СеместрЛекция 4Системы видеонаблюдения
Системы обнаружения скрытого видеонаблюдения
· Оптические – по отраженному лучу. Используют светодиодную или лазерную подсветку.
· На основе анализа электромагнитной обстановки. Используют базу электромагнитных излучений, работающих фото/видео матриц.
Система видеонаблюдения как система сигнализаций
За счет использования современных алгоритмов обработки видеоизображений на основе систем видеонаблюдения можно создавать системы сигнализации, обнаруживающие:
1) Засветку камеры за счет смещения гистограммы в область светлого.
2) Закрытие камеры за счет смещения гистограммы в область темного.
3) Обнаружение движения за счет значительных изменений в изображении. Современные системы также могут подсвечивать и отслеживать движущийся предмет.
4) Обнаружение оставленных предметов за счет продолжительного статичного отклонения гистограммы от эталона.
4. Система охранной и пожарной сигнализации. Предназначены для информирования о наступлении каких-либо событий, обнаруживаемых с помощью различного вида датчиков: наступания, вибрации, объема, движения, освещеннности, тревожных кнопок и т.п.
Системы сигнализаций бывают безадресными и адресными. В безадресных системах определить место и тип срабатывания можно лишь с точностью до луча – линии, к которой подключены датчики сигнализации, которые в свою очередь могут быть разного типа и находится в разных местах. В адресных системах каждый датчик имеет уникальный идентификатор, по которому можно определить через базу данных объекта место установки и его тип. Адресные системы часто применяются в пожарной сигнализации совместно с адресными управляемыми огнетушителями.
|
|
|
5. Система хранения. Предназначена для защиты носителей информации в период между их использований. При реализации системы хранения (шкафы, сейфы и т.д.) необходимо обеспечить:
1) Помещение носителей в эти системы. (использовать сейфы)
2) Запирание шкафов и сейфов.
3) Надежное хранение основного и запасного ключей.
4) Исключение кражи самой системы хранения вместе с содержимым.
5) Возможность эвакуации содержимого сейфы в случае пожара или аналогичного события.
Живучесть технической системы
Под живучестью технической системы безопасности понимается совокупность организационных, структурных, конструктивных и технических особенностей системы, которые при выходе из строя отдельных ее элементов позволяют потребителю оперативно и самостоятельно ликвидировать неисправность или переконфигурировать систему с сохранением ее основных функций в полном или частичном объеме, исключив потенциальный ущерб для охраняемого объекта. (определение «на два»).
|
|
|
Политика информационной безопасности
Протоколы сетевой безопасности
Задачи протоколов сетевой безопасности
· Идентификация и аутентификация объекта или субъекта
· Обеспечение защиты информации, проходящей по каналу связи.
Классификация протоколов по принципу обеспечения безопасности:
· Протоколы, не обеспечивающие защиту передаваемых данных – только связь;
· Протоколы, позволяющие подключать к себе дополнительные протоколы для защиты данных;
· Специализированные протоколы защищенной передачи данных.
В реальности за счет уровневой и иерархичной структуры протоколов в любой протокол первого класса можно вложить информацию, защищенную протоколом третьего класса, превратив протокол первого класса в протокол второго класса. Пример протокола второго класса PPP (Point-to-PointProtocol). Это протокол для организации связи «точка-точка» между двумя абонентами. Отличается простотой реализации и большим количеством поддерживающих его программных и аппаратных решений. Для реализации PPP соединений в современных сетях разрабатываются и используются протоколы эмуляции этого соединения поверх сетей других стандартов. Например PPPoE (PPPoverEthernet) протокол эмуляции соединения «точка-точка» через сеть Ethernet.
|
|
|
Структура кадра PPP
| Байт флага | Байт адреса | Контрольный байт |  Два байта протокола
| Данные | Контрольная последовательность кадра |
Флаг предназначен для идентификации начала кадра PPP. Адрес идентифицирует абонента, контрольные поля используются для обнаружения ошибок. Поле «два байта протокола» служит для идентификации протокола, создавшего кадр, которому и надо передать полученные сообщения на узле получателя. Данные – собственно передаваемая полезная информация.
Для решения задачи идентификации и аутентификации в паре с протоколом PPP используется протокол PAP (PasswordAuthentificationProtocol. В этом случае, поле «данные» будет иметь вид.
| Код | Идентификатор | Длина | Данные |
Поле Код указывается на следующие возможные типы PAP-пакета.
Код = 1: Аутентификационный запрос.
Код = 2: Подтверждение аутентификации.
Код = 3: Отказ в аутентификации.
Идентификатор служит для определения конкретного PAP-пакета в последовательности.
Длина – это размер поля данных.
Данные – полезная нагрузка PAP-пакета.
Поле «данные» имеет вид
Аутентификационный запрос:
| Длина логина | Логин | Длина пароля | Пароль |
|
|
|
Аутентификационный ответ:
| Длина сообщения | Сообщение |
Сообщение протоколом не стандартизируется, но рекомендуется его формировать таким образом, чтобы была ясна причина отказа. Это позволяет, анализируя ответы, узнавать, какая именно операционная система и/или программа запущена на проверяемом компьютере. На таком принципе работают сетевые сканеры, например, NMAP.
Алгоритм работы PAP.
1. Устанавливается PPP соединение.
2. Клиент посылает аутентификационный запрос с указанием своего логина и пароля.
3. Сервер проверяет полученные данные и подтверждает аутентификацию или отказывает в ней.
Недостатком PAP является то, что количество попыток передачи пароля и интервал между ними стандартом не регламентируются и целиком и полностью зависят от клиента, что создает возможность атаки методом перебора. Все средства защиты реализуются разработчиками конкретных продуктов самостоятельно и отличаются от продукта к продукту.
Протокол Secure-HTTP (S-HTTP, HTTPS)
Является протоколом-посредником, упаковывающим HTTP-данные с помощью протоколов SSL и TLS.
Не является отдельным протоколом передачи данных.
Протокол Secure-HTTP использует:
· Транзакционный модуль – отвечает за шифрование и/или подпись запроса и/или ответа.
· Криптографические алгоритмы – набор алгоритмов, которые могут быть использованы для шифрования, цифровой подписи.
· Модуль сертификатов – отвечает за хранение цифровых сертификатов и работу с ними.
Сертификат – это.
СеместрЛекция 5Сертификаты
Цифровой сертификат – электронный документ, содержащий в себе открытый ключ владельца сертификата, информацию о самом владельце сертификата, сроки его действия, сведения об издателе сертификата и подписанная цифровой подписью организации, выдавшей сертификат.
Протокол SSL (Secure Socket Layer)
Протокол SSL версия 3.0-называется TLS (Transport Layer Security). Криптографический протокол, предназначенный для защиты информации, передаваемой в IP сетях посредством протоколов TCP-IP. Обеспечивает идентификацию клиента и сервера на основе цифровых сертификатов. Сертификат выполняет роль электронного паспорта, проверяемого до установки защищенного сеанса SSL. Цифровой сертификат обычно независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой стороны обычно выступают центры сертификации. Существует также версия протокола Open-SSL, которая допускает использование так называемых самоподписанных сертификатов.
Задачи протокола SSL:
1) Обеспечение конфиденциальности данных т.е. уверенности, что они не были раскрыты в ходе передачи между клиентом и сервером. Протокол TLS поддерживает режим работы с отключенным режимом шифрования.
2) Обеспечение аутентификации сервера.
3) Возможность обеспечения аутентификации клиента.
4) Обеспечение целостности передаваемой информации.
5) Возможность сжатия данных для увеличения скорости передачи.
Подпротоколы SSL
1. Подпротокол установления связи (SSLHandshakeProtocol). Определяет механизм установления соединения.
2. Подпротокол записи (SSLRecordProtocol). Определяет формат передачи данных.
Алгоритм соединения по протоколу SSL:
1) Согласование версий протокола.
2) Согласование алгоритма шифрования (выбирается самый надежный алгоритм из поддерживаемых участниками соединения).
3) Аутентификация сторон (односторонняя или взаимная).
4) С помощью согласованного алгоритма ассиметричного шифрования производится обмен общим секретом, на основе которого будет проводится симметричное шифрование.
| Клиент | Запрос | Сервер |
| Клиент инициирует соединение | Цифровой сертификат сервера | В ответ на запрос клиента, сервер высылает цифровой сертификат. Может запросить цифровой сертификат клиента. |
| Проверяя цифровой сертификат сервера, в случае запроса высылает свой цифровой сертификат | Цифровой сертификат клиента | Проверяет ЦСК |
| По завершении аутентификации клиент формирует сессионный ключ и шифрует его открытым ключом из ЦСС | Зашифрованный сессионный ключ | Расшифровывает сессионный ключ тайным ключом из своего цифрового сертификата |
| Безопасное соединение обеспечивается за счет шифрования передаваемой информации сессионным ключом. | ||
Алгоритм проверки цифрового сертификата сервера клиентом
1) Проверка срока действия сертификата. Если текущая дата выходит за период, проверка прекращается.
2) Проверка, находится ли центр сертификации, выпустивший сертификат в списке доверенных центров сертификации клиента.
3) Используя открытый ключ центра сертификации из его сертификата, проверяется подлинность цифровой подписи сертификата сервера.
4) Проверка соответствия имени сервера в сертификате его реальным именем.
Современные программные средства, такие как браузеры, позволяют изменить реакцию на нарушение сертификата, отключив какую-либо из проверок или выдать сообщение пользователю для принятия конкретного решения.
Алгоритм проверки цифрового сертификата клиента сервером
1) Клиент и сервер совместно генерируют некое случайное число, которое клиент подписывает своей цифровой подписью.
2) Сервер проверяет эту цифровую подпись ключом из сертификата клиента.
Шаги 3-5 эквиваленты шагам 1-3 предыдущего алгоритма.
6. Сервер проверяет, находится ли сертификат клиента в списке сертификатов клиентов, которые могут быть аутентифицированы данным сервером.
Протокол аутентификации на основе одноразовых паролей S/KEY.
Относится к числу алгоритмов, работающих на основе однонаправленной хэш-функции.
Алгоритм работы протокола S/KEY
1) Клиент и сервер обмениваются общим секретом.
2) Сервер генерирует случайное число и число циклов применения хэш-функции.
3) Сервер отправляет клиенту сгенерированное число и число циклов применения циклов за вычетом единицы.
4) Клиент прибавляет секрет к полученному числу, вычисляет хэш-функцию заданное количество раз и отправляет результат серверу.
5) Сервер вычисляет результат хэш-функции от полученного значения и сравнивает с тем значением, которое у него хранится. При положительном исходе счетчик циклов применения хэш-функции уменьшается на единицу, а полученная от клиента свертка сохраняется для следующего этапа.
В нормальном режиме алгоритм начинает функционировать с шага 3, с шага 2 он начинается, если число циклов применения хэш-функции уменьшилось до некоторого ограниченного значения или истек срок действия случайного числа. С шага 1 алгоритм начинается, если истек срок действия общего секрета.
Протокол Kerberos
Позволяет провести аутентификацию клиента и сервера, предварительно незнакомых друг с другом, при условии наличия общего доверенного сервера.
Общая схема аутентификации:
1) На основании запроса доверенный сервер генерирует сессионный ключ.
2) Сессионный ключ шифруется ключом клиента и отправляется клиенту.
3) Сессионный ключ шифруется ключом сервера и отправляется серверу.
Реально 3: сессионный ключ шифруется ключом сервера и отправляется клиенту.
4) Клиент отправляет серверу свой запрос, зашифрованный сессионным ключом и сеансовый ключ, зашифрованный ключом сервера.
Схема Kerberos позволяет провести аутентификацию клиента и сервера, имеющих разные доверенные сервера при условии, что у этих серверов есть свой общий доверенный сервер.
Недостатком данного протокола является то, что он лишь проводит аутентификацию, но никак не обеспечивает проведение авторизации – каждый сервер решает эту проблему самостоятельно.
Автоматизированные средства безопасности
Автоматизированные системы готовят оно или несколько решений, но окончательный выбор остается за человеком. А автоматические системы функционируют полностью без участия человека.
Системы безопасности в теории относятся к системам существенного риска, где решение должен принимать человек, однако из-за их распространенности в различных информационных системах большого количества пользователей информационных систем с низким уровнем квалификации и большого объема информации, обрабатываемого в информационных системах, большинство систем безопасности функционируют в автоматическом режиме или могут быть в него переведены.
Средство первое – антивирусы. Программные или программно-аппаратные средства (плата «шериф» от компании Др.Веб из 1990-ых). Предназначены для поиска и уничтожения вредоносного программного обеспечения.
Критерии выбора антивируса
СеместрЛекция 6Антивирусы
Основные критерии выбора антивируса:
· Объем базы антивируса и наличие в ней известных в настоящее время вирусов.
· Оперативность обновления базы антивируса поставщиком с момента появления нового вируса.
· Метод доставки обновленных баз антивируса до потребителя. Периодическая загрузка их с сайтов производителей антивируса в Интернете, доставка на диске или флешке.
· На каком этапе антивирус может распознать вирус и предотвратить его распространение. Только при сканировании или реальном времени.
· Требования антивируса к ресурсам компьютера.
· Архитектура работы программы. Отдельный программный модуль или сервер и агенты.
· Организация автоматизированного обновления распределенного программного обеспечения.
· Реакция антивируса на вирусы, пытающиеся нарушить его работу или замаскироваться.
· Качество и оперативность работы технической поддержки.
Межсетевой экран
Межсетевой экран (МСЭ, МЭ), файрвол (firewall), брандмауэр (brandmauer) – программный или аппаратный комплекс, осуществляющий анализ проходящих через него пакетов и обрабатывающий их в соответствии с заранее заданными правилами.
В настоящее время выделяют подвид персональный МСЭ, устанавливаемых на один компьютер и осуществляющих его защиту.
Персональные МСЭ являются программными и, как правило, поддерживают режим «обучения», который позволяет пользователю создавать правила обработки пакетов в процессе работы с помощью специального «мастера».
Межсетевой экран обычно устанавливают:
· При появлении постоянного прямого выхода в Интернет, имеющего соединение с локальной сетью;
· При организации взаимодействия со своими удаленными филиалами в режиме on-line с использованием сети широкого доступа (выделенных или коммутируемых телефонных линий, беспроводного или спутникового канала и т.п.).
Основные классы МСЭ
· пакетный фильтр – устарел и на сегодняшний день практически не встречается, анализировал только отдельный пакет, не учитывая предысторию.
· МСЭ с контролем соединения – учитывает для UDP протоколов последовательность пакетов, а для TCP само соединение, осуществляя при необходимости блокировку пакетов на основе накопленной информации, в том числе и по количественным параметрам.
· МСЭ-посредник приложения – набор пакетов обрабатывается так, как и делало бы приложение-получатель, но в специальной, защищенной области памяти, называемой «песочницей». Если не происходит нарушения правил, пакет пропускается, иначе вся область памяти затирается.
Дополнительные функции МСЭ.
· Создание демилитаризованной зоны. Межсетевой экран с тремя и более сетевыми интерфейсами, для которых прописываются самостоятельные наборы правил по передаче пакетов от одного интерфейса к другому.
· Трансляция сетевых адресов (NAT). Технология создания и трансляции сетевых пакетов из внутренней сети с своим адресным пространством во внешнюю сеть с другим адресным пространством, используя во внешней сети меньшее количество адресов, чем во внутренней («белый» и «серый» ip-адреса).
Функции трансляции сетевых адресов:
· сокрытие схемы внутренней адресации локальной сети и обеспечение частичной анонимности отправителя пакета;
· преобразование внутренних, т.н. «немаршрутизируемых» приватных IP-адресов в разрешенный внешний интернет-адрес или адреса.
Каждое правило доступа МСЭ включает в себя:
· Направление входа для данного пакета (номер или название сетевого интерфейса, с которого поступил пакет);
· Направление выхода из шлюза (номер или название сетевого интерфейса, на который направляется пакет);
· Адрес или группу принадлежности (группу адресов), куда отнесен источник, породивший пакет;
· Адрес или группу принадлежности (группу адресов), куда отнесен получатель пакета;
· Протокол или порт службы, от которой пришел пакет;
· Протокол или порт службы. которой адресован пакет;
· Набор действий, которые необходимо предпринять для данного пакета (пропустить, отвергнуть, переслать другой службе, проанализировать дополнительно).
Правила в наборах рассматриваются по порядку и выполняется первое действие, удовлетворяющее правилам фильтрации.
В наборе существует обязательное правило по умолчанию, которое может формулироваться либо как «всех впускать» и реализует политику «разрешено всё, что не запрещено», либо как «всех отвергать» и реализуя политику «запрещено все, что не разрешено». В программных МСЭ данное правило может задаваться путем переключения режима работы между режимом разрешения и режимом блокировки.
Технология виртуальных частных сетей (VPN)
VPN (VirtualPrivateNetwork – виртуальная частная сеть) – название технологии построения защищенных сетевых соединений поверх других сетей.
Защищенность канала связи обеспечивается за счет использования протоколов аутентификации и шифрования, используемых для установки соединения и передачи данных поверх незащищенной сети.
Два основополагающих признака технологии VPN
· Средой передачи данных обычно служат сети общего пользования, такие как Интернет, городская телефонная сеть и корпоративная сеть без дополнительных механизмов защиты.
· Криптографические механизмы накладываются на третьем (сетевом) уровне модели OSI или между третьим и вторым уровнем.
Схемы применения технологии VPN
· Схема «сеть – сеть» - протоколы безопасности применяются только к пакетам, выходящим из локальной сети, и прекращают свое действие при входе пакета в удаленную локальную сеть (если обмен данных идет между двумя компьютерами в двух локальных сетях, например, в двух филиалах одной организации).
· Схема «точка – сеть» - обычно используется при удаленной работе сотрудника с сеть. организации. При этом как типовой вариант предполагается, что клиент (например, с мобильного компьютера по беспроводной сети) подключается к серверу удаленного доступа, связь между которым и локальной сетью назначения идет через компьютерную сеть общего пользования.
Схема «точка-точка» является частным случаем применения VPN и в «классические» схемы не включается.
VPN протоколы также называют протоколами с туннелированием.
Классификация VPN
По степени защищенности:
· Защищенные.
· Доверительные – обеспечивают лишь создание виртуальной сети и соединение поверх физической сети без защиты передаваемой информации. К VPN согласно базовому определению не относится.
По способу реализации:
· Программно-аппаратные
o На основе специализированных устройств.
o Интегрированные в иное сетевое оборудование.
· Программные.
По назначению:
· IntranetVPN – применяются для объединения нескольких территориально распределенных сетей (например, сетей филиалов и центрального офиса) в единую сеть через сеть общего пользования (например, Интернет).
· ExtranetVPN – применяются для подключения сторонних пользователей к сегменту внутренней сети предприятия, отделенному от основной сети с конфиденциальной информацией.
· RemoteAccessVPN – применяется для подключения к внутренней сети одиночных пользователей (например, работающих дома или находящихся в командировке)
· InternetVPN – «российское» применение технологии для организации доступа пользователей к сети Интернет через ЛВС провайдера.
· Client/ServerVPN – применяются для организации защищенной передачи данных между узлами входящими, как правило, в одну локальную сеть. Позволяет обеспечить защищенность передачи конфиденциальной информации без структурной перестройки сети или применения VLAN.
Виртуальные локальные сети (VLAN) (не путать с беспроводными сетями WLAN)
Виртуальные локальные сети строятся на специальных коммутаторах и позволяют построить на базе единой сети несколько независимых сетей так, как если бы они были построены на отдельных коммутаторах.
Дата добавления: 2018-08-06; просмотров: 245; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!