
МИОЭС
Компьютерные сети
Слайд 45Технология защищенного канала
Совокупность защищенных каналов, созданных предприятием в публичной сети для
объединения своих филиалов, часто называют виртуальной частной сетью (Virtual Private Network, VPN).
МИОЭС
Компьютерные сети
Слайд 47
Существует два способа образования VPN:
с помощью специального программного обеспечения конечных узлов;
с
помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.
МИОЭС
Компьютерные сети
Слайд 49Межсетевые экраны
Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего
трафика, идущего через вашу систему.
Межсетевой экран использует один или более наборов «правил» для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его.
Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.
Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети.
Межсетевой экран использует один или более наборов «правил» для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его.
Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.
Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети.
МИОЭС
Компьютерные сети
Слайд 50Межсетевые экраны
Они могут быть использованы для выполнения одной или более нижеперечисленных
задач:
Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.
Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.
Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).
Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.
Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.
Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).
МИОЭС
Компьютерные сети
Слайд 51Принципы работы межсетевых экранов
Существует два основных способа создания наборов правил межсетевого
экрана: «включающий» и «исключающий».
Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил.
Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.
Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика.
Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил.
Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.
Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика.
МИОЭС
Компьютерные сети
Слайд 52Принципы работы межсетевых экранов
Поэтому включающий межсетевой экран является лучшим выбором для
систем, предоставляющих сервисы в сети Интернет.
Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть.
Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи.
Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть.
Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи.
Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
МИОЭС
Компьютерные сети
Слайд 53Принципы работы межсетевых экранов
Безопасность может быть дополнительно повышена с использованием «межсетевого экрана
с сохранением состояния».
Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений.
Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро.
Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.
Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений.
Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро.
Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.
МИОЭС
Компьютерные сети
Слайд 55Правовая регламентация
деятельности в области защиты информации имеет целью защиту информации, составляющей
государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
МИОЭС
Компьютерные сети
Слайд 56Регламентация может выражаться в следующей форме:
обязательное лицензирование некоторых видов деятельности;
необходимость иметь
разрешение на некоторые виды деятельности;
требование сертификации некоторых видов продуктов.
требование сертификации некоторых видов продуктов.
МИОЭС
Компьютерные сети
Слайд 57Основные документы
Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного
вида деятельности в течение установленного срока.
Разрешение выдается на некоторые виды разовых работ, независимо имеется ли у данной организации лицензия. Например, организация которая имеет лицензию на разработку шифровальных средств, должна получить разрешение на их экспорт.
Сертификат - официальный документ, удостоверяющий, что продукт прошел тестирование и соответствует требованиям нормативных документов.
Разрешение выдается на некоторые виды разовых работ, независимо имеется ли у данной организации лицензия. Например, организация которая имеет лицензию на разработку шифровальных средств, должна получить разрешение на их экспорт.
Сертификат - официальный документ, удостоверяющий, что продукт прошел тестирование и соответствует требованиям нормативных документов.
МИОЭС
Компьютерные сети
Слайд 58Виды деятельности, требующие лицензии:
В области шифровальных средств:
разработка;
производство;
монтаж, наладка и установка;
ремонт и
сервисное обслуживание;
реализация;
предоставление услуг по шифрованию;
предоставление консультационных услуг;
эксплуатация.
Те же виды деятельности, относящиеся к системам, использующим шифровальные средства и предназначенным для телекоммуникаций. Лицензии должны получать все предприятия и организации, независимо от их ведомственной принадлежности и прав собственности.
реализация;
предоставление услуг по шифрованию;
предоставление консультационных услуг;
эксплуатация.
Те же виды деятельности, относящиеся к системам, использующим шифровальные средства и предназначенным для телекоммуникаций. Лицензии должны получать все предприятия и организации, независимо от их ведомственной принадлежности и прав собственности.
МИОЭС
Компьютерные сети
Слайд 59Виды деятельности, на которые выдаются разрешения
экспорт и импорт шифровальных средств, предназначенных
для использования при обработке, хранении и передаче информации по каналам связи;
экспорт и импорт закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций;
экспорт услуг в области шифрования;
открытие учебных специальностей, курсов для организаций, имеющих лицензию на работу по подготовке кадров;
экспорт и импорт закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций;
экспорт услуг в области шифрования;
открытие учебных специальностей, курсов для организаций, имеющих лицензию на работу по подготовке кадров;
МИОЭС
Компьютерные сети
Слайд 60Виды деятельности, на которые не нужны лицензии и разрешения
эксплуатация шифровальных средств
физическими лицами и негосударственными организациями для защиты информации, не составляющей государственную тайну, во внутренних сетях без выхода в сети общего пользования или для связи с зарубежными партнерами;
выявление электронных устройств перехвата информации в помещениях и устройствах негосударственных предприятий, если это не связано с обработкой информации, составляющей государственную тайну;
издательская, рекламная и выставочная деятельность.
выявление электронных устройств перехвата информации в помещениях и устройствах негосударственных предприятий, если это не связано с обработкой информации, составляющей государственную тайну;
издательская, рекламная и выставочная деятельность.
МИОЭС
Компьютерные сети
