Курс лекций «Проблемы безопасности в информационных технологиях» - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
Похожие работы
Название работы Кол-во страниц Размер
Курс лекций по русской истории «Полный курс лекций по русской истории» 50 11595.2kb.
Курс лекций по дисциплине : «Компьютерный практикум» для студентов... 11 1021.16kb.
Курс лекций Красноярск, 2007 Сенашов, В. И 7 947.09kb.
Курс лекций москва издательство "юридическая литература" 22 6042.44kb.
Курс лекций по основам безопасности жизнедеятельности для студентов... 13 2358.68kb.
Курс лекций Харьков хнагх 2004 Ю. А. Фатеев. Логика: Краткий курс... 4 644.17kb.
Курс лекций по дисциплине Общая энергетика для специальностей 12 2613.76kb.
Курс лекций по истории политических и правовых учений подготовлен... 43 7398.12kb.
Курс лекций Москва «Альтаир» 2010 (075) ббк 20. 1 Я 7 23 4212.5kb.
Технологии защиты информации в сети Курс лекций 11 1797.46kb.
Актуальные проблемы национальной безопасности и проблемы разоружения 1 47.22kb.
Программа курса Стандарт 030401 по направлению 1 264.8kb.
Направления изучения представлений о справедливости 1 202.17kb.

Курс лекций «Проблемы безопасности в информационных технологиях» - страница №1/44



МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Физический факультет

Кафедра физико-технической информатики

ПРОБЛЕМЫ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

(курс лекций)

Новосибирск

2012


Представлен курс лекций «Проблемы безопасности в информационных технологиях», читаемый магистрантам физического факультета НГУ. Лекции могут быть использованы при обучении студентов других технических факультетов.

Цель представленного материала − попытка охватить по возможности все аспекты современных представлений об информационной безопасности, как юридически-правовые, так и чисто технические. Даются основные понятия и определения защиты информации, анализируются угрозы информационной безопасности в компьютерных системах и сетях. Представлены базовые криптографические методы и алгоритмы, проведён анализ методов защиты информации в распространённых операционных системах – как автономных, так и работающих в сложных сетевых конфигурациях, описан и обоснован комплексный подход к обеспечению безопасности.

Автор

ст. преподаватель кафедры «физико-технической информатики» ФФ НГУ С.В.Дубров


Учебно-методическое пособие подготовлено в рамках реализации Программы развития НИУ-НГУ на 2009–2018 г. г.


 Новосибирский государственный

университет, 2012


ВВедение 5

Глава1. Основные понятия и определения информационной безопасности 9

Основные понятия 9

Составляющие информационной безопасности 10

Угрозы информационной безопасности 12

Классификация возможностей проникновения в систему и утечек информации 17

Аутентификация, авторизация, аудит 18

Неформальная модель нарушителя 21

Политика безопасности 22

Информационной безопасность на уровне государства 23

Глава 2. Криптографические основы безопасности 26

Терминология 26

Алгоритмы традиционного (симметричного) шифрования 28

Сеть Фейстеля 30

Алгоритм DES 33

Алгоритм ГОСТ 28147 42

Разработка Advanced Encryption Standard (AES) 44

Стандарт AES (Rijndael) 49

Криптоанализ 55

Дифференциальный и линейный криптоанализ 56

Криптография с открытым ключом 57

Алгоритм RSA 61

Алгоритм Диффи-Хелмана 64

Хеш-функции 66

Парадокс «дней рождения» 67

Хеш-функция MD5 69

Хеш-функция SHA-1 73

Хеш-функция SHA-2 77

Хеш-функция ГОСТ Р 34.11-94 80

Коды аутентификации сообщений – МАС 83

Инфраструктура публичных ключей 85

Основные компоненты PKI 87

Сертификаты открытых ключей X.509 89

Глава 3. Базовые средства обеспечения безопасности автономных операционных систем 96

Модели управления доступом 98

Мандатное управление доступом (MAC) 98

Модель Белла-ЛаПадула 99

Избирательное управление доступом (DAC) 100

Управление доступом на основе ролей (RBAC) 102

Защита в ОС UNIX 103

Защита в ОС семейства Windows NT 107

Защита файловой системы в ОС Novell Netware 115

Глава 4. Защита ОС в сетевом окружении 120

Безопасность при работе в доменах Windows NT 121

Работа с Active Directory 123

Группы безопасности 125

Алгоритм аутентификации Kerberos 127

Работа с Novell eDir 132

Глава 5. Безопасные сетевые протоколы, работающие на различных уровнях модели OSI 135

Протокол SSL 135

Протокол TLS 141

Протокол SSH 143

Обеспечение безопасности уровня IP – набор протоколов IPSec 149

Протокол AH 152

Протокол ESP 158

Протокол IKE 161

Протоколы канального уровня PPTP, L2TP 165

Виртуальные приватные сети (VPN) 169

Глава 6. Проблемы безопасности некоторых сетевых протоколах «первого» поколения и некоторых базовых «инфраструктурных» протоколов 175

Проблемы протокола FTP 176

Проблемы протокола ARP 178

Проблемы протокола DHCP 181

Проблемы протокола DNS 184

Глава 7. Защита систем в сети, межсетевые экраны, «периметр» сети, персональные МСЭ, IDS/IPS 188

Firewall, брандмауэр, межсетевой экран 188

Персональные МСЭ 195

IDS, IPS 196

Глава 8. Небезопасный протокол сетевого управления SNMP 199

Глава 9. Безопасность беспроводных сетей 205

Протокол WEP 207

Протоколы WPA, WPA2, 802.11i 209

Уязвимости Wi-Fi сетей 212

Глава 10. Безопасность и защита сетевых устройств, работающих на втором уровне модели OSI 214

Атака на таблицы MAC-адресов 215

Атаки на VLAN 217

Атака на протокол STP 219

Стандарт IEEE 802.1X 221

Глава 11. Безопасность в протоколах прикладного уровня, web-технологиях 226

Классификация угроз безопасности Web-приложений 228

Аутентификация (Authentication) 228

Авторизация (Authorization) 230

Атаки на клиентов (Client-side Attacks) 232

Выполнение кода (Command Execution) 234

Разглашение информации (Information Disclosure) 240

Логические атаки (Logical Attacks) 244

Глава 12. Комплексное обеспечение безопасности систем 248

Защита от вредоносных программ (malware, malicious software) 251

Компьютерные вирусы 255

Заключение 260

ВВедение


Сегодня никому не нужно доказывать и обосновывать роль информационных технологий в науке, бизнесе, управлении и т.д. ИТ уже давно не являются какими-то вспомогательными и необязательными элементами, это на сегодня и есть суть, основа очень многих процессов. Электронная коммерция, онлайн услуги, корпоративные информационные системы (КИС), распределённое управление сложными электрофизическими установками, обработка огромных массивов данных – этот далеко не полный перечень и являет собой, собственно, работающие информационные технологии. А электронная почта? Ведь сегодня без этой, такой удобной и привычной формы электронного общения, просто невозможно представить жизнь практически любого человека, компании, организации. Если без youtube, наверное, ещё как-то можно прожить, то без e-mail – уже практически нереально.

Некоторые хрестоматийные примеры о роли ИТ в современном мире: все без исключения фирмы – юридические, консультативные, посреднические и т.д., – пострадавшие в результате атаки на WTC 11.09.2001 и не имевшие на момент катастрофы резервной копии данных – прекратили своё существование. Все, без исключения. Те фирмы, у которых такие данные были зарезервированы – выжили. Не все, но очень многие.

Второй пример: поиск бозона Хиггса, элементарной частицы, существование которой требовалось для подтверждения правильности т.н. Стандартной Модели. Инструменты, которыми воспользовалось человечество для поиска предсказанной почти пятьдесят лет назад частицы – Большой Адронный Коллайдер (БАК, LHC) и его уникальные детекторы ATLAS, CMS, LHCb, ALICE (общая стоимость этого самого дорогого в истории человечества «микроскопа» оценивается в сумму порядка 10 миллиардов евро) – совершенно невозможно было бы даже спроектировать без тотального применения информационных технологий. Не говоря уж о собственно работе этой установки и обработке производимых ею данных, ведь только объём «сырых» данных, генерируемых LHC, оценивается в несколько петабайт (1015) в год. По состоянию на июль 2012 из этих гигантских объёмов исключительно благодаря компьютерной обработке удалось выделить всего несколько десятков(!) событий, позволивших объявить об обнаружении бозона Хиггса.

В средние века на всём земном шаре не было ни одного человека, пострадавшего от автомобиля в ДТП, а уже в XX-ом веке автомобиль становится одной из главных причин смертности, увы. По аналогии, становясь всё более зависимым от ИТ, человечество всё более и более подвергается естественному риску, связанному с ними. И если тридцать-сорок лет назад угрозы, связанные с информацией, были скорее экзотикой и совершенно несущественными по наносимому ущербу, то сейчас недоступность, к примеру, банка или интернет-магазина в онлайне (в виртуальном мире) – по самым разным причинам – в течении всего нескольких часов может привести к последующему исчезновению этих субъектов из мира вполне реального. Вспоминаем пример с WTC. Подделка электронной подписи, взлом электронной почты, атака на площадку опять же электронной торговли, похищение жизненно важных данных – вот далеко неполный перечень рисков, связанных с использованием информационных технологий. Иногда эти риски проявляются достаточно неожиданно: например, взлом почтового ящики с последующим опубликованием содержимого переписки уже приводил к серьёзным политическим последствиям для владельцев взломанного e-mail.

С развитием такого феномена, как форумы, социальные сети и т.п., последствия от компрометации учётных записей (за которыми стоят вполне реальные люди) уже превратились в очень серьёзные проблемы. Сегодня даже некоторые вполне реальные революции называют твиттерными, поскольку начинались и организовывались они именно там, на самой большой в мире виртуальной площадке для общения. Некоторые государства, ощущая угрозу своей безопасности от глобализации в виде Интернета, пытаются с переменным успехом противостоять интернет-технологиям. Здесь и практически полная изоляция от всего остального мира, с тотальным контролем очень ограниченных точек выхода в «большой мир» в КНДР. И широко известный в узких кругах т.н. «Большой Китайский Firewall», через который проходит весь трафик из/в Китая, который, к примеру, запрещает ссылки на некоторые страницы в youtube, корректирует результаты поисковой выдачи и т.п. 1

Недавно принятый в России закон позволяет в досудебном порядке закрывать некоторые сайты. На сегодня не очень понятны технологии и методики, кто и как это будет делать, но есть очевидная тенденция – Интернет рассматривается уже не только, как средство доставки электронной почты, общения с друзьями, онлайн покупок, финансовых транзакций, просмотра фильмов, видеозвонков и т.д., но и как место, где могут и уже совершаются вполне реальные преступления. Соответственно, нужно быть готовым к их выявлению и предупреждению.

Для очень многих компаний Интернет – неотъемлемый элемент их бизнеса. Электронная коммерция, продажа услуг онлайн, консультации – это и средство обеспечения работы предприятия и одновременно мишень для тех, кто хочет воспользоваться чужим. Когда при оплате покупки через интернет у покупателя украдут номер кредитной карты – это будет неприятность и проблема одного конкретного человека. Когда будет похищена база данных кредитных карт крупного интернет-магазина – это уже будет преступление категории «в особо крупных».

Важнейшим фактором, влияющим на развитие корпоративной информационной системы предприятия (КИС), является обеспечение связей предприятий через Интернет с обеспечением безопасности этих коммуникаций. Развитие информационных технологий невозможно в отрыве от вопросов информационной безопасности. Это касается всех возможных вариантов работы ИТ – и автономной, изолированной системы, и работы во внутрикорпоративной сети, и работы в Интернете.

Реализация решений безопасности должна обеспечивать адекватную защиту, конфиденциальность передаваемых данных, целостность (отсутствие несанкционированных изменений), по возможности гарантировать непрерывный доступ к данным.

Использование Интернета в качестве глобальной публичной сети означает резкое увеличение внешних пользователей и разнообразных типов коммуникаций, появление новых сетевых и информационных технологий. Что означает необходимость особо надёжной и качественной защиты инфраструктуры предприятия: серверов, маршрутизаторов, каналов связи, операционных систем, баз данных, приложений.

Средства хищения информации, взлома информационных систем развиваются очень быстро. Очень часто, к сожалению, по известной аллегории борьбы «брони и снаряда», «снаряды» заметно опережают «броню» и качественно и количественно. Поэтому обеспечение информационной безопасности КИС должно быть приоритетной задачей, поскольку от сохранения конфиденциальности, целостности и доступности информационных ресурсов во многом зависит работа КИС.

Для обеспечения информационной безопасности КИС традиционно строится система информационной безопасности (СИБ) предприятия. Одним из не всегда очевидных критериев её создания является вопрос эффективности – условно говоря, стоимость самой защиты скорее всего не должна превышать стоимость того, что защищается. При этом ещё одним критерием качественной работы системы информационной безопасности будет её прозрачность и совместимость с существующими технологиями КИС.

Система информационной безопасности должна учитывать появление новых технологий, сервисов, возможностей. Некоторые критерии, по которым строится качественная СИБ, включают в себя:


  • масштабирование в широких пределах;

  • по возможности использование интегрированных решений;

  • открытые стандарты – не сто́ит возводить этот пункт в абсолют, но и недооценивать его не надо.

Возможность роста (масштабирование) подразумевает выбор оптимального по стоимости и надёжности решения с возможностью наращивания количественных (а, возможно, и качественных) характеристик системы защиты по мере роста масштабов КИС, без потери функционала и управляемости. Плохо спроектированная с точки зрения масштабирования система может в итоге обернутся большими потерями для предприятия: например, когда выяснится, что выбранный ранее граничный межсетевой экран (МСЭ) не справляется с возросшими потоками, но при этом он принципиально не умеет масштабироваться «вширь» (потому, что когда-то был выбран бюджетный и простой вариант) – это потребует полной смены технологии, оборудования МСЭ, займёт массу времени, средств и сил на переход.

Под интегрированными решениями понимаются решения, дающие возможность интеграции различных технологий обеспечения безопасности, для обеспечения комплексной защиты. Одним из наиболее известных примеров интеграции можно назвать часто используемое объединение межсетевого экрана со шлюзом VPN, с трансляцией адресов, антивирусной проверкой «на-лету» и антиспам фильтром на периметре сети.

Открытые стандарты – несомненно, очень важная и одна из главных тенденций в технологиях обеспечения информационной безопасности. Немало разработчиков, например, проходило через соблазн использования закрытых, проприетарных решений для обеспечения безопасности. Для этого даже существует специальный термин: «Security through obscurity» – попытка обеспечения безопасности, скрывая и «затуманивая» технологии, на которых это основывается. Как показала практика, закрытость далеко не всегда означает безопасность, хотя полностью отказаться от закрытых решений от одного поставщика иногда не удаётся принципиально – здесь можно вспомнить и VPN-технологии от Cisco, и не до конца открытые подробности протоколов аутентификации в микрософтовской AD.

Хотя, с другой стороны, возводить в абсолют и переоценивать сам факт открытости тоже не сто́ит: полностью открытые исходные тексты (более того, прошедшие полный аудит кода с точки зрения безопасности) одной из самых защищённых на сегодня операционных систем – OpenBSD – не помешали найти и проэксплуатировать найденные в ней как минимум две серьёзных уязвимости. Долгий и давний спор, кто же безопаснее: закрытая Windows или открытый Linux, на сегодня, как это ни удивительно, не даёт однозначного ответа – если судить по регулярно публикуемым бюллетеням безопасности, эти две технологии как минимум сопоставимы по количеству выявленных уязвимостей.

Открытые стандарты дают возможность обеспечить безопасную и надёжную работу, взаимодействие и коммуникации в гетерогенной среде. Как пример: сертификаты X.509 на сегодня отлично работают и понимаются всеми, без исключения, операционными системами – от открытых ОС всех видов до проприетарных Windows, закрытых iOS, «полузакрытых» Android и т.д. Соответствующая открытым стандартам технология инфраструктуры публичных ключей (PKI) помогает реализовать безопасные коммуникации между предприятием и партнёром, даже если один из них работает полностью на Windows, а второй использует только open source решения.

Как уже говорилось ранее, чтобы «стоять на месте, нужно бежать» – обеспечение информационной безопасности должно использовать все значимые современные и прогрессивные технологии информационной защиты. Неполный их перечень следует ниже:


  • криптографические технологии – основы информационной защиты;

  • технологии межсетевых экранов, как личных, так и закрывающих «периметр» сети;

  • технологии виртуальных приватных сетей (VPN), как для связи с подразделениями, партнёрами, так и для удалённого доступа своих сотрудников;

  • управление доступом к ресурсам, с сочетанием различных технологий по необходимости;

  • комплексная антивирусная защита, защита от вторжений;

  • централизованное управление средствами информационной безопасности, например, например, с возможностью установить параметры персонального МСЭ и антивируса в соответствии с требованиями корпоративной политики;

  • комплексный подход к обеспечению информационной безопасности, сочетание технологий и средств информационной защиты.


следующая страница >>



Я отношусь к писателям, про которых люди думают, что другие люди их читают. Видиадхар Нейпол
ещё >>