 |
Группа1. Неверные и не совсем верные высказывания.
|
|
|
|
1. Хранить ключи требуется на физически защищенном компьютере, работающем под управлением файловой системы NTFS.
2. EFS. Если пользователь А записывает файл в каталог, созданный и отмеченный как зашифрованный пользователем В, то файл шифруется ключом В. При передаче по сети файла, прочитанного из зашифрованного каталога файл всегда расшифровывается. При снятии отметки «шифруемый» с каталога все файлы, находящиеся в нем, расшифровываются.
3. Протокол IPSec предназначен для шифрования сетевого трафика. С его помощью можно устроить безопасное соединение двух и более компьютеров, находящихся в одной локальной сети или в разных сетях. Этот протокол лежит в основе VPN-соединения. VPN-соединение – это туннель, обеспечивающий защиту ото всех возможных угроз информации
4. Произвести атаки «ранняя рассинхронизация», «поздняя рассинхронизация» и «подмена доверенного лица» может только злоумышленник, находящийся в той же сети, что и атакуемый объект. Атака «перенаправление трафика» реализуется внешним по отношению к сети злоумышленником, т.к. внутренний злоумышленник итак находится на пути следования трафика. Основная цель этой атаки состоит в прослушивании трафика
5. Ключи, полученные на первой фазе установления соединения по протоколу IPSec, используются для шифрования второй фазы переговоров. Ключ, полученный на второй фазе, используется для шифрования входящего и исходящего трафика. Продолжительность жизни первых ключей обычно составляет 8 часов, а ключ второй фазы используется только в течение одного сеанса связи. Ключи формируются по алгоритму В92
6. Установка брандмауэра обеспечивает защиту от вирусов, троянских коней и утилит скрытого администрирования. Такая защита одинаково эффективна и при внешних и при внутренних атаках. Защищать необходимо компьютеры, являющиеся серверами баз данных, для других компьютеров обычно достаточно организовать выход в Интернет от учетной записи с минимальными правами
|
|
|
7. Если злоумышленник находится в сети А, клиент – в сети В, а DNS сервер – в сети С, то злоумышленник не может прослушивать трафик, а, следовательно, он не может провести удаленную атаку, направленную на клиента или на сервер. Поэтому требуется обеспечить безопасный маршрут до DNS сервера, а еще лучше располагать DNS сервер в своей локальной сети
8. Установить соединение при помощи протокола IPSec можно между любыми двумя компьютерами, находящимися в одной сети или в разных. Предпочтительнее использовать более надежное шифрование, тогда можно отказаться от электронной подписи
9. Применяемая в EFS система шифрования файла состоит в следующем. Генерируется некоторая случайная последовательность символов СП, закрытый ключ пользователя тоже формирует ГПСЧ. Ключом СП несимметричным алгоритмом шифруется файл. Затем шифруется ключ СП закрытым ключом пользователя и помещается в специальную область хранения ключей. К этой области имеет доступ только операционная система
10. Если у вас возникло подозрение, что ваш компьютер заражен макро-вирусом, можно открыть компонент проекта Normal и удалить все программы из него. После такой процедуры можно продолжать работать. Этот метод позволяет избавиться ото всех типов макро-вирусов, но ничего не дает для других типов загрузочных вирусов
11. При переустановке системы, использующей EFS, требуется сначала попросить всех пользователей расшифровать свои файлы. Затем переустановить систему. Затем сообщить пользователям, что они могут снова зашифровать свои файлы. Такие же действия следует выполнить и в случае переписывания всего содержимого диска на другой диск
|
|
|
12. Распределенная атака – это атака, производимая в один момент времени сразу несколькими злоумышленниками. Цель подобной атаки – обеспечение «отказа в обслуживании». Распределенную атаку достаточно трудно обнаружить и предотвратить. Распределенные атаки чаще всего организуются недовольными работниками данного предприятия
13. Брандмауэры применяются для зеркалирования локальной сети, если требуется обеспечить безопасный выход в Интернет. Для ограничения доступа к подсетям локальной сети или отдельным пользователям брандмауэры не могут применяться. В локальной сети лучше установить коммутатор или маршрутизатор и продумать правила разграничения доступа, которые можно задать в файловой системе
14. Вирусы отличаются от других вредоносных программ тем, что они могут «размножаться», то есть копировать свои копии в заражаемые файлы, поэтому вредоносная программа, имеющаяся на компьютере в единственном экземпляре, не может считаться вирусом. Код вируса, реализующий его размножение, выполняется при каждом «запуске» вируса. Действия, призванные нанести урон, могут быть выполнены только один раз, так как позже в них отпадает необходимость. Эти действия выполняются при запуске пользователем зараженного файла
15. Брандмауэры защищают от атак «подмена доверенного лица», «затопление ICMP пакетами», «прослушивание трафика»»
16. Наибольший ущерб приносят макро-вирусы и сетевые вирусы, так как они легче размножаются, быстрее захватывают компьютеры. Антивирусные сканеры не защищают от сетевых вирусов. Поэтому при подключении к локальной сети или к сети Интернет следует включить антивирусный монитор. Антивирусные программы не могут обнаружить резидентные вирусы
17. Для того чтобы обеспечить защиту от атак через Интернет, следует установить на сервере внешних связей прокси-сервер. При этом скорость передачи файлов из Интернет возрастет. Если в Интернет выходит сразу несколько человек через один и тот же прокси-сервер, то скорость их работы существенно замедляется, поэтому рекомендуется устанавливать для каждого отдела предприятия свой прокси-сервер, либо один прокси-сервер для тех компьютеров, которые расположены рядом, независимо от характера работы их пользователей
|
|
|
18. Установка брандмауэра на границе вашей локальной сети и Интернет повышает безопасность вашей сети, хотя и замедляет работу. Наибольший эффект дают фильтрующие маршрутизаторы, так как они не пропускают пакеты с запрещенными IP адресами отправителей и получателей, с запрещенными портами приема и передачи, с запрещенным содержимым пакетов
19. Макро вирусы не могут быть стелс вирусами. Полиморфные вирусы не могут быть сетевыми. LINK-вирусы – это всегда стелс вирусы. Резидентный вирус появляется в системе при загрузке компьютера
Группа 2. Задачи. нет.
Группа 3. Вопросы.
1. Сканирование портов это а) DoS атака; б) подготовка к DoS атаке; в) подготовка к прослушиванию трафика; г) пассивная атака; д) нет верного ответа.
2. Пользователь может стать участником DDoS атаки а) только при желании; б) не зная об этом; в) не имея возможности проконтролировать участи; г) только при выходе в Internet; д) работая в локальной сети; е) нет верного ответа.
3. Атака называется пассивной, если а) злоумышленник находится в том же домене, что и объект; б) злоумышленник находится на пути следования трафика атакуемого объекта; в) злоумышленник прослушивает трафик; г) злоумышленник изменяет трафик атакуемого объекта; г) злоумышленник генерирует трафик, направленный на атакуемый объект; е) нет верного ответа.
4. Цель атаки поздней рассинхронизации: а) DoS атака; б) подмена доверенного лица; в) человек посередине; г) атака на отражение; д) перенаправление маршрута; е) нет верного ответа.
5. Проверка правильности ввода пользователя должна выполняться а) на стороне клиента, чтобы не загружать сервер; б) на стороне сервера, поскольку только здесть есть все необходимые данные; в) проверки должны дублироваться и на стороне сервера и на стороне клиента, чтобы обеспечить максимальный уровень защиты; г) на стороне сервера и на стороне клиента должны проводиться разные проверки, чтобы распределить вычисления; д) нет верного ответа.
|
|
|
6. Изменение адреса возврата выполняется с целью а) перенаправления маршрута; б) рассинхронизации; в) подмены доверенного лица; г) реализации DoS атаки; д) нет верного ответа.
7. К вирусам относят а) любую вредоносную программу; б) любую вредоносную программу, способную к размножению; в) любую программу, в результате работы которой портятся нужные данные; г) любую программу, уничтожающую с диска нужные файлы; д) любую программу, передающую секретные данные злоумышленнику; е) нет верного ответа.
8. Стелс вирусы это а) вирусы, способные менять свой код; б) вирусы, способные перемещаться по компьютеру; в) вирусы, способные прятаться от антивирусных программ; г) вирусы, распространяющиеся в локальной сети; д) вирусы, оставляющие резидентным процесс, лечащий зараженный файл перед просмотром сканером; д) нет верного ответа.
9. Наибольшую защиту от вирусов обеспечивают а) антивирусные сканеры; б) антивирусные мониторы; в) антивирусные иммунизаторы; г) антивирусные блокировщики; д) нет верного ответа.
10. Ко взлому паролей с использованием психологии относят: а) взлом по словарю; б) поиск записанного пароля; в) просьба сообщить пароль службе поддержки; г) блокирование учетной записи при помощи многократного ввода неверного пароля; д) взлом методом грубой силы; е) нет верного ответа.
11. NTFS обеспечивает а) защиту от нарушения конфиденциальности; б) защиту от нарушения целостности; в) защиту от потери информации; г) защиту от DoS атаки; д) ото всех угроз при правильном задании разрешений и запретов; е) от всех угроз, кроме кражи; ж) нет верного ответа.
12. Наличие агента восстановления в EFS а) уменьшает защищенность от несанкционированного доступа; б) уменьшает защищенность от нарушения целостности; в) уменьшает защищенность от DoS-атаки; г) увеличивает защищенность от несанкционированного доступа; д) увеличивает защищенность от нарушения целостности; е) увеличивает защищенность от DoS-атаки; ж) не влияет на защищенность.
13. Реализация EFS имеет некоторые уязвимости, это а) короткий ключ шифрования; б) при просмотре зашифрованного файла по сети файл расшифровывается и передается в открытом виде; в) администратор может расшифровать любой файл; г) при переносе зашифрованного файла в папку, не помеченную как зашифрованная, файл расшифровывается; д) при переустановке системы все файлы расшифровываются; е) нет верного ответа.
14. Положительные черты реализации EFS: а) высокая скорость работы; б) длинные ключи; в) возможность использования аппаратных генераторов случайных чисел; г) файлы, защищенные EFS, не требуется защищать средствами NTFS; д) совместимость с любой файловой системой; е) нет верного ответа.
|
|
|
15. На первой фазе протокола IPSec а) проводится двусторонняя аутентификация отправителя и получателя; б) проводится двусторонняя аутентификация IPSec-сервера отправителя и IPSec-сервера получателя; в) вырабатываются ключи для передачи данных; г) вырабатываются ключи для аутентификации отправителя и получателя; д) нет верного ответа.
16. На второй фазе протокола IPSec а) производится передача зашифрованных данных; б) формируются ключи шифрования для передачи данных; в) формируются ключи аутентификации отправителя и получателя; г) проводится аутентификация отправителя и получателя; д) нет верного ответа.
Оценивание
| Вид деятельности | Максимум | Мини-мум |
| Работа на лекциях | ||
| Участие в ролевой игре | ||
| Решение задачи группы 1 | ||
| Решение задачи группы 2 | ||
| Блиц-опрос | ||
| Выполнение самостоятельной работы №3 | ||
| Итого: |
Темы ИДЗ.
Тема для работы может быть выбрана студентом самостоятельно и согласована с преподавателем. В каждой работе должно быть использовано не менее трех криптографических алгоритмов, причем два из них могут быть взяты целиком или основываться на лабораторных работах, один выбирается из книги Шнайера «Прикладная криптография» или из других материалов. Работа оформляется в виде демонстрационной формы.
1. Одноразовый блокнот с ключевой фразой.
2. Одноразовый блокнот с обновлением ключа в каждом сообщении.
3. Аутентификация на базе общего секрета.
4. Аутентификация на базе RSA.
5. Протокол SKEY.
6. Депонирование ключей.
7. Доказательство с нулевым разглашением.
8. Протокол голосования.
9. Разделение секрета.
10. Генерация ключа на квантовом компьютере.
11. Распределение ключей на базе фиксированного битового индекса.
12. Защищенный канал на базе сверхвозрастающей последовательности.
13. Выработка случайного секретного ключа «Бросание монетки по телефону».
14. Передача с забыванием.
15. Криптоанализ гаммирования с конечной гаммой.
Вопросы к экзамену
Экзамен сдается по билетам. В билете указывается один вопрос, на который студент отвечает устно, одна задача и одно практическое задание (на программирование). Студент готовит устный ответ и решает задачу самостоятельно, не пользуясь вспомогательными материалами. При выполнении практического задания студент может обращаться к книгам и электронным справочникам.
Студент допускается к экзамену при условии сдачи всех предусмотренных в модулях видов отчетности, по крайней мере, на минимальный балл.
Вопросы к экзамену приведены ниже. Задачи и задания аналогичны заданиям, указанным в модулях.
1. Факторы, приводящие к информационным потерям. Угрозы информационным системам.
2. Вход в систему. Регистрация в операционной системе. Подсистемы связи.
3. Требования к криптосистемам. Криптография. Виды алгоритмов. Стеганография.
4. Криптография. Алгоритмы Моно- и многоалфавитные подстановки (замена), перестановки.
5. Криптография. Алгоритмы гаммирования (по модулю 2 и по модулю «длина алфавита»).
6. Криптоанализ симметричных алгоритмов.
7. Несимметричные алгоритмы. RSA. Арифметические операции по модулю n. Расчет по алгоритму, скорость которого логарифмически зависит от степени.
8. Криптоанализ RSA (4 вида атаки с примерами).
9. Алгоритм Диффи-Хэлмана. Криптоанализ.
10. Электронная подпись на основе RSA (схема с шифрованием исходного сообщения, без шифрования). Сертификаты.
11. Управление ключами: генерация ключей, накопление, распределение, хранение. Использование “блуждающих ключей”. Протоколы.
12. Шифрование больших сообщений и потоков данных. Шифрование, кодирование и сжатие информации.
13. Файловая система EFS в Windows 2000. Технология шифрования. Восстановление данных.
14. Реализация в EFS Windows 2000. Библиотека времени выполнения EFS (FSRTL). Служба EFS. Win32 API.
15. Электронные платежные системы. Универсальная система электронных платежей UEPS. Платежная система, в которой банк распространяет электронные деньги.
16. Защищенные каналы. Аутентификация. Аутентификация на основе открытого ключа. Аутентификация на основе общего секретного ключа.
17. Аутентификация с использованием центра распределения ключей. Схема Нидхэма-Шредера.
18. Протокол Kerberos в Windows 2000. Начальная аутентификация. Метка времени в качестве средства для взаимной аутентификации.
19. Аутентификация за пределами домена. Междоменные связи. Делегирование аутентификации.
20. Срок годности билетов. Обновляемые билеты. Как служба KDC ограничивает срок действия билета. Что происходит после истечения срока действия билета.
21. Представительские билеты. Передаваемые билеты.
22. Протокол IPSec в Window 2000. Аутентификация. Код аутентификации хеш-сообщения (HMAC) (MAC код или имитовставка). Заголовок аутентификации IP (AH).
23. Установление соединения на основе IPSec. Содержимое двух фаз. Протокол инкапсулированной защиты IP (ESP). Несколько слов о совместимости.
24. Вредоносные программы. Вирусы. Классификация компьютерных вирусов.
25. Файловые вирусы. Способы заражения: запись поверх, паразитические, вирусы без точки входа. Алгоритм работы файлового вируса.
26. Файловые вирусы. Способы заражения: компаньон-вирусы, файловые черви, Link-вирусы. Алгоритм работы файлового вируса.
27. Макро-вирусы. Алгоритм работы Word макро-вирусов.
28. Полиморфик-вирусы. Полиморфные расшифровщики. Полиморфные расшифровщики. Уровни полиморфизма. Изменение выполняемого кода.
29. Стелс-вирусы: загрузочные вирусы, файловые вирусы, макро-вирусы.
30. Резидентные вирусы. Троянские кони (логические бомбы). Утилиты скрытого администрирования (backdoor) компьютеров в сети.
31. Сетевые вирусы. Intended-вирусы. Конструкторы вирусов.
32. Полиморфные генераторы. IRC-черви.
33. Методы обнаружения и удаления компьютерных вирусов. Типы антивирусов. Сканеры. CRC-сканеры. Блокировщики. Иммунизаторы.
34. Правила защиты от вирусов.
35. Пароли. Хранение и передача по сети. Безопасность паролей и шифрование. Идентификация и аутентификация. Использование токенов.
36. Восстановление паролей в текстовом виде. Поиск по словарю. Прямой подбор. “Комбинированный” метод.
37. Основные меры защиты паролей.
38. Квантовая криптография. Протокол генерации ключа.
39. Биометрические средства защиты.
40. Анализ защищенности TCP/IP. Пассивные атаки на уровне TCP. Подслушивание. Активные атаки на уровне TCP.
41. Предсказание TCP sequence number. Внутренняя атака, внешняя атака. Детектирование и защита.
42. Ранняя десинхронизация. Десинхронизация нулевыми данными. ACK-буря.
43. Затопление ICMP-пакетами. Локальная буря. Затопление SYN-пакетами.
44. Понятие удалённой атаки через Internet. Классификация удаленных атак через систему Internet. Причины успеха удаленных атак на сеть Internet.
45. Программно-аппаратные методы защиты от удаленных атак в сети Internet. Аппаратные шифраторы сетевого трафика. Прокси - сервер. Firewall или брандмауэр. Основные виды межсетевых экранов (брандмауэров)
46. SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet.
47. Правовое обеспечение безопасности ИС. Требования к безопасности ИС. Стандартизация аппаратных средств. Показатели защищенности средств вычислительной техники.
Критерии оценки знаний по дисциплине:
Оценка неудовлетворительно ставится, если студент не смог продемонстрировать ключевые знания, умения и навыки по данной дисциплине.
Оценка удовлетворительно ставится, если студент продемонстрировал ключевые знания, умения и навыки, но не смог продемонстрировать глубокого понимания предмета изучения по большинству разделам дисциплины.
Оценка хорошо ставится, если студент продемонстрировал ключевые знания, умения и навыки, продемонстрировал в основном глубокое понимание предмета.
Оценка отлично ставится, если студент продемонстрировал ключевые знания, умения и навыки, глубокое всестороннее понимание предмета.
Итоговое оценивание
По результатам периодической аттестации формируется суммарный балл.
| Вид деятельности | Максимум | Мини-мум |
| Модуль 1 | ||
| Модуль 2 | ||
| Модуль 3 | ||
| Экзамен | ||
| Итого: |
В качестве формы отчетности по учебному плану предусмотрен экзамен.
К экзамену допускается студент, защитивший на минимально допустимый балл все пункты, указанные в промежуточной отчетности.
В случае пропуска занятий по уважительной причине разрешается сдача не защищенных вовремя заданий.
С целью повышения суммарного балла студент имеет право на пересдачу не более 4 пунктов промежуточной аттестации.
Студент может выполнить одно или несколько дополнительных заданий с целью повышения своего рейтинга. Задание может заключаться в более глубоком изучении программирования на любом из языков по выбору студента. Цель программы – демонстрация применения некоторого криптографического протокола. Задание может быть в форме эссе, рассказывающего о некотором новшестве в системе безопасности. Задание может заключаться в подготовке наглядных материалов для проведения лекций или лабораторных работ. За все дополнительные задания студент может набрать не более 10 баллов.
Итоговая оценка выставляется в соответствии со шкалой баллов.
| Интервал баллов | Оценка по EES | Оценка |
| 90 – 100 | A | 5 (отлично) |
| 85 – 89 | B | 4 (хорошо) |
| 75 – 84 | C | |
| 70 – 74 | D | |
| 65 – 69 | E | 3 (удовл.) |
| 60 – 64 | E | |
| <= 60 | F | 2 (не удов.) |
|
|
|
