лекция№12 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <12>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Программные Системы Защиты Информации для Персональных Компьютеров>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Программные Системы Защиты Информации для Персональных Компьютеров >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Петровский А., Леонтьев Б. Эффективный хакинг. – М.: Познавательная книга плюс, 1999

Учебно-материальное обеспечение:

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Программы для аутентификации доступа к компьютеру - ? мин

2-й учебный вопрос ПО для защиты от НСД ПК и объектов ОС - ? мин

3-й учебный вопрос Программы для защиты целостности ОС - ? мин

4-й учебный вопрос Программы для защиты ПК от вторжений из глобальных сетей - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Необходимость применения специализированных СЗИ в процессе использования ПК определяется степенью присутствия (отсутствия) соответствующих функций у установленного на нем системного ПО (ОС и СУБД), а также их соответствия установленным стандартам безопасности. Поэтому далее будут рассматриваться программные средства, дополняющие или заменяющее штатные средства безопасности системного ПО в таких сферах, как аутентификация, разграничение доступа к объектам ОС, защита целостности ОС и работа в Интернет. Основной упор при этом будет сделан на СЗИ для Windows 95/98, поскольку данная ОС является самой незащищенной среди используемых в настоящее время.

Наиболее полный набор средств защиты ПК предлагает компания Symantec. Это: комплект системных утилит Norton Utilities, программа создания защищенных папок и логических дисков Norton Your Eayes Only, комплекс обеспечения безопасности при работе в Интернет Norton Internet Security. Кроме решений компании Symantec будут рассмотрены также и другие программы, в том числе и отечественного производства.

1-й учебный вопрос Программы для аутентификации доступа к компьютеру - ? мин

СЗИ этого класса блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему. Существует большое количество профессиональных и кустарных разработок для реализации данной функции. Как правило, они блокируют возможность загрузки ОС с системных дискет и CD и навязывают пользователям прохождение процедур идентификации и аутентификации, обойти которые более или менее трудно.

Рассмотрим в качестве примера, одну из наиболее удачных – программу Access Denied. При старте ПК она:

-перехватывает управление процессом загрузки до старта W-95/98;

-блокирует все варианты загрузки, кроме жесткого диска;

-заставляет пользователя ввести имя и пароль и проверяет их подлинность.

В процессе работы ПК программа может блокировать доступ к “Рабочему столу” после заданного периода неактивности или по команде и возвращать его по предъявлению пароля.

Администратор программы может:

-создавать и удалять пользователей, менять их пароли;

-управлять параметрами начальной загрузки и “хранителя экрана”;

-работать с журналами аудита процессов начальной загрузки, хранителя экрана и администрирования.

Приведем еще два примера подобных программ:

Boot Drive Lock (CrashCourse Software) – программа контроля доступа к жесткому диску. Она модифицирует содержимое первого жесткого диска в системе таким образом, что он становится недоступным при его извлечении и установке на другой компьютер. Boot Drive Lock запрещает доступ к диску при загрузке с дискеты, а также несанкционированное изменение процесса загрузки (загрузочных файлов DOS или Windows 95/98). Поэтому доступ к диску (или расположенным на нем логическим устройствам) возможен только при стандартной загрузке, либо с использованием специальной загрузочной дискеты, защищенной паролем. Boot Drive Lock следит за изменениями содержимого MBR во время загрузки и сообщает об изменениях контрольной суммы. Эта функция позволяет предотвратить заражение компьютера бутовыми вирусами. Программа управляется через Control Panel и не требует каких-либо аппаратных изменений или настроек на уровне BIOS.

Protector2 (Jan Dolinay) - служит для задания списка пользователей, имеющих доступ к компьютеру, описания их привелегий на доступ к папкам или файлам. Protector2 реализует средства защиты Windows NT для операционных систем Windows 9.х. С помощью этой программы можно также отменять доступ к реестру, окну MS-DOS, элементам Control Panel и т.п. Поддерживается протокол попыток доступа к защищенным ресурсам. Protector2 поставляется в виде двух системных драйверов и одной программы, обеспечивающей пользовательский интерфейс. Во время загрузки, Protector2 проверяет полномочия того или иного пользователя и, в соответствии с ними, предоставляет или запрещает доступ к тем или иным ресурсам компьютера.

2-й учебный вопрос ПО для защиты от НСД ПК и объектов ОС - ? мин

Данная категория программ обеспечивают дифференцированный доступ пользователей к устройствам ПК и объектам ОС (файлам, папкам, логическим дискам) и решают задачи защиты конфиденциальных информационных ресурсов пользователей, а также несанкционированных записи/считывания информации и активизации исполняемых программ.

К ним можно отнести три класса программ:

-программы для контроля доступа на системном уровне ОС;

-программы для кодирования (шифрования) объектов ОС;

-программы для удаления “хвостов”, оставшихся после работы программ и осуществления различных операций с файлами.

Программы для контроля доступа на системном уровне ОС

Данный класс программ позволяет разграничить доступ к устройствам, сервисам и объектам ОС из стандартных интерфейсов путем нестандартного использования ее системных функций. К ним относятся:

Windows Security Officer (Eugene Mihailov) позволяет управлять доступом к различным компонентам компьютера. Используя эту программу можно задавать различные уровни доступа, описывать привелегии, запрещать доступ к некоторым элементам Control Panel, включая Display, Network, Passwords, Printer и System. Можно запретить доступ к меню Start, окну MS-DOS, сделать "невидимыми" жесткие диски, иконки на рабочем столе и т.п. Поддерживаются функции временного доступа (Working Time Restriction) – можно указать когда и как долго можно пользоваться теми или иными сервисами и возможность задания списка программ, которые разрешены для выполнения. Windows Security Officer обеспечивает контроль доступа к приводу CD-ROM с помощью специальной функции CD-ROM Spy, а также может быть сконфигурирована таким образом, что некоторые окна не могут быть активированы (функция Windows Spy).

CDLock 2000 (Jonathan Lovatt) позволяет установить парольную защиту на привод CD-ROM или DVD-ROM. Среди основных функций: защита различных логических устройств, защита доступа к устройству при загрузке Windows Startup, управление программой из System Tray, мощная парольная защита.

Folder Guard Jr. (WinAbility) - предоставляет функции для ограничения доступа к файлам, расположенным в той или иной папке. После того как для папки выполнена команда Hide, папка становится невидимой в Windows Explorer, диалоговых панелях Open/Save As и других стандартных Windows-приложениях, а также для DOS-программ, запущенных из-под Windows. Для получения доступа к папке выполняется команда Reveal – после этого с файлами, находящимися в данной папке можно выполнять все обычные функции – до тех пор, пока снова не будет выполнена команда Hide. Folder Guard Jr. не шифрует и не изменяет саму папку или находящиеся в ней файлы. Защита выполняется динамически за счет перехвата системных обращений к файловым функциям и отмены тех функций, которые пытаются обратиться к защищенной папке.

Программы для кодирования (шифрования) объектов ОС

Данные программы используют для ограничения доступа к таким объектам ОС, как логические диски, папки и файлы, различные алгоритмы преобразования информации. К наиболее распространенным программам этого класса можно отнести различные архиваторы (ZIP, ARJ, RAR) с возможностью парольной защиты архивов. Из специализированных программ для шифрования объектов ОС рассмотрим следующие.

Secret Disk (Alladin Software).

При установке системы Secret Disk образуется новый виртуальный логический диск (один или несколько). Все что на него записывается - автоматически шифруется, а при чтении - расшифровывается. Содержимое этого логического диска находится в специальном контейнере - зашифрованном файле. Файл секретного диска может находиться на жестком диске компьютера, на сервере, на съемных носителях типа Zip, Jaz, CD-ROM или магнитооптике.

Secret Disk обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.

Подключение секретного диска и работа с зашифрованными данными возможны только после аппаратной аутентификации пользователя и ввода пароля. Для аутентификации используется электронный идентификатор - смарткарта, электронный ключ или брелок.

Secret Disk имеет открытый интерфейс для подключения внешних крипто-средств. В зависимости от потребностей, может использоваться один из реализованных алгоритмов. Встроенный алгоритм, входящий в базовую версию, обеспечивает высокую криптостойкость, которой в большинстве случаев хватает для защиты конфиденциальной информации. Для особых задач (например, для защиты информации в государственных организациях) можно пользоваться версией Professional с сертифицированным крипто-модулем (ГОСТ 28147-89) фирмы "АНКАД" - производителя семейства известных плат Криптон, сертифицированных ФАПСИ для защиты государственной тайны.

Основные возможности:

-защита конфиденциальных данных с помощью профессиональных алгоритмов шифрования (возможно подключение внешних криптографических библиотек);

-генерация ключей шифрования самим пользователем;

-аппаратная аутентификация пользователя с использованием электронных брелков, смарт-карт, PCMCIA-карт или электронных ключей;

-каждый секретный диск защищен личным электронным идентификатором пользователя и паролем доступа к этому диску;

-предоставление доступа к одному секретному диску нескольким пользователям с разными электронными идентификаторами и паролями;

-ведение журнала обращений к секретному диску;

-работа с зашифрованными архивами;

-резервное копирование файлов-контейнеров для предотвращения случайной потери информации;

-функция "Красная кнопка" для мгновенного отключения всех секретных дисков и стирания памяти электронного идентификатора в случае экстренной необходимости;

-блокировка экрана и клавиатуры при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя;

-активизация режима работы под принуждением путем ввода аварийного пароля с дальнейшим уничтожением ключа шифрования в электронном идентификаторе и имитацией сбоя операционной системы.

Norton Your Eyes Only (Symantec).

Основные характеристики:

-Интерфейс пользователя полностью основывается на расширениях к Проводнику Windows 95.

-Можно выбрать алгоритм шифрования с симметричным ключом из RC4, RC5, Triple DES или Blowfish. Секретный ключ зашифровывается на основе открытого.

-Постановка цифровой подписи не обеспечивается.

-Автоматизация шифрования и расшифровки файлов - все файлы, хранящиеся на диске в определенных пользователем каталогах (папках) шифруются при записи и расшифровываются при чтении.