Защита информации в компьютерных сетяхkspt.icc.spbstu.ru/media/files/2012/course/networks/Networks2011_Security.pdf(c) Ицыксон В.М. 2012

Защита информации в компьютерных сетях

(C) Ицыксон В.М. 2012 г. Технологии компьютерных сетей

2

Защита информации в КСПредмет защиты

Информация Ресурсы

Виды нарушения защиты Раскрытие информации Модификация информации Захват ресурсов/блокирование доступа


3

Защита информации в КС Классификация внешних

враждебных воздействий По цели воздействия

Нарушение конфиденциальности Нарушение целостности Нарушение работоспособности Нарушение доступности

По характеру воздействия Пассивное Активное


4

Защита информации в КС Классификация внешних

враждебных воздействий По условию начала осуществления

Безусловная По наступлению события По запросу атакуемого объекта

По наличию обратной связи С обратной связью Без обратной связи


5

Механизмы защиты информации

Защита данных

Ограничение доступа

Защита носителяинформации Дополнительные

Шифрование данных

ЭЦП

Проверка подлинности

Защитазапоминающих

устройств

Защита каналовсвязи

Криптографические файловые системы

Очистка

Симметричноешифрование

Асимметричноешифрование

VPN

Туннелирование

Управление доступом

Авторизация

Аудит

Хэширование

Распределение ключей

Идентификация

Аутентификация

Защита объектов сети

Экранирование

Преобразование

Обнаружение вторжений

Фильтрация

Сертификация


6

Открытый и закрытый каналы

Правило Кирхгофа

Шифрование

A BB


7

Симметричное шифрованиеКлючи шифрования и дешифрования совпадаютАлгоритмы шифрования и дешифрования - симметричные

Асимметричное шифрованиеКлючи шифрования и дешифрования различныеАлгоритмы шифрования и дешифрования различные



8

Симметричное шифрование

Общие принципыm – сообщениеk – ключs – зашифрованное сообщениеf – функция шифрованияШифрование : s = f (m, k)Дешифрование : m = f-1(s, k)


9

Симметричное шифрованиеШифры замены

Шифры простой замены Шифр Цезаря

Шифры сложной замены Использование XOR f = f-1

S = M ⊕ K M = S ⊕ K

Невскрываемые шифры?


10

Симметричное шифрованиеШифры перестановки

Шифры простой перестановки P - матрица перестановки s = P ∙ m

Перестановка вместе с заменой s = P ∙ m ⊕ k s = P ∙ (m ⊕ k)

Матрица перестановки может задаваться неявно


11

Симметричное шифрованиеШифры взбивания

L - матрица взбивания s = L ∙ m det L ≠ 0 Матрица взбивания может задаваться

неявно При больших n невырожденных матриц

- мало


12

Алгоритмы взбиванияИтерационная схема на основе сети Фейстеля


13

Стандарт DESРазработан в 70-x годахАмериканский стандарт шифрования - 1981 год.Базируется на алгоритме DEA (ANSI x3.92-1981) Размер блока 64 разрядаРазмер ключа - 56 разрядовОтменен в 2002 году


14

Алгоритм DESИспользует схему ФейстеляLi=Ri-1 Ri=Li-1 ⊕ f(Ri-1, Ki)Ki – 48-ми разрядная функция от пароля. Получается перемешиванием разрядов ключа и удалением 8-ми разрядовПрименяется 16 раз


15

Общая схема алгоритма DES


16

Алгоритм DES. Ключи


17

Алгоритм DES. Функция f


18

Режимы работы алгоритма DES

Электронная кодовая книга (Electronic Code Book)Сцепление блоков шифра (Cipher Block Chaining)Обратная связь по шифротексту (Cipher Feed Back)Обратная связь по выходу (Output Feed Back)


19

DES. Электронная кодовая книга

Файл делится на блоки (64 разряда)Каждый блок шифруется одним и тем же ключомИспользуется для шифрования ключей


20

DES. Сцепление блоков шифра

Файл делится на блоки (64 разряда)Каждый блок шифруется вместе с результатами шифрования предыдущегоИспользуется для шифрования отдельных символов


21

DES. Обратная связь по шифротекстуФайл делится на блоки Обратная связь организуется по зашифрованному текстуИспользуется при аутентификации


22

DES. Обратная связь по выходуФайл делится на блоки Обратная связь организуется по зашифрованному выходу (зашифрованный ключ + вектор)Используется в спутниковых системах связи


23

Улучшения алгоритма DESTriple-DES (3DES) Вариант с 3

ключами Вариант с 2

ключами


24

Алгоритм ГОСТ 28147-89Единственный стандарт симметричного шифрования в РФПринят в 1989 гДлина ключа 256 разрядовРазмер блока данных – 64 разрядаПоддерживает 4 режима:

Простое шифрование Шифрование с гаммированием Шифрование с гаммированием с ОС Выработка имитовставки


25

Алгоритмы симметричного шифрования

25664ГОСТ

До 57664BlowFish64,7232,64,128RC5

128,192,256128AES (Rijndael)12864IDEA112 (168)643DES5664DES

Длина ключа

Размер блока

Алгоритм


26

Асимметричное шифрование Асимметричная схема Rivest-Shamir-Adelman (Рон Ривест, Ади

Шамир и Лен Адлман) 1978 год Основная идея – для шифрования и

дешифрования используется разные ключи

Получить один, зная другой, невозможно *Невозможно – значит очень трудоемко


27

Схема асимметричного шифрования

A B

PA PB

KA KB

Шифрование данных (A -> B)S = f(M, PB)Дешифрование данных (B)M = g(S, KB) Шифрование данных (B -> A)S = f(M, PA)Дешифрование данных (A)M = g(S, KA)


28

Алгоритм RSA Авторы Rives, Shamir, Adelman Мат. функция -факторизация Формирование ключей

Отправитель выбирает P, Q из P и вычисляет N=P⋅Q и L=(P-1) ⋅(Q-1)

Выбирает случайное D: НОД(D, L)=1 Вычисляет Е: D⋅E=1(mod L) D, N - открытый ключ, E – секретный

Шифрование Если M - сообщение, то S=MD mod N

Дешифрование M = SE mod N = MDE mod L


29

Шифр Эль-Гамаля Мат. функция – дискретное логарифмирование Формирование ключей

P из P, известно всем. Все M - из 1..P A генерирует случайное число X из 1..P B генерирует случайное число Y из 1..P

Шифрование A: S1=MX mod P => B

B: S2=S1Y mod P => A

A: S3=S2-X mod P => B

B: S=S3-Y mod P - расшифровывает


30

Сравнение схем RSA и Эль-Гамаля

Дискретное логарифмирование – более сложная задача, чем факторизация

Число P – слабое место схемы Эль-Гамаля

Результат – качество приблизительно одинаковое


31

Применение криптоалгоритмов

Симметричные алгоритмы Длина ключа 56, 64, 72, 112, 128, 256 разрядов Скорость шифрование высокая Необходимо передавать ключ по закрытому каналу

Асимметричные алгоритмы Длина ключа 512, 768, 1024, 1536, 2048, …

разрядов Скорость шифрования низкая (примерно в 1000

раз ниже) Нет необходимости передавать ключи по

закрытому каналу


32

Применение криптоалгоритмов

Типичное применение Использование двух схем Асимметричное шифрование – для

обмена ключевой информацией Симметричное шифрование – для обмена

данными Асимметричное шифрование – закрытый

канал для симметричного шифрования


33






ЭЦП



устройств



Очистка



VPN




Аудит












34

Хэширование Задача хэширования – получить дайджест

(выжимку) сообщения Требования к функции хэширования

Необратимость (не существует h-1(x)) Чувствительность Хэш разных сообщений д.б. разный, то есть:

P[ h(M1)=h(M2) ] → 0

Общий принцип – многошаговое хэширование с использованием пред. шага Hi = h(Mi, Hi-1) - в результате – хэш-функция

длиной n


35

Хэширование Алгоритмы хэширования

MD2 (RFC 1319) MD4 (RFC 1186, RFC 1320) MD5 (RFC 1321, RFC 1810) SHA 1992г. SHA1 1995г. (RFC 3174) HMAC-MD5 - Keyed-Hashing for Message

Authentication (RFC 2104) RIPEMD-160 ГОСТ Р 34.11-94


36






ЭЦП



устройств



Очистка



VPN




Аудит












37

Электронная цифровая подпись (ЭЦП)

Задача – подтвердить авторство сообщения

Обычно представляется цифровым «довеском» к сообщению

Не ставит своей задачей шифрование сообщения

Может применяться совместно с шифрованием

Должна зависеть от сообщения


38

ЭЦП

A B

PA PB

KA KB Подписывание сообщения (A -> B)

S = f(M, KA) Проверка подлинности авторства (B)

M = g(S, PA) Подписывание сообщения (B -> A)

S = f(M, KB) Проверка подлинности авторства (A)

M = g(S, PB)


39

ЭЦП Подпись всего сообщения – долгая операция Вместо сообщения подписывается дайджест Формирование подписи

A: HM=h(M); D=f(HM, KA) A -> B: M, D

Проверка подписи: B: H’ = g(D, P

A); H” = h(M)

H” = H’ – проверка подписи успешна H” ≠ H’ – проверка подписи не успешна


40

ЭЦП Алгоритмы ЭЦП

DSA RSA Схема Эль-Гамаля DSS – 1993 г. стандарт США (DSA + SHA1) ГОСТ Р 34.10-94 СТБ 1176.2 (Беларусь 1999 г.) ГОСТ Р 34.10-2001


41






ЭЦП



устройств



Очистка



VPN




Аудит












42

Идентификация Процесс предоставления субъектом

объекту идентификационной информации:

Идентификационная метка Имя Псевдоним (Login)

Обычно используется для аутентификации


43

Аутентификация Процесс подтверждения

подлинности идентификации Виды аутентификации:

На основе пароля (I know) На основе карт доступа (I have) Биометрическая аутентификация (I

am) Смешанные виды аутентификации


44

Аутентификация на основе пароля

Виды парольных систем аутентификации: Стандартная схема с одним паролем Схема с несколькими паролями Технология одноразовых паролей

Хранение паролей Политика использования паролей Дискредитация паролей


45

Аутентификация на основе пароля Требования к паролям

Не д.б. словарным словом Не д.б. фразеологизмом, идиомой Не д.б. числом Не д.б. именем собственным Не д.б. функцией от идентификационных параметров

пользователя Не д.б. простой функцией от предыдущего пароля Должен быть не менее – 10 (8) символов Должен содержать спецсимволы Должен содержать цифры Должен менять регистр

Каким же должен быть «хороший» пароль?


46

Аутентификация в ОС Хранение паролей в ОС Linux

Файлы passwd, shadow Хэширование – алгоритм MD5 Использование привязки

Хранение паролей в ОС Windows Два варианта аутентификации Хэширование - модифицированный MD4 Хранение отдельно половин пароля Отсутствие привязки


47






ЭЦП



устройств



Очистка



VPN




Аудит












48

Авторизация Процесс назначения

аутентифицированному субъекту прав на объекты

Обычно неразрывна с аутентификацией Некоторые операции требуют

дополнительной авторизации


49

Управление доступом Модели управления доступом:

Дискреционное (избирательное) управление

Мандатное управление Смешанное управление


50

Дискреционное управление

ReadWrite

SubM

…

ReadNo accessSub2

DeleteSub1

ObjN..Obj2Obj1


51

Мандатное управление Каждому объекту приписывается

метка безопасности Каждому субъекту приписывается

метка безопасности Разрешен доступ по чтению, если:

Sm ≥ Om

Разрешен доступ по записи, если: Sm ≤ Om


52

Мандатное управление. Доступ по чтению


53

Мандатное управление. Доступ по записи


54

Управление доступом Обычно используется

дискреционное управление с неявным заданием матрицы

Мандатное управление используется совместно с дискреционным


55






ЭЦП



устройств



Очистка



VPN




Аудит












56

Аудит Требования к системе аудита

Только ОС может добавлять записи в журнал аудита Никто (даже ОС) не может удалять или редактировать

записи Только пользователи-аудиторы могут читать журнал

аудита Только пользователи-аудиторы могут очищать журнал.

После этого в журнал помещается спец. запись об очистке с параметрами

Должен быть специальный контроль переполнения журнала

Механизмы оповещения аудиторов (console, pager, e-mail, sms, phone, сирена)


57

Аудит Политика аудита

попытки удачного входа попытки неудачного входа выход из системы попытки изменения политики безопасности попытки изменения политики аудита попытки изменения прав доступа попытки получения привилегий попытки использования привилегий и т.п.


58

Управление аутентификацией: система PAM

Идея: вынесение функций аутентификации, авторизации

и т.п. из приложения централизованное управление этими функциями реализовано в Solaris, Linux, FreeBSD

Типы стандартных подсистем Authentication Account Session Password


59

Управление аутентификацией: система PAM

Используется стек правил. Статус правила:

Required. При ошибке – продолжение прохождения правил. Результат – ошибка

Requisite. При ошибке – остановка Sufficient. При успехе – остановка. Optional. Binding. При успехе – остановка, иначе

продолжение прохождения правил. Результат - ошибка


60

Протоколы аутентификации и авторизации PAP CHAP RADIUS DIAMETER TACACS TACACS+ Kerberos ...


61

Протоколы аутентификации и авторизации PAP - Password Authentication Protocol

RFC 1334 Реализует только функцию аутентификации Пароли передаются в открытом виде Используется в составе PPP

CHAP – Challenge-Handshake Authentication Protocol RFC 1994 Реализует только функцию аутентификации По сети передаются хэши паролей Используется в составе PPP


62

Протоколы аутентификации и авторизации RADIUS – Remote Administration Dial-In User

Service RFC 2865 Реализует функции аутентификации, авторизации и

аккаунтинга (учета) Использует UDP:1812

DIAMETER RFC 3588, 3589, 4006 Улучшенная версия RADIUS с возможностями

расширения


63

TACACS Terminal Access Controller Access Control System RFC 1492 Реализует функции аутентификации и авторизации

TACACS+ Terminal Access Controller Access Control System plus Разработка Cisco Улучшенное шифрование Добавлена функция accounting-а Гибкие механизмы использования

Протоколы аутентификации и авторизации


64

Пример: Система Kerberos Стандарт - RFC 1510 Имеется несколько RFC для

реализации прикладных протоколов Используется в MS Windows Реализует механизмы

аутентификации и авторизации


65

Архитектура Kerberos

TGS

CS

KAS

ADB


66

Система KerberosC – клиентS – cерверKAS – Kerberos Authentication ServerTGS – Ticket Granting ServerADB – Authentication DatabaseK – ключТ – билетА – аутентификаторc – метка клиентаs – метка серверtgs – метка сервер выдачи билетовn, m, t – отметки, включающие время, сетевой адрес


67

Система Kerberos

1 шагC → KAS: c, tgs, n

2 шагСервер KAS по с и tgs находит Kc и Ktgs

Формирует случайный ключ сеанса Kc,tgs

По Kc,tgs формирует Tc,tgs, содержащий Kc, tgs , tgs, n, c, срок жизни и т.д. Керберос 4: KAS → C: {Kc,tgs, n, {Tc,tgs}Ktgs }Kc

Керберос 5: KAS → C: {Kc,tgs, n}Kc, {Tc,tgs}Ktgs


68


3 шаг C: расшифровывает, используя введенный

пароль Kc ,проверяет метку n, сохраняет Kc,tgs

Ac - аутентификатор клиента, содержит c и отметку времени m

C → TGS : {Ac}Kc,tgs {Tc,tgs}Ktgs, s, n


69


4 шагTGS: расшифровывает запечатанный билет Tc,tgs, из него получает

Kc,tgs

Расшифровывает Ac и проверяет его достоверность сравнивая данные из аутентификатора, билета и сообщения.

Проверяет временную метку в сообщенииTGS: по s ищет в базе Ks

Формирует новый случайный ключ сеанса Kc,s

Составляет новый билет Tc,s, содержащий Kc,s , отметки n, m и срок жизниКерберос 4: TGS → C: { Kc,s, n, {Tc,s}Ks }Kc, tgs

Керберос 5: TGS → C: { Kc,s, n} Kc,tgs, {Tc,s}Ks


70

Система Kerberos5 шаг

С: расшифровывает, используя Kc, tgs, извлекает ключ сеанса Kc,s и запечатанный билет {Tc,s}Ks

C → S: {Tc,s}Ks, {Ac, t}Kc,s

6 шагS: Расшифровывает запечатанный билет {Tc,s}Ks и

получает Tc,s.

Расшифровывает Ac и t и проверяет подлинность, сравнивая данные из аутентификтора, билета и сообщения.


71

Система Kerberos7 шаг

Клиент может потребовать аутентификацию сервера, тогдаS → C: {t+1}Kc,s


72

Система Kerberos Недостатки:

Требуется предварительная настройка и регистрация

Требуется переработка прикладных приложений

Достоинства: Разнесение функций аутентификации и

авторизации на отдельные серверы Централизованное управление

аутентификацией и доступом к ресурсам


73






ЭЦП



устройств



Очистка



VPN




Аудит












74

Криптографические файловые системы Типы КФС:

Шифрование томов Аппаратное шифрование Программное шифрование

Шифрование ФС Шифрование файлов

Примеры КФС: CFS — Cryptographic File System TCFS — Transparent Cryptographic File System CryptFS EFS - Microsoft Encrypted File System


75

Microsoft EFS



76

Microsoft EFS

Дешифрование


77

Механизмы «очистки мусора»

Места появления «мусора»: При копировании файлов При удалении файлов При формировании «посмертных»

дампов При освобождении объектов в

динамической памяти Совместное использование кэшей


78

Механизмы «очистки мусора»

Драйверы ФС, обеспечивающие очистку кластеров

Библиотеки работы с динамической памятью

Механизмы контроля кэширования


79






ЭЦП



устройств



Очистка



VPN




Аудит












80

Межсетевые экраны Синонимы:

Сетевой экран Firewall Брандмауэр

Назначение: Защитить свою сеть от внешних

пакетов Предотвратить попадание внутренних

пакетов во внешнюю сеть


81

Межсетевые экраны Типы МЭ:

Персональный МЭ Сетевой МЭ

Классы МЭ: Фильтр пакетов Сервер-посредник


82

Межсетевые экраны Сетевые МЭ

Защищают целую сеть Контролируют трафик во всех

направлениях Обычно не связаны с

идентификаторами процессов и пользователей


83

Межсетевые экраны Персональные МЭ

Защищают только один узел Интегрированы с функциями ОС Дополнительно к функциям МЭ:

Могут фильтровать по ID процесса Могут фильтровать по ID

пользователя


84

Фильтр пакетов Особенности:

Анализ заголовков пакетов Функционирование на канальном, сетевом и

транспортном уровне Действия над пакетом:

Допуск (accept) Запрет (deny) Отбрасывание (reject)

Обычно функционируют на уровне ядра ОС Как правило ФП – высокопроизводительные Могут функционировать совместно с другими

службами


85

Фильтр пакетов Параметры фильтрации

По сетевому адресу источника По сетевому адресу приемника По типу протокола сетевого/транспортного уровня По порту источника По порту приемника По аппаратному адресу источника По аппаратному адресу приемника По входящему интерфейсу пакета По исходящему интерфейсу пакета По длине пакета По опциям протоколов сетевого уровня По опциям протоколов транспортного уровня


86

Серверы-посредники Особенности:

Анализ заголовков и тела пакетов Функционирование на всех уровнях ISO/OSI (2-7) Действия над пакетом:

Допуск Запрет Отбрасывание Модификация

Обычно реализуются как приложения ОС Как правило СП – низкопроизводительные

Как следствие – требуют существенных вычислительных ресурсов

Реализуются на выделенных серверах

Возможность аутентификации


87

Серверы-посредники Модификация пакета:

Удаление вирусов Удаление сценариев (VB-script, Javascript и

т. п.) Удаление ActiveX-компонентов и т. п. Удаление медиа-элементов

Фильтрация: На основе URL На основе заголовков прикладных протоколов


88

Межсетевые экраны. Стандарты

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

РУКОВОДЯЩИЙ ДОКУМЕНТ

http://www.fstec.ru/_razd/_ispo.htm

Средства вычислительной техники. Межсетевые экраны. Защита

от несанкционированного доступа к информации. Показатели

защищенности от несанкционированного доступа к информации

1997 г

http://www.fstec.ru/_razd/_ispo.htm


89

Межсетевые экраны. Стандарты

+=+=+Конструкторская (проектная) документация

+++++Тестовая документация

====+Руководство администратора защиты

+++++Тестирование

=+==+Восстановление

+++=+Целостность

+=+--Администрирование: простота использования

==+++Администрирование: регистрация

+++=+Администрирование: идентификация и аутентификация

=+++-Регистрация

+=+--Идентификация и аутентификация

=++++Управление доступом (фильтрация данных и трансляция адресов)

12345Показатели защищенности


90






ЭЦП



устройств



Очистка



VPN




Аудит












91

Туннелирование Задачи туннелирования:

Доставка данных между удаленными узлами

Шифрование данных * Маршрутизация

Виды протоколов: Несущий протокол (подложка туннеля) Переносимый протокол Туннельный протокол


92

ТуннелированиеИнкапсуляция протоколов:

Упрощенный вариант:

Полный вариант:

Несущий протокол

Переносимый протокол

Туннельный протокол

Несущий протокол

Переносимый протокол


93

Виртуальные частные сети (VPN)

Основные параметры: Прозрачная для пользователя среда

передачи данных Средства обеспечения

конфиденциальности Средства обеспечения достоверности Использование открытых сетевых

инфраструктур


94

Система IPSec Набор стандартов и протоколов по

организации VPN в IPv4 и IPv6 Использует ассоциации безопасности

(SA)- набор элементов и процедур используемых участниками соединения

Типы SA: Транспортный режим – используется

только для соединения двух хостов Туннельный режим


95

Система IPSec Реализуется двумя протоколами:

AH – Authentication Header Обеспечивает достоверность

ESP – Encapsulated Security Payload Обеспечивает конфиденциальность


96

Протокол AH Описан в RFC2402

Функции В транспортном режиме

Защищает часть заголовка IP

В туннельном режиме Защищает весь вложенный заголовок IP Защищает часть внешнего заголовка IP

Содержит данные: Следующий заголовок Длина данных Индекс параметров безопасности Последовательный номер Данные идентификации


97

Протокол ESP Описан в RFC2406

Функции В транспортном режиме

Шифрует прикладные данные Обеспечивает идентификацию

В туннельном режиме Защищает весь вложенный IP-пакет Обеспечивает идентификацию

Содержит данные: Следующий заголовок Индекс параметров защиты Последовательный номер Передаваемые данные Данные идентификации


98






ЭЦП



устройств



Очистка



VPN




Аудит












99

Сертификация Инфраструктура открытого ключа PKI

(Public Key Infrastructure): Сертификаты открытых ключей Центры сертификации (CA) Управление ключами Поддержка принятия цифровой

подписи Поддержка взаимной сертификации


100

Сертификаты Сертификат создается путем

цифровой подписи набора данных: Полные данные о субъекте (пользователе)

(данные, необходимые для идентификации)

Открытый ключ пользователя Время действия сертификата Список операций, для которых может быть

использован данный сертификат


101

Центры сертификации (CA) Задачи CA:

Создание сертификатов Отзыв сертификатов Хранение архива сертификатов

Хранение действующих сертификатов Хранение отозванных сертификатов

Выдача сертификатов Регистрация в других CA

Регистрация в вышестоящем СА


102






ЭЦП



устройств



Очистка



VPN




Аудит












103

Протокол SSH

Secure SHell protocol Протокол прикладного уровня для

реализации безопасных удаленных терминалов

Цель создания — замена telnet и rlogin Основные стандарты : RFC 4250-4256 Существуют 2 версии: SSH1 и SSH2


104


Использует транспорт TCP, порт 22 Аутентификация реализуется с помощью

протокола на асимметричного : RSA DSA

Поддерживается несколько способов аутентификации: На основе пароля На основе сертификатов


105


Для создания общего ключа сеанса используется алгоритм Диффи-Хэлмана

Передаваемые данные шифруются симметричным алгоритмом: AES Blowfish 3DES Реже - DES


106

SSH. Создание туннелей

Цель — передача любого трафика (не только 22 порт) по зашифрованному каналу

2 основных режима: Локальный Удаленный

В локальном режиме — передача локального трафика на удаленный сервер

В удаленном режиме — трансляция трафика с удаленного сервера на клиент


107


Локальный режим Прослушивание локального порта Шифрование всего трафика Передача по шифрованному туннелю Расшифровка трафика на сервере Трансляция на указанный сервер и порт


108


Удаленный режим Прослушивание порта на сервере Шифрование всего трафика Передача по шифрованному туннелю Расшифровка трафика на клиенте Трансляция на указанный порт


109






ЭЦП



устройств



Очистка



VPN




Аудит












110

Стандарты безопасности в РФ1. Средства вычислительной техники.Защита от несанкционированного доступа к информацииПоказатели защищенности от несанкционированного доступа кинформации. 1992 г. [6 классов защищенности]2. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.1997 г [5 классов защищенности]3. Автоматизированные системы.Защита от несанкционированного доступа к информацииКлассификация автоматизированных систем и требования по защитеинформации. 1992 г [Классы 3б, 3а, 2б, 2а, 1д, 1г, 1в, 1б, 1а]4. Защита от несанкционированного доступа к информацииЧасть 1. Программное обеспечение средств защиты информацииКлассификация по уровню контроля отсутствия недекларированныхвозможностей. 1999 г [4 уровня контроля]

Documents

Защита информации в компьютерных сетяхkspt.icc.spbstu.ru/media/files/2012/course/networks/Networks2011_Security.pdf(c) Ицыксон В.М. 2012