Що відноситься до навмисних погроз.

БИКС

Що відноситься до навмисних погроз.

К умышленным угрозам относят те, которые намеренно причиняют ущерб системе либо пользователю. Умышленные угрозы делятся еще на две категории: активные и пассивные.

Пассивные угрозы направлены на использование информационных ресурсов, не оказывая влияние на их функционирование: ошибки в работе аппаратуры, ошибки обработки информации. Активные же угрозы, напротив оказывают воздействие на функционирование системы, при помощи программных и программно-технических средств.

2. Визначення механізм захисту, безпека ОС. Особливості, які дозволяють визначити питання забезпечення безпеки ОС.

Механизмы защиты операционных систем

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

– управление всеми ресурсами системы;

– наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС;

– обеспечение интерфейса пользователя с ресурсами системы;

– размеры и сложность ОС.

Що відноситься до безпосередніх каналів витоку інформації.

К непосредственным каналам утечки, не требующим изменения элементов КС,

относятся:

• хищение носителей информации;

• сбор производственных отходов с информацией (бумажных и

магнитных носителей);

• намеренное копирование файлов других пользователей КС;

• чтение остаточной информации после выполнения заданий других

пользователей (областей оперативной памяти, удаленных файлов,

ошибочно сохраненных временных файлов);

• копирование носителей информации;

• намеренное использование для несанкционированного доступа к

информации незаблокированных терминалов других пользователей КС;

• маскировка под других пользователей путем похищения их

идентифицирующей информации (паролей, карт и т.п.);

• обход средств разграничения доступа к информационным ресурсам

вследствие недостатков в их программном обеспечении и др.

• К непосредственным каналам утечки, предполагающим изменение

элементов КС и ее структуры, относятся:

• незаконное подключение специальной регистрирующей аппаратуры к

устройствам или линиям связи (пассивное для фиксации и сохранения

передаваемых данных или активное для их уничтожения, искажения или

подмены);

• злоумышленное изменение программ для выполнения ими

несанкционированного копирования информации при ее обработке;

• злоумышленный вывод из строя средств защиты информации..

Що собою представляє біометрична автентифікація користувача.

У чому полягає сутність методу, заснованого на використанні самогенеруємих кодів.

Сущность метода заключается в том, что исполняемые коды команд программы получаются самой программой в процессе ее выполнения. Данный метод показал свою высокую эффективность, но он достаточно сложен в реализации.

Основные защитные механизмы ОС семейства UNIX .

Защита ОС семейства Unix в общем случае базируется на трех основных механизмах:

1) идентификации и аутентификация пользователя при входе в систему;

2) разграничении прав доступа к файловой системе, в основе которого лежит реализация дискреционной модели доступа;

3) аудит, т.е. регистрация событий.

Функції безпеки Windows NT.

Перечислим функции безопасности Windows NT:

1. Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory (служба каталогов Active Directory обеспечивает тиражирование и доступность учетной информации на многих контроллерах домена, а также позволяет удаленное администрирование).

2. В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам).

3. Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойствам пользовательских объектов).

4. Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически).

5. Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управление доверительными отношениями между доменами упрощено в пределах всего дерева доменов).

6. В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета.

7. Протоколы защищенных каналов (SSL 3.0 (Secure Sockets Layer) /TLS) обеспечивают поддержку надежной аутентификации клиента (осуществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT).

8. Дополнительно к регистрации посредством ввода пароля может поддерживаться аутентификация с использованием смарт-карт.

Протоколы.

Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.

Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM.

Kerberos .

Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos – это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.

Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:

– быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;

– взаимодействие с не-Windows системами, использующими протокол Kerberos;

– сквозную аутентификацию для распределенных приложений;

– транзитивные доверительные отношения между доменами.

Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей – KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.