Вопросы по 5-ому семестру


хранение БД Active Directory



Скачать 431.05 Kb.
страница2/2
Дата17.11.2018
Размер431.05 Kb.
1   2

хранение БД Active Directory (организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию);

  • синхронизация изменений в AD (изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы c копиями, хранящимися на других контроллерах);

  • аутентификация пользователей (любой из контроллеров домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах).

    Настоятельно рекомендуется в каждом домене устанавливать не менее двух контроллеров домена — во-первых, для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, во-вторых, для распределения нагрузки между контроллерами.

    Вопрос 28. Опишите ключевые особенности ОС Astra Linux Special Edition по реализации требований безопасности информации.



    • Мандатное разграничение доступа

    • Изоляция модулей

    • Очистка оперативной и внешней памяти и гарантированное удаление файлов

    • Маркировка документов

    • Регистрация событий

    • Механизмы защиты информации в графической подсистеме

    • Режим ограничения действий пользователя (режим "киоск")

    • Защита адресного пространства процессов

    • Механизм контроля замкнутости программной среды

    • Контроль целостности

    • Средства организации домена

    • Защищенная реляционная СУБД

    • Защищенный комплекс программ электронной почты

    • Защищенный комплекс программ гипертекстовой обработки данных

    Вопрос 29. В чем различие Astra Linux Common Edition (CE) и Astra Linux Special Edition (SE). Перечислите релизы Astra Linux Special Edition.

    Astra Linux CE предназначена для обеспечения функциональности современных компьютеров при решении широкого круга пользовательских задач.

    Astra Linux SE предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию до степени секретности "совершенно секретно" включительно.

    Релиз «Смоленск» операционной системы специального назначения Astra Linux SE предназначен для функционирования на средствах вычислительной техники с процессорной архитектурой х86-64.

    Релиз «Новороссийск» предназначен для функционирования на мобильных и встраиваемых компьютерах с процессорной архитектурой ARM.

    Архитектура ARM (от англ. Advanced RISC Machine — усовершенствованная RISC-машина) — семейство лицензируемых 32-битных и 64-битных микропроцессорных ядер разработки компании ARM Limited.

    RISC (англ. reduced instruction set computer — «компьютер с сокращённым набором команд») — архитектура процессора, в котором быстродействие увеличивается за счёт упрощения инструкций, чтобы их декодирование было более простым, а время выполнения — меньшим.

    Релиз «Мурманск» разработан для функционирования на мэйнфреймах IBM System Z.



    IBM System z (более раннее название — IBM eServer zSeries) — бренд, созданный компанией IBM для обозначения линейки мейнфреймов.

    Релиз «Севастополь» — дистрибутив Astra Linux SE, предназначенный для функционирования на настольных, мобильных и встраиваемых компьютерах с процессорной архитектурой MIPS.



    MIPS (англ. Microprocessor without Interlocked Pipeline Stages, микропроцессор без состояний задержки конвейера) — микропроцессор, разработанный компанией MIPS Computer Systems (в настоящее время MIPS Technologies) в соответствии с концепцией проектирования процессоров RISC.

    Релиз «Керчь» — дистрибутив Astra Linux SE, предназначенный для функционирования на высокопроизводительных серверах, базирующихся на платформах с процессорной архитектурой POWER.



    POWER — микропроцессорная архитектура с ограниченным набором команд (RISC), разработанная и развиваемая компанией IBM. Название позже было расшифровано как Performance Optimization With Enhanced RISC (оптимизация производительности на базе расширенной архитектуры RISC).

    Релиз «Ленинград» — дистрибутив Astra Linux SE, предназначенный для работы на вычислительных комплексах «Эльбрус».

    Вопрос 30. Опишите модель контроля и управления доступом в ОС Astra Linux Special Edition (SE).

    Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель), которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределённой среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы.



    МРОСЛ ДП-модель — мандатная сущностно-ролевая ДП-модель. ДП-модель — модель логического управления доступом «Д» и информационными потоками «П».

    В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени.

    В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.

    SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью) — реализация системы принудительного контроля доступа, которая может работать параллельно с классической избирательной системой контроля доступа.

    SELinux был разработан Агентством национальной безопасности США, и затем его исходные коды были представлены для скачивания.

    Вопрос 31. В чем заключаются особенности организации домена ALD?



    Домен Astra Linux Directory (ALD) представляет собой набор средств для организации работы пользователей в локально вычислительной сети (ЛВС) на платформе ОС СН В основу положен доменный принцип построения ЛВС, при котором все логически связанные сетевые ресурсы и пользователи объединяются в единую систему идентификации и аутентификации с централизованным управлением политикой безопасности в соответствии с правилами мандатного разграничения доступа информации При этом пользователь получает возможность взаимодействия как с другими пользователями сети, так и с сетевыми ресурсами

    Система управления доменом ALD построена на технологиях LDAP, Kerberos 5, CIFS и интегрирована со средствами защиты информации от НСД из состава ОС СН Система управления доменом ALD обеспечивает сквозную аутентификацию для входа в защищенную серверную группу и автоматическую настройку всех необходимых файлов конфигурации служб, а также предоставляет удобный интерфейс администрирования

    Вопрос 32. Опишите модель информационной безопасности «КЦД»



    Согласно модели «КЦД» все возможные нарушения информационной безопасности всегда могут быть отнесены по меньшей мере к одной из трех групп: нарушения конфиденциальности, нарушения целостности или нарушения доступности

    Информационная система находится в состоянии безопасности, если она защищена от нарушений конфиденциальности, целостности и доступности, где:

    1. конфиденциальность (confidentiality) — это состояние ИС, при котором информационные ресурсы доступны только тем пользователям, которым этот доступ разрешен;

    2. целостность (integrity) — это состояние системы, при котором информация, хранящаяся и обрабатываемая этой И С, а также процедуры обработки информации не могут быть изменены, удалены или дополнены неавторизованным образом;

    3. доступность (availability) — это состояние системы, при котором услуги, оказываемые системой, могут гарантированно и с приемлемой задержкой быть предоставлены пользователям, имеющим на это право.

    Вопрос 33. Опишите модель информационной безопасности «Гексада Паркера»

    Одной из наиболее популярных альтернатив триаде КЦД является так называемая гексада Паркера (Parkerian Hexad), в которой определено шесть базовых видов нарушений, в число которых, помимо нарушений конфиденциальности, доступности и целостности, входят еще три вида нарушений: аутентичности, владения и полезности.

    Аутентичность (authenticity) — это состояние системы, при котором пользователь не может выдать себя за другого, а документ всегда имеет достоверную информацию о его источнике (авторе). Из этого определения видно, что аутентичность является аналогом неотказуемости.http://yztm.ru/wp-content/uploads/2017/12/word-image-22.png

    Владение (possession) — это состояние системы, при котором физический контроль над устройством или другой средой хранения информации предоставляется только тем, кто имеет на это право.

    Полезность (utility) — это такое состояние Информационной Системы, при котором обеспечивается удобство практического использования как собственно информации, так и связанных с ее обработкой и поддержкой процедур. В безопасной системе меры, предпринимаемые для защиты системы, не должны неприемлемо усложнять работу сотрудников, иначе они будут воспринимать их как помеху и пытаться при всякой возможности их обойти.

    Российский государственный стандарт ГОСТ 13335-1:2006 дает определение информационной безопасности на основе гексады Паркера:

    Вопрос 34. Опишите модель информационной безопасности «STRIDE»

    STRIDE - это модель классификации угроз, разработанная Microsoft для анализа угроз компьютерной безопасности . Он предоставляет мнемонику для угроз безопасности в шести категориях.

    STRIDE - это аббревиатура от следующих англоязычных названий типов нарушений безопасности:

    Spoofing — Подмена;
    Tampering — Изменение данных;
    Repudiation — Отказ от ответственности;
    Information disclosure — разглашения сведений;
    Denial of service -отказ в обслуживании;
    Elevation of privilege — захват привилегий.

    В соответствии с этой моделью ИС находится в безопасности, если она защищена от следующих типов нарушений: подмены данных, изменения данных, отказа от ответственности, разглашения сведений, отказа в обслуживании, захвата привилегий.

    Подмена данных (spoofing) — это такое нарушение, при котором пользователь или другой субъект ИС путем подмены данных, например IP-адреса отправителя, успешно выдает себя за другого, получая таким образом возможность нанесения вреда системе.

    Изменение (tampering) означает нарушение целостности.

    Отказ от ответственности (repudiation) представляет собой негативную форму уже рассмотренного нами свойства неотказуемости (non-repudiation).

    Разглашение сведений (information disclosure) — это нарушение конфиденциальности.

    Отказ в обслуживании (denial of service) касается нарушения доступности.

    Захват привилегий (elevation of privilege) заключается в том, что пользователь или другой субъект Информационной Системы несанкционированным образом повышает свои полномочия в системе, в частности незаконное присвоение злоумышленником прав сетевого администратора снимает практически все защитные барьеры на его пути.

    Вопрос 35. Что такое уязвимость ИС? Какие типы уязвимостей существуют?

    Уязвимость (vulnerability) — это слабое звено информационной системы, которое, став известным злоумышленнику, может позволить ему нарушить ее безопасность.

    Уязвимостями являются, например, ошибка в программе, примитивный пароль, неправильное назначение прав доступа к файлу с важными данными и множество других дефектов в разработке, эксплуатации или настройке системы.

    Уязвимости системы могут быть скрытыми, то есть еще не обнаруженными, известными, но только теоретически, или же общеизвестными и активно используемыми злоумышленниками. Для общеизвестных уязвимостей в программных продуктах производители регулярно выпускают исправления, называемые патчами (patch — заплатка).

    Многие из этих исправлений направлены на устранение уязвимостей. Однако к этой рутинной процедуре — регулярному внесению исправлений — не все и не всегда относятся с должным вниманием, из-за этого общеизвестные, но неисправленные ошибки в программном обеспечении являются одним из самых распространенных типов уязвимостей.

    Другим типом уязвимостей, которыми часто пользуются злоумышленники, являются ошибки в конфигурировании программных и аппаратных средств. Например, имена «администратор» и «гость», установленные по умолчанию во многих ОС, могут облегчить злоумышленникам доступ к системе, поэтому они должны быть сразу при начальном конфигурировании ОС заменены другими, менее очевидными именами. С этой же целью администратор должен настроить подсистему интерактивного входа на то, чтобы она не показывала последнее имя пользователя, систему аудита — чтобы фиксировала все успешные и неуспешные попытки входа пользователей, а также выполнить другие столь же простые, но необходимые настройки.

    Вопрос 36. Каким образом осуществляется поиск уязвимостей?



    Уязвимость (vulnerability) — это слабое звено информационной системы, которое, став известным злоумышленнику, может позволить ему нарушить ее безопасность.

    Поиск уязвимостей — важная часть задачи обеспечения безопасности. Эта работа включает в себя регулярное тестирование системы. В любой момент времени для любой системы можно указать множество различных видов уязвимостей, например, для операционных систем и приложений новые уязвимости появляются чуть ли не каждый день; выявлять их вручную — задача очень трудоемкая. Поэтому для автоматизации поиска уязвимостей используют различные программные инструменты — средства сканирования уязвимостей, такие, например, как Positive Technologies XSpider, Nessus и др.

    Проект Nessus был основан в 1998. Первоначально являлся программным обеспечением с открытым исходным кодом. В октябре 2005 года компания Tenable Network Security приняла решение закрыть исходный код приложения и сделать его проприетарным. Исходный код Nessus 2 послужил основой проекта открытого сканера уязвимостей OpenVAS.

    Сканирование заключается в последовательном (адрес за адресом узла, или номер за номером порта, или идентификатор за идентификатором сетевого соединения) направлении запросов целевой системе. Затем на основании полученных ответов генерируется «информационный отпечаток» и, наконец, сравнением «отпечатка» с записями в базе данных выполняется идентификация уязвимости.






    Поделитесь с Вашими друзьями:
  • 1   2


    База данных защищена авторским правом ©vossta.ru 2019
    обратиться к администрации

        Главная страница