Идентификаторы безопасности в windows 2000 представляют собой

8.6.1. Основные понятия

Операци­онная
система Windows
2000 обладает рядом достаточно совершенных
и эффективных свойств безопасности,
включая следующие:

1. Безопасная
регистрация в системе с мерами
предосторожности против по­пыток
применения фальшивой программы
регистрации.

2. Дискреционное
управление доступом.

3. Управление
привилегированным доступом.

4. Защита
адресного пространства для каждого
процесса.

5. Обнуление
страниц перед выделением их процессу.

6. Аудит
безопасности.

Безопасная
регистрация означает, что системный
администратор может потре­бовать ото
всех пользователей наличия пароля для
входа в систему. Дискреционное управление
доступом позволяет владельцу файла или
другого объекта указать, кто может
пользоваться объектом и каким образом.
Средства управления привилегированным
доступом позволяют системному
администрато­ру (суперпользователю)
получать доступ к объекту, несмотря на
установленные его владельцем разрешения
доступа. Под защитой адресного пространства
имеется в виду лишь то, что у каждого
процесса есть собственное защищенное
виртуаль­ное адресное пространство,
недоступное для любого неавторизованного
процесса. Следующий пункт означает, что
при увеличении стека выделяемые для
него стра­ницы заранее обнуляются,
так что процесс не может обнаружить в
них информа­ции, помещенной предыдущим
владельцем страницы памяти (страницы
подаются процессам из списка обнуленных
страниц). Наконец, аудит безопасности
следует понимать как регистрацию
системой в журнале опре­деленных
событий, относящихся к безопасности.
Впоследствии этот журнал может
просматривать системный администратор.

У
каждого пользователя (и группы)
операционной системы Windows
2000 есть идентификатор безопасности SID
(Security
IDentifier),
по которому операцион­ная система
отличает его от других пользователей.
Идентификаторы безопаснос­ти
представляют собой двоичные числа с
коротким заголовком, за которым следу­ет
длинный случайный компонент. Каждый
SID
должен быть уникален в пределах всей
планеты. Когда пользователь запускает
процесс, этот процесс и его потоки
работают под идентификатором пользователя.
Большая часть системы безопасно­сти
спроектирована так, чтобы гарантировать
предоставление доступа к каждому объекту
только потокам с авторизованными
идентификаторами безопасности.

У
каждого процесса есть маркер
доступа, в
котором указывается SID
и другие свойства. Как правило, он
назначается при регистрации в системе
процедурой winlogon.
Заголовок маркера содержит некоторую
админи­стративную информацию. По
значению поля срока действия можно
определить, когда маркер перестанет
быть действительным. Поле Groups
(группы) указывает группы, к которым
принадлежит процесс. Это поле необходимо
для соответствия требованиям стандарта
POSIX.
Поле Default
DACL
(Default
Discretionary
Access
Control
List
– список разграничительного контроля
доступа по умолчанию) представляет
собой список управ­ления доступом,
назначаемый объектам, созданным
процессом, если не опреде­лены другие
списки ACL.
Идентификатор безопасности пользователя
указывает пользователя, владеющего
процессом. Ограниченные идентификаторы
SID
по­зволяют ненадежным процессам
принимать участие в заданиях вместе с
надеж­ными процессами, но с меньшими
полномочиями и меньшими возможностями
причинения ущерба.

Наконец,
перечисленные в маркере привилегии
(если они перечислены) дают процессу
особые полномочия, такие как право
выключать компьютер или полу­чать
доступ к файлам, к которым в противном
случае в этом доступе процессу было бы
отказано. Привилегии позволяют разбить
полномочия системного админист­ратора
на отдельные права, которые могут
предоставляться процессам по отдель­ности.
Таким образом, пользователю может быть
предоставлена часть полномо­чий
суперпользователя, но не все его
полномочия. Итак, маркер доступа содержит
информацию о том, кто владеет процессом
и какие умолчания и полномочия
ассо­циированы с ним.

Когда
пользователь регистрируется в системе,
процесс winlogon
назначает
мар­кер доступа начальному процессу.
Последующие процессы, как правило,
наследу­ют этот маркер. Маркер доступа
процесса изначально применяется ко
всем пото­кам процесса. Однако поток
во время исполнения может получить
другой маркер доступа. В этом случае
маркер доступа потока перекрывает
маркер доступа про­цесса. В частности,
клиентский поток может передать свой
маркер доступа сервер­ному потоку,
чтобы сервер мог получить доступ к
защищенным файлам и другим объектам
клиента. Такой механизм называется
перевоплощением.

Другим
основным понятием является дескриптор
защиты. У
каждого объекта есть ассоциированный
с ним дескриптор защиты, содержащий
список пользова­телей и групп, имеющих
доступ к данному объекту. Дескриптор
защиты состоит из заголовка, за которым
следует список DACL
с одним или несколькими элемен­тами
АСЕ
(Access
Control
Entry
– элемент списка контроля доступа ACL).
Два основных типа элементов списка –
это разрешение и запрет доступа.
Разрешаю­щий элемент содержит SID
пользователя или группы и битовый
массив, опре­деляющий набор операций,
которые процессы с данным идентификатором
SID
могут выполнять с определенным объектом.
Запрещающий элемент работает ана­логично,
но совпадение идентификаторов означает,
что обращающийся процесс не может
выполнять перечисленные операции.

Кроме
списка DACL
у дескриптора защиты есть также список
SACL
(System
Access
Control
List
– системный список контроля доступа),
который похож на DACL,
только вместо пользователей и групп,
имеющих доступ к объекту, в нем
перечисляются операции с этим объектом,
регистрируемые в специальном журна­ле.
В операционной системе Windows
2000 также пре­доставляются дополнительные
возможности аудита для регистрации
доступа к объектам.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Главная / Ответы на новые тесты / Защита информации / Страница 2

Запись определенных событий в журнал безопасности сервера называется

Защита информации, определяющей конфигурацию системы, является основной задачей средств защиты

Защита исполняемых файлов обеспечивается

Защита от программных закладок обеспечивается

Защита от форматирования жесткого диска со стороны пользователей обеспечивается

Защита с применением меток безопасности согласно «Оранжевой книге» используется в системах класса

Идентификаторы безопаснос­ти в Windows 2000 представляют собой

Из перечисленного ACL-список содержит: 1) срок действия маркера доступа; 2) домены, которым разрешен доступ к объекту; 3) операции, которые разрешены с каждым объектом; 4) тип доступа

Из перечисленного аутентификация используется на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом

Из перечисленного базовыми услугами для обеспечения безопасности компьютерных систем и сетей являются: 1) аутентификация; 2) идентификация; 3) целостность; 4) контроль доступа; 5) контроль трафика; 6) причастность

Из перечисленного в автоматизированных системах используется аутентификация по: 1) терминалу; 2) паролю; 3) предмету; 4) физиологическим признакам; 5) периферийным устройствам

Из перечисленного в обязанности сотрудников группы информационной безопасности входят: 1) управление доступом пользователей к данным; 2) расследование причин нарушения защиты; 3) исправление ошибок в программном обеспечении; 5) устранение дефектов аппаратной части

Из перечисленного в ОС UNIX регистрационная запись средств аудита включает поля: 1) дата и время события; 2) команда, введенная пользователем; 3) результат действия; 4) пароль пользователя; 5) тип события; 6) идентификатор пользователя

Из перечисленного в ОС UNIX существуют администраторы: 1) системных утилит; 2) службы контроля; 3) службы аутентификации; 4) тиражирования; 5) печати; 6) аудита

Из перечисленного в соответствии с видами объектов привилегии доступа подразделяются на: 1) терминалы; 2) процедуры; 3) модули; 4) базы данных; 5) сервер баз данных; 6) события

Из перечисленного в файловых системах ОС UNIX права доступа к файлу определяются для: 1) владельца; 2) членов группы владельца; 3) конкретных заданных пользователей; 4) конкретных заданных групп пользователей; 5) всех основных пользователей

Из перечисленного для аутентификации по личной подписи терминальных пользователей используются методы: 1) визуальное сканирование; 2) фрагментарное сканирование; 3) исследование динамических характеристик движения руки; 4) исследование траектории движения руки

Из перечисленного для аутентификации по отпечаткам пальцев терминальных пользователей используются методы: 1) сравнение отдельных случайно выбранных фрагментов; 2) сравнение характерных деталей в графическом представлении; 3) непосредственное сравнение изображений; 4) сравнение характерных деталей в цифровом виде

Из перечисленного для аутентификации по физиологическим признакам терминальных пользователей наиболее приемлемыми считаются: 1) отпечатки пальцев; 2) форма кисти; 3) форма губ; 4) форма ушной раковины; 5) голос; 6) личная подпись

Из перечисленного для разграничения доступа к файлу применяются флаги, разрешающие: 1) копирование; 2) чтение; 3) запись; 4) выполнение; 5) удаление

Из перечисленного для СУБД важны такие аспекты информационной безопасности, как 1) своевременность; 2) целостность; 3) доступность; 4) конфиденциальность; 5) многоплатформенность

Из перечисленного доступ к объекту в многоуровневой модели может рассматриваться как: 1) чтение; 2) удаление; 3) копирование; 4) изменение

Из перечисленного защита процедур и программ осуществляется на уровнях: 1) аппаратуры; 2) программного обеспечения; 3) данных; 4) канальном; 5) сеансовом; 6) прикладном

Из перечисленного контроль доступа используется на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом

Из перечисленного метка безопасности состоит из таких компонентов, как 1) уровень секретности; 2) категория; 3) множество ролей; 4) ключ шифра; 5) области

Из перечисленного методами защиты потока сообщений являются: 1) нумерация сообщений; 2) отметка времени; 3) использование случайных чисел; 4) нумерация блоков сообщений; 5) копирование потока сообщений

Из перечисленного на сетевом уровне рекомендуется применение услуг: 1) идентификации; 2) конфиденциальности; 3) контроля трафика; 4) контроля доступа; 5) целостности; 6) аутентификации

Из перечисленного на транспортном уровне рекомендуется применение услуг: 1) идентификации; 2) конфиденциальности; 3) контроля трафика; 4) контроля доступа; 5) целостности; 6) аутентификации

Из перечисленного объектами для монитора обращений являются: 1) терминалы; 2) программы; 3) файлы; 4) задания; 5) порты; 6) устройства

Из перечисленного подсистема управления криптографическими ключами структурно состоит из: 1) центра распределения ключей; 2) программно-аппаратных средств; 3) подсистемы генерации ключей; 4) подсистемы защиты ключей

Из перечисленного пользователи СУБД разбиваются на категории: 1) системный администратор; 2) сетевой администратор; 3) администратор сервера баз данных; 4) администратор базы данных; 5) конечные пользователи; 6) групповые пользователи

Из перечисленного привилегии в СУБД могут передаваться: 1) субъектам; 2) группам; 3) ролям; 4) объектам; 5) процессам

Из перечисленного привилегии СУБД подразделяются на категории: 1) чтения; 2) безопасности; 3) доступа; 4) тиражирования

Из перечисленного привилегиями безопасности являются: 1) security; оperator; 2) create trace; 3) createdb; 4) operator; 5) trace

Из перечисленного система брандмауэра может быть: 1) репитором; 2) маршрутизатором; 3) ПК; 4) хостом; 5) ресивером

Из перечисленного система защиты электронной почты должна: 1) обеспечивать все услуги безопасности; 2) обеспечивать аудит; 3) поддерживать работу только с лицензионным ПО; 4) поддерживать работу с почтовыми клиентами; 5) быть кросс-платформенной

Из перечисленного составляющими информационной базы для монитора обращений являются: 1) виды доступа; 2) программы; 3) файлы; 4) задания; 5) порты; 6) форма допуска

Из перечисленного структура ОС с точки зрения анализа ее безопасности включает уровни: 1) внешний; 2) сетевой; 3) клиентский; 4) серверный; 5) системный; 6) приложений

Из перечисленного субъектами для монитора обращений являются: 1) терминалы; 2) программы; 3) файлы; 4) задания; 5) порты; 6) устройства

Из перечисленного типами услуг аутентификации являются: 1) идентификация; 2) достоверность происхождения данных; 3) достоверность объектов коммуникации; 4) причастность;

Из перечисленного тиражирование данных происходит в режимах: 1) синхронном; 2) асинхронном; 3) импульсном; 4) тоновом

Из перечисленного управление маршрутизацией используется на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом

Из перечисленного услуга защиты целостности доступна на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом

Из перечисленного услуга обеспечения доступности реализируется на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом

Из перечисленного формами причастности являются: 1) контроль доступа; 2) аутентификация; 3) к посылке сообщения; 4) подтверждение получения сообщения

Из перечисленного функция подтверждения подлинности сообщения использует следующие факты: 1) санкционированный канал связи; 2) санкционированный отправитель; 3) лицензионное программное обеспечение; 4) неизменность сообщения при передаче; 5) доставка по адресу

Из перечисленного цифровая подпись используется для обеспечения услуг: 1) аутентификации; 2) целостности; 3) контроля доступа; 4) контроля трафика

Из перечисленного электронная почта состоит из: 1) электронного ключа; 2) расширенного содержания письма; 3) краткого содержания письма; 4) тела письма; 5) прикрепленных файлов

Из перечисленного ядро безопасности ОС выделяет типы полномочий: 1) ядра; 2) периферийных устройств; 3) подсистем; 4) пользователей

Из перечисленного, с точки зрения пользователя СУБД, основными средствами поддержания целостности данных являются: 1) нормативы; 2) ограничения; 3) стандарты; 4) правила

Станет ли новый основной протокол аутентификации достойным своего статуса?

В древнегреческой мифологии трехглавый пес, охранявший вход в подземное царство, назывался Цербер (Kerberos). В компьютерном мире с этим именем связаны не столь мрачные ассоциации. В IETF RFC 1510 приводится описание базового протокола Kerberos, разработанного в Массачусетском технологическом институте как часть проекта Athena, и рассматриваются аспекты аутентификации пользователя. Microsoft встроила протокола Kerberos в Windows 2000 в качестве протокола аутентификации по умолчанию. В данной статье мы рассмотрим ключевые особенности этой реализации протокола Kerberos.

Основы

Когда два объекта (например, пользователь и серверный ресурс) пытаются установить подлинность друг друга, они нуждаются в своего рода посреднике, которому и тот и другой объект могут доверять. В Windows 2000 в роли такого посредника выступает Kerberos Key Distribution Center (KDC). KDC добавляет масштабируемость в протокол Kerberos и реализован в виде службы, которая запускается на каждом контроллере домена. Служба KDC устанавливается одновременно с Active Directory (AD). AD, в свою очередь, содержит копию учетных сведений безопасности пользователя, т. е. хеш-код его паролей, которые задействованы в протоколе Kerberos во время процесса аутентификации.

В состав Windows 2000 входит провайдер аутентификации клиента Windows 2000 по протоколу Kerberos, а также поддержка других клиентов, таких, как Windows 9x. Для того чтобы клиент на базе Windows 9x использовал во время аутентификации протокол Kerberos, следует установить на рабочем месте клиента службу Directory Services. Если в качестве рабочего места выступает Windows NT 4.0, то для аутентификации клиента по протоколу Kerberos необходимо заменить версию Windows NT 4.0 на Windows 2000 Professional.

Доступ к объектам в протоколе Kerberos

В основе работы протокола Kerberos лежит уникальная технология предоставления доступа к объектам системы, ускоряющая процесс аутентификации, по сравнению с предыдущими версиями NT. В реализации протокола Kerberos предусмотрен безопасный способ передачи по сети сеансового ключа шифрования, в котором содержится основная информация для проведения аутентификации пользователя. В протоколе Kerberos аутентификация основана на шифровании с применением симметричного ключа. Предположим, что Алиса и Боб совместно владеют сеансовым ключом, который они используют в процессе аутентификации. Когда Алиса собирается обратиться к Бобу, она с помощью сеансового ключа шифрует свое имя и текущее время и посылает пакет с закодированной информацией Бобу. (В терминологии Kerberos такой закодированный пакет носит название аутентификатор — authenticator.) Боб использует сеансовый ключ, который известен только ему и Алисе, для расшифровки пакета. Если в результате расшифровки будет восстановлено имя Алисы и соответствующее время, то Боб может быть уверен в том, что только одна Алиса могла отослать ему данный пакет. В протоколе Kerberos для безопасного обмена сеансовым ключом по сети применяются пакеты определенного типа — так называемые «билеты» (ticket).

В реализации протокола Kerberos, выполненной компанией Microsoft, все сеансовые ключи генерируются службой KDC. Эта же служба формирует связанные с ключами билеты и передает их клиенту, а затем и ресурсному серверу через того же клиента. (Ресурсный сервер — это компьютер, к ресурсам которого обращается пользователь.) Билет представляет собой зашифрованную версию сеансового ключа, расшифровать который может только ресурсный сервер и домен-контроллер Windows 2000. KDC рассылает билеты через клиентов, что позволяет произвести запись этой информации в кэш рабочей станции клиента, а в дальнейшем при необходимости многократно использовать. (Клиент хранит билеты в специальной области памяти, содержимое которой никогда не сбрасывается на диск.) Однако билеты имеют ограниченный период восстановления (renewal) и время жизни (lifetime). В течение периода восстановления KDC незаметно для пользователя обновляет билеты. Если же период восстановления истек, пользователю предстоит заново пройти всю последовательность регистрации (logon sequence).

Когда ресурсный сервер получает от клиента билет и аутентификатор, он уже может приступить к процедуре аутентификации. В системе NT 4.0 для того, чтобы подтвердить корректность аутентификации клиента, ресурсному серверу необходимо было связаться с контроллером домена. Благодаря протоколу Kerberos в системе Windows 2000 это уже не требуется. Такой подход ускоряет проведение процесса аутентификации, но при этом приводит к большей загрузке станции клиента.

Доступ к объектам, реализованный в протоколе Kerberos, осуществляется с помощью билетов двух типов: ticket-granting ticket (TGT) и service or resource ticket (SRT). Для выполнения регистрации в домене Windows 2000 пользователь должен задать свой пароль (master key в терминологии Kerberos). Когда регистрация пользователя в домене завершена, служба KDC генерирует TGT и отсылает его данному пользователю. TGT гарантирует безопасность передачи сеансового ключа, который KDC использует для аутентификации. Применение в протоколе Kerberos сеансового ключа и TGT ограничивает возможность успешной аутентификации, если при этом используется только пароль, что снижает вероятность грубого «взлома» пакетов, зашифрованных паролем пользователя. Во время процедуры первой регистрации и каждый раз при обновлении TGT пользователь применяет свой пароль для выполнения аутентификации с KDC. В последующих запросах пользователи уже задействуют сеансовый ключ, содержащийся в TGT, для аутентификации с KDC. Следовательно, если пользователь изменяет свой пароль во время сеанса работы, для получения нового TGT ему придется заново ввести свои атрибуты — идентификатор пользователя и пароль.

Для аутентификации с ресурсным сервером пользователю необходим другой сеансовый ключ. В протоколе Kerberos для безопасной передачи по сети этого сеансового ключа используется тип пакета SRT. Он формируется службой KDC на основе хранящегося в кэше клиента TGT. Когда пользователь «предъявляет» TGT и аутентификатор, служба KDC «знает», что однажды контроллер домена проводил аутентификацию этого пользователя, и она завершилась успешно, поэтому KDC разрешает выдать SRT.

ЭКРАН 1. Использование утилиты Windows 2000 Klist для просмотра билетов Kerberos.

В состав Windows 2000 SDK входит программа Klist, с помощью которой можно просмотреть билеты, размещенные в кэше клиентского компьютера, а также присущие им характеристики (см. Экран 1). Кроме того, можно воспользоваться утилитой Windows 2000 Group Policy Object (GPO) для установки значений время жизни TGT, время жизни SRT и максимальный период обновления, как это изображено на Экране 2. Установки по умолчанию следующие: 30 дней для TGT, 29 дней для SRT и 60 дней для обновления билетов. Значение параметра «время жизни TGT», который пользователь может установить на своем рабочем месте, должно быть больше, чем для параметра «время жизни SRT», а максимальный период обновления должен превышать время жизни как TGT, так и SRT. В том же каталоге, как показано на Экране 2, можно установить максимальный временной интервал, который допускается ресурсным сервером, с момента, когда клиент сформировал билет, до того момента, когда ресурсный сервер его получил. Протокол Kerberos использует временные метки для защиты от многократно повторяющихся попыток вскрытия пакетов, поэтому увеличение значения этого параметра повышает риск подобных атак.

ЭКРАН 2. Установка параметра «время жизни» для билетов Kerberos.

Для систем Windows 2000 корпорация Microsoft включила данные авторизации пользователя в поле данных авторизации, которое присутствует в каждом билете протокола Kerberos. Разработчики Microsoft назвали такое поле Privilege Attribute Certificate (PAC). В Windows 2000 добавлением данных PAC в билеты занимается служба KDC, а формируемые вслед за тем запросы на получение TGT, SRT и запросы на обновление билетов наследуют эту информацию. Вместе с тем KDC сохраняет данные авторизации на время сеанса работы пользователя. Поэтому, например, если принадлежность группам для некоторого пользователя изменилась, ему необходимо выполнить процедуру logoff, а затем logon для того, чтобы KDC сформировала новый билет и передала его пользователю.

Взаимная аутентификация

Для того чтобы установить подлинность клиента, в системах NT 4.0 применяется метод аутентификации по принципу запрос/ответ, в соответствии с которым сервер посылает клиенту запрос, клиент вычисляет ответ, а сервер этот ответ проверяет. Таким образом, в NT 4.0 создаются ситуации, когда пользователь может, не осознавая того, предъявить свои полномочия (учетные сведения безопасности) поддельному серверу. Для того чтобы избежать возникновения подобных ситуаций, в протоколе Kerberos поддерживается взаимная аутентификация: клиент запрашивает подлинность сервера, а сервер должен убедиться в подлинности клиента.

Транзитивные доверительные отношения

Как и в NT 4.0, в доменах Windows 2000 понятие доверительные отношения (trust — ситуация, когда некоторые «секреты» известны контроллерам двух различных доменов), присутствует, что упрощает перекрестный доступ к ресурсам различных доменов. Другое проявление доверительных отношений — возможность совместно использовать базы данных учетных записей пользователей. Разработчики из Microsoft упростили процедуру установления и обслуживания доверительных отношений в доменах Windows 2000. В процессе создания иерархии доменов Windows 2000 все необходимые доверительные отношения и их транзитивность устанавливаются автоматически.

Транзитивность доверительных отношений означает, что если, например, компания europe.company.com и us.company.com доверяют company. com, то и europe.company.com доверяет (неявным образом) компании us.company.com. Транзитивность доверительных отношений сокращает число доверительных связей, необходимых для процедуры аутентификации. Пример того, как транзитивность упрощает процесс аутентификации, приведен во врезке.

Таблица 1. Типы транзитивных доверительных отношений, поддерживаемых протоколом Kerberos

Транзитивность доверительных отношений — всего лишь логическая концепция, так как в действительности нет никаких «общих тайн», известных контроллерам доменов, между которыми установлено доверие «по транзитивности». Установление транзитивных доверительных отношений означает, что процесс аутентификации между двумя различными сущностями на противоположных концах транзитивной связи протекает не через всю цепочку выстроенного доверительного маршрута, а через специальный «путь доверия» (trust path) в дереве объектов. Разработчики Microsoft утверждают, что алгоритм аутентификации, реализованный таким образом, не оказывает серьезного влияния на сетевой трафик. Реально формируемый при этом трафик, по данным Microsoft, сопоставим с тем, который генерируется в NT 4.0 во время сквозной (pass-through) аутентификации. Вместе с тем очевидно, что для больших распределенных вычислительных сред, к которым, например, можно отнести Internet, возможностей протокола Kerberos уже недостаточно для аналогичной реализации процесса аутентификации. Kerberos предназначен для аутентификации в сетях intranet.

В Windows 2000 предусмотрено пять базовых типов доверительных отношений, они перечислены в Таблице 1. Можно выяснить характеристики доверительных отношений, обратившись к описанию свойств домена, как это показано на Экране 3, или же посредством утилиты командной строки trustdom.exe. Кроме того, с помощью этой утилиты можно явным образом установить доверительные отношения между доменами. Конечные пользователи, работающие со станций, операционные системы которых поддерживают протокол Kerberos, могут «прочувствовать» наличие транзитивных отношений во время выполнения процесса регистрации. Такие пользователи в качестве регистрирующего домена могут выбрать любой из списка доменов, с которыми их «родной» домен имеет или прямые доверительные отношения, или опосредованные (т. е. транзитивные). Для NT 4.0 конечный пользователь в процессе регистрации «видит» лишь те домены, с которыми были установлены прямые доверительные отношения.

ЭКРАН 3. Просмотр доверительных отношений с помощью свойств объектов домена.

В соответствии с протоколом Windows 2000 Kerberos доверительные отношения, установленные внутри одного и того же леса доменов, явные или неявные — значения не имеет, по умолчанию являются транзитивными. В Windows 2000 beta 2 предусматривалась возможность управления включением/выключением транзитивности в доверительных отношениях. Однако в следующей бета-версии системы, Windows 2000 beta 3, этой возможности уже нет. Явные доверительные отношения, установленные между лесами доменов, или же доверительные отношения в доменах Windows 2000, например в доменах Unix, поддерживающих протокол Kerberos, по умолчанию считаются нетранзитивными. Таким образом, при необходимости провести аутентификацию между двумя доменами, которые принадлежат различным лесам доменов, следует вручную установить между ними доверительные отношения.

Делегирование аутентификации

Используя механизм делегирования аутентификации, пользователь А может предоставить право на проведение аутентификации с сервером приложений С некоторому посреднику — машине В, как если бы за машиной В находился непосредственно сам пользователь А. Установка делегирования означает, что сервер приложений С во время процесса аутентификации будет «принимать решение» о предоставлении или отказ в доступе на основании факта идентичности учетной записи пользователя А, но не на основании учетной записи рабочей станции В. Описанный процесс делегирования аутентификации также известен под названием «продвижение аутентификации» (authentication forwarding). В соответствии с протоколом Kerberos, при выполнении процедуры делегирования пользователь А пересылает билет станции-посреднику В, которая в свою очередь использует билет пользователя А для выполнения процесса аутентификации с сервером приложений С.

Метод делегирования аутентификации можно использовать при обращении к таким многозвенным (multitier) приложениям, как, например, Outlook Web Access (OWA). Для того чтобы воспользоваться услугами OWA, пользователи обращаются к своим почтовым ящикам с помощью браузера. В большинстве случаев сервер Microsoft Exchange Server, который поддерживает работу почтовых ящиков пользователей, не производит обмен информацией с сервером Microsoft Internet Information Server (IIS). Это означает, что IIS должен провести аутентификацию с сервером Exchange, как если бы IIS был обычным пользователем. В сетях NT 4.0 при использовании для аутентификации протокола NT LAN Manager (NTLM) при установлении связи в обе стороны осуществить подобный сценарий без проблем было нелегко. (Напомним, что такой подход соответствует попытке установить связь между браузером и IIS, а также между IIS и сервером Exchange.) Протокол NTLM, как известно, не поддерживает механизм делегирования.

ЭКРАН 4. Установка делегирования для учетной записи пользователя.

Можно установить делегирование как для учетной записи пользователя Windows 2000, так и для учетной записи компьютера с помощью параметра Account is trusted for delegation в диалоговом окне, отображающем свойства учетной записи, как показано на Экране 4. Кроме того можно установить делегирование аутентификации.

Регистрация с помощью кредитной карты

В Windows 2000 реализована поддержка регистрации с помощью кредитных карт (smart card logon), что обеспечивает больший уровень безопасности, нежели аутентификация с помощью пароля. Это происходит из-за того, что регистрация с помощью кредитной карты основывается на двухэтапной аутентификации. Для того чтобы зарегистрироваться в системе, пользователю необходимо иметь саму кредитную карту, а также знать ее персональный идентификационный номер (PIN-код). Кроме того, регистрация с помощью кредитной карты блокирует попытки несанкционированного входа в систему по принципу работы вируса-«троянца», когда программа-взломщик пытается «снять» пароль пользователя непосредственно из памяти системы.

Для того чтобы обеспечить возможность регистрации с помощью кредитной карты, разработчики Windows 2000 реализовали расширение протокола Kerberos, получившее название PKINIT. Во время выполнения последовательности регистрации на базе этого расширения, PKINIT заменяет пароль пользователя содержимым его открытого ключа, которое хранится на кредитной карте.

Для того чтобы воспользоваться возможностью регистрации с помощью кредитной карты, следует установить Windows 2000 Certificate Server, который для своей работы подгружает необходимые сертификационные шаблоны регистрации. Пользователю нужно иметь собственно кредитную карту и устройство считывания. В настоящее время Windows 2000 поддерживает кредитные карты компаний Gemplus и Schlumberger (оба производителя предоставляют свои службы в виде модуля расширения Microsoft CryptoAPI8).

Протокол Kerberos — открытый стандарт

Корпорация Microsoft разработала свою реализацию протокола Kerberos на основе открытого стандарта RFC 1510 (т. е. версии Kerberos V5), а это означает, что протокол Kerberos может обеспечить межсетевую аутентификацию между Windows 2000 и другими операционными системами, которые также отвечают требованиям стандарта RFC 1510.

Межсетевая аутентификация по протоколу Kerberos может проявляться по-разному. Сервер Windows 2000 может выступать в роли хоста Kerberos, KDC, и в этой роли обслуживать клиентов сети, которыми могут быть как клиенты Windows 2000, так и компьютеры на базе других платформ. С другой стороны, в роли хоста KDC могут выступать серверы с операционной системой, отличной от Windows 2000, и обслуживать запросы клиентов, которыми могут быть как клиенты Windows 2000, так и станции других типов. И, наконец, можно создать межплатформенные доверительные отношения между доменом Windows 2000 и доменом на базе другой операционной платформы для осуществления межсетевой аутентификации. В этом случае вы имеете два центра KDC — по одному с каждого конца доверительной связи.

ЭКРАН 5. Установление соответствия доверительных отношений между учетными записями Windows 2000 и Unix.

Реализация межсетевой аутентификации представляет собой достаточно сложный процесс, он требует от администраторов систем дополнительных усилий. Например, для того чтобы организовать межплатформенные доверительные отношения для проведения межсетевой аутентификации между платформами Windows 2000 и Unix, нужно описать точные соответствия между каждой учетной записью Unix, которой необходим доступ к ресурсам домена Windows 2000, и учетной записью Windows 2000, как это показано на Экране 5. Нужно установить соответствие для каждой учетной записи Unix, поскольку названия учетных записей Unix в протоколе Kerberos для домена Windows 2000 ровным счетом ничего не значат. В среде Windows 2000 для отождествления учетных записей используются так называемые идентификаторы безопасности — SID. В диалоговом окне Security Identity Mapping показаны подобные соответствия, которые являются частью дополнительных свойств объекта User.

Остается добавить, что компании, расположенные за пределами США, должны учитывать экспортное законодательство США при планировании межсетевой аутентификации. Эти законы запрещают экспорт программного обеспечения, в котором задействованы ключи шифрования длиною более 56 разрядов. Стандарт MIT Kerberos V5, доступный через Web-узлы в США для Unix-платформ, использует ключ шифрования длиной 128 разрядов и экспорту не подлежит. Протокол Windows 2000 Kerberos может применяться внутри Соединенных Штатов в не экспортируемом варианте с ключом 128 разрядов и для всего остального мира (экспортный вариант) с длиной ключа 56 разрядов. Выяснить, какая именно версия Windows 2000 установлена на конкретной системе можно, обратившись к свойствам следующих системных файлов: schannel.dll, rsabase.dll, или ndiswan.sys.

Кроме того, хотя разработчики Microsoft реализовали протокол Kerberos как модуль расширения Security Support Provider Interface (SSPI), тем не менее протокол Kerberos поддерживает формат GSS_API, описанный в RFC 1964. И как следствие, Unix-приложения, поддерживающие GSS_API, и приложения Windows 2000 могут сообща использовать протокол Kerberos для аутентификации.

Что дальше

Microsoft, реализовав протокол Kerberos, расширила в системе Windows 2000 возможности процесса аутентификации. Протокол Kerberos в своей основе использует симметричное шифрование, что позволяет применять его в локальных сетях и сетях intranet в качестве протокола аутентификации. Вместе с тем добавление компонента PKINIT можно рассматривать как первый шаг на пути расширения функциональности процесса аутентификации, выполняемого на базе протокола Kerberos с использованием открытого ключа, что расширяет сферу применения самого Kerberos.

ОБ АВТОРЕ

Подробнее о транзитивных доверительных отношениях Kerberos

Предположим, Алиса зарегистрировалась в north.eu108.corp108. com со своим бюджетом, но при этом ей нужно получить доступ к ресурсу на сервере east.na108.corp108.com. Далее, шаг за шагом будет показано, как протекает процесс аутентификации по правилам работы протокола Kerberos в дереве, содержащем пять доменов.

1. Алиса использует свой TGT для того, чтобы попытаться получить билет с KDC1 для доступа к ресурсам на сервере в домене east. KDC1 не уполномочен обслуживать домен east, в котором расположен сервер, и поэтому отсылает Алису в домен, наиболее близкий к домену east, и с которым у домена north имеются доверительные отношения по протоколу Kerberos. Предположим, это домен eu108.

2. KDC2 отсылает Алису к KDC3

3. KDC3 отсылает Алису к KDC4

4. KDC4 отсылает Алису к KDC5

5. KDC5 уполномочен обслуживать домен east, поэтому KDC5 генерирует билет для Алисы.

6. Алиса использует полученный билет для доступа к ресурсному серверу.

С помощью утилиты Klist, входящей в состав Windows 2000 Software Development Kit (SDK), можно просмотреть все билеты, находящиеся в кэше станции Алисы. Вы обнаружите один TGT для каждого домена, один билет для учетной записи рабочей станции Алисы (принадлежащей домену north), а также один билет для сервера ресурсов.

Длину описанного маршрута можно сократить с помощью явного задания доверительных отношений (тип отношений shortcut-trust) между доменами north и east. В этом случае последовательность шагов, необходимая для реализации доступа Алисы к ресурсам сервера в домене east, изменится:

1. Алиса использует свой TGT для того, чтобы попытаться получить билет с KDC1 для доступа к ресурсам на сервере в домене east. KDC1 не уполномочен обслуживать этот домен, где расположен сервер ресурсов, и поэтому отсылает Алису в домен, который наиболее близок к домену east, и с которым у домена north имеются доверительные отношения по протоколу Kerberos.

2. KDC5 уполномочен обслуживать домен east, поэтому KDC5 генерирует билет для Алисы.

3. Алиса использует полученный билет для доступа к серверу ресурсов.

Если после этой последовательности шагов заглянуть в кэш рабочей станции Алисы, то удастся обнаружить лишь четыре билета: один TGT для домена north, один TGT для домена east, один билет для учетной записи рабочей станции Алисы и один билет для сервера ресурсов. Установление отношения shortcut-trust привело к снижению междоменного трафика и уменьшило число билетов, которые необходимо передать пользователю.

Вопрос 1. При качественном подходе риск измеряется в терминах

• Ответ: заданных с помощью шкалы или ранжирования

Вопрос 2. ____________________ называется система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую.

• Ответ: Брандмауэром

Вопрос 3. Из перечисленных типов, все клавиатурные шпионы делятся на:

• Ответ: заместители
• Ответ: имитаторы
• Ответ: фильтры

Вопрос 4. Административные действия в СУБД позволяют выполнять привилегии

• Ответ: безопасности

Вопрос 5. Программная закладка внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию в скрытой области памяти в модели воздействия

• Ответ: перехват

Вопрос 6. Основной целью системы брандмауэра является управление доступом

• Ответ: к защищаемой сети

Вопрос 7. В «Европейских критериях» количество классов безопасности равно:

• Ответ: 10

Вопрос 8. ____________________ — это недостаток систем шифрования с открытым ключом.

• Ответ: Относительно низкая производительность

Вопрос 9. Из перечисленного в ОС UNIX существуют администраторы:

• Ответ: аудита
• Ответ: печати
• Ответ: системных утилит
• Ответ: службы аутентификации

Вопрос 10. При избирательной политике безопасности в матрице доступа субъекту системы соответствует:

• Ответ: столбец

Вопрос 11. ____________________ — это предоставление легальным пользователем дифференцированных прав доступа к ресурсам системы.

• Ответ: Авторизация

Вопрос 12. Привелегия ____________________ дает право на удаление баз данных.

• Ответ: createdb

Вопрос 13. Из перечисленного доступ к объекту в многоуровневой модели может рассматриваться как:

• Ответ: изменение
• Ответ: чтение

Вопрос 14. Действие программных закладок основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютере в рамках модели

• Ответ: искажение

Вопрос 15. Позволяет получать доступ к информации, перехваченной другими программными закладками, модель воздействия программных закладок типа

• Ответ: компрометация

Вопрос 16. Согласно «Европейским критериям» для систем с высокими потребностями в обеспечении целостности предназначен класс

• Ответ: F-IN

Вопрос 17. ____________________ уровень ОС определяет взаимодействие с глобальными ресурсами других организаций.

• Ответ: Внешний

Вопрос 18. Из перечисленного, подсистема регистрации и учета системы защиты информации должна обеспечивать:

• Ответ: оповещение о попытках нарушения защиты
• Ответ: учет носителей информации

Вопрос 19. Идентификаторы безопасности в Windows 2000 представляют собой …

• Ответ: двоичное число, состоящее из заголовка и длинного случайного компонента

Вопрос 20. Маршрутизаторы с фильтрацией пакетов осуществляют управление доступом методом проверки

• Ответ: адресов отправителя и получателя

Вопрос 21. Согласно «Европейским критериям» формальное описание функций безопасности требуется на уровне

• Ответ: Е6

Вопрос 22. ____________________ является недостатком модели конечных состояний политики безопасности.

• Ответ: Сложность реализации

Вопрос 23. Преобразование форматов реализуется на уровне модели взаимодействия открытых систем

• Ответ: представления данных

Вопрос 24. Из перечисленного система брандмауэра может быть:

• Ответ: ПК
• Ответ: маршрутизатором
• Ответ: хостом

Вопрос 25. Из перечисленных категорий требований безопасности, в «Оранжевой книге» предложены:

• Ответ: аудит
• Ответ: корректность
• Ответ: политика безопасности

Вопрос 26. Из перечисленного, с точки зрения пользователя СУБД, основными средствами поддержания целостности данных являются:

• Ответ: ограничения
• Ответ: правила

Вопрос 27. ____________________ является задачей анализа модели политики безопасности на основе анализа угроз системе.

• Ответ: Минимизация вероятности преодоления системы защиты

Вопрос 28. Количество уровней адекватности, которое определяют «Европейские критерии»:

• Ответ: 7

Вопрос 29. По умолчанию право на подключение к общей базе данных предоставляется:

• Ответ: всем пользователям

Вопрос 30. Два ключа используются в криптосистемах

• Ответ: с открытым ключом

Вопрос 31. ____________________ управляет регистрацией в системе Windows 2000.

• Ответ: Процедура winlogon

Вопрос 32. ____________________ является достоинством модели политики безопасности на основе анализа угроз системе.

• Ответ: Числовая вероятностная оценка надежности

Вопрос 33. В многоуровневой модели, если субъект доступа формирует запрос на чтение, то уровень безопасности субъекта относительно уровня безопасности объекта должен:

• Ответ: доминировать

Вопрос 34. Брандмауэры третьего поколения используют для фильтрации

• Ответ: специальные многоуровневые методы анализа состояния пакетов

Вопрос 35. В СУБД Oracle под ролью понимается:

• Ответ: набор привилегий

Вопрос 36. Из перечисленного функция подтверждения подлинности сообщения использует следующие факты:

• Ответ: доставка по адресу
• Ответ: неизменность сообщения при передаче
• Ответ: санкционированный отправитель

Вопрос 37. Из перечисленных моделей, моделями политики безопасности на основе дискретных компонент являются:

• Ответ: Адепт-50
• Ответ: Хартстона

Вопрос 38. Привелегия ____________________ дает право на запуск сервера.

• Ответ: operator

Вопрос 39. Из перечисленного, процесс анализа рисков при разработке системы защиты ИС включает:

• Ответ: анализ потенциальных угроз
• Ответ: оценка возможных потерь

Вопрос 40. Из перечисленного для аутентификации по отпечаткам пальцев терминальных пользователей используются методы:

• Ответ: непосредственное сравнение изображений
• Ответ: сравнение характерных деталей в цифровом виде

Вопрос 41. Из перечисленного, согласно «Оранжевой книге» требованиями в области аудита являются:

• Ответ: идентификация и аутентификация
• Ответ: регистрация и учет

Вопрос 42. ____________________ являются достоинствами программной реализации криптографического закрытия данных.

• Ответ: Практичность и гибкость

Вопрос 43. Структурированная защита согласно «Оранжевой книге» используется в системах класса

• Ответ: В2

Вопрос 44. Требования к техническому обеспечению системы защиты

• Ответ: аппаратурные и физические

Вопрос 45. Если средство защиты способно противостоять отдельным атакам, то согласно «Европейским критериям» безопасность считается:

• Ответ: базовой

Вопрос 46. Согласно «Оранжевой книге» минимальную защиту имеет группа критериев

• Ответ: D

Вопрос 47. ____________________ — это трояские программы.

• Ответ: Часть программы с известными пользователю функцичми, способная выполнять действия с целью причинения определенного ущерба

Вопрос 48. ____________________ является наиболее надежным механизмом для защиты содержания сообщений.

• Ответ: Криптография

Вопрос 49. При количественном подходе риск измеряется в терминах

• Ответ: денежных потерь

Вопрос 50. ____________________ называется конфигурация из нескольких компьютеров, выполняющих общее приложение.

• Ответ: Кластером

Вопрос 51. Дескриптор защиты в Windows 2000 содержит список

• Ответ: пользователей и групп, имеющих доступ к объекту

Вопрос 52. Класс F-AV согласно «Европейским критериям» характеризуется повышенными требованиями к:

• Ответ: обеспечению работоспособности

Вопрос 53. Из перечисленного услуга обеспечения доступности реализируется на уровнях:

• Ответ: прикладном
• Ответ: сетевом

Вопрос 54. Домены безопасности согласно «Оранжевой книге» используются в системах класса

• Ответ: В3

Вопрос 55. ____________________ — это степень защищенности информации от негативного воздействия на неё с точки зрения нарушения её физической и логической целостности или несанкционированного использования.

• Ответ: Безопасность информации

Вопрос 56. Из перечисленного привилегии СУБД подразделяются на категории:

• Ответ: безопасности
• Ответ: доступа

Вопрос 57. Модели политики безопасности на основе анализа угроз системе исследуют вероятность преодоления системы защиты

• Ответ: за определенное время

Вопрос 58. Средствами проверки подлинности пользователей обеспечивается безопасность информации на уровне ОС

• Ответ: сетевом

Вопрос 59. ____________________ называется оконечное устройство канала связи, через которое процесс может передавать или получать данные.

• Ответ: Сокетом

Вопрос 60. ____________________ — это присвоение субъектам и объектам доступа уникального номера, шифра, кода и т.п. с целью получения доступа к информации.

• Ответ: Идентификация

Вопрос 61. Если средства защиты могут быть преодолены только государственной спецслужбой, то согласно «Европейским критериям» безопасность считается:

• Ответ: высокой

Вопрос 62. Из перечисленных требований, при разработке протоколирования в системе защиты учитываются:

• Ответ: накопление статистики
• Ответ: необходимость записи всех движений защищаемых данных

Вопрос 63. При полномочной политике безопасности совокупность меток с одинаковыми значениями образует:

• Ответ: уровень безопасности

Вопрос 64. «Уполномоченные серверы» фильтруют пакеты на уровне

• Ответ: приложений

Вопрос 65. Согласно «Оранжевой книге» уникальные идентификаторы должны иметь

• Ответ: все субъекты

Вопрос 66. ____________________ называются преднамеренные дефекты, внесенные в программные средства для целенаправленного скрытого воздействия на ИС.

• Ответ: Программными закладками

Вопрос 67. Из перечисленного для аутентификации по физиологическим признакам терминальных пользователей наиболее приемлемыми считаются:

• Ответ: голос
• Ответ: личная подпись
• Ответ: отпечатки пальцев
• Ответ: форма кисти

Вопрос 68. Из перечисленных предположений, при разработке модели нарушителя ИС определяются:

• Ответ: о категориях лиц
• Ответ: о квалификации
• Ответ: о мотивах

Вопрос 69. Из перечисленного тиражирование данных происходит в режимах:

• Ответ: асинхронном
• Ответ: синхронном

Вопрос 70. Битовые протоколы передачи данных реализуются на ____________________ уровне модели взаимодействия открытых систем.

• Ответ: физическом

Вопрос 71. Полномочия подсистем ядра безопасности ОС ассоциируются с:

• Ответ: пользователями

Вопрос 72. Применение услуги причастности рекомендуется на ____________________ уровне модели OSI.

• Ответ: прикладном

Вопрос 73. ____________________ является содержанием параметра угрозы безопасности информации «конфиденциальность».

• Ответ: Несанкционированное получение

Вопрос 74. Из перечисленного для разграничения доступа к файлу применяются флаги, разрешающие:

• Ответ: выполнение
• Ответ: запись
• Ответ: чтение

Вопрос 75. Из перечисленного привилегиями безопасности являются:

• Ответ: createdb
• Ответ: operator
• Ответ: security; оperator
• Ответ: trace

Вопрос 76. С использованием прикладных ресурсов ИС связан уровень ОС:

• Ответ: приложений

Вопрос 77. Для решения проблемы правильности выбора и надежности функционирования средств защиты в «Европейских критериях» вводится понятие:

• Ответ: адекватности средств защиты

Вопрос 78. Привелегия ____________________ дает право на изменение состояния флагов отладочной трассировки.

• Ответ: trace

Вопрос 79. Из перечисленного в соответствии с видами объектов привилегии доступа подразделяются на:

• Ответ: базы данных
• Ответ: процедуры
• Ответ: сервер баз данных
• Ответ: события

Вопрос 80. Из перечисленных разделов, криптография включает:

• Ответ: криптосистемы с открытым ключом
• Ответ: симметричные криптосистемы
• Ответ: системы электронной подписи
• Ответ: управление ключами

Вопрос 81. Основным положением модели системы безопасности с полным перекрытием является наличие на каждом пути проникновения в систему

• Ответ: хотя бы одного средства безопасности

Вопрос 82. ____________________ называется конечное множество используемых для кодирования информации знаков.

• Ответ: Алфавитом

Вопрос 83. Организационные требования к системе защиты

• Ответ: административные и процедурные

Вопрос 84. ____________________ — это гарнтия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом модифицировать, разрушать или создавать данные.

• Ответ: Целостность

Вопрос 85. При передаче по каналам связи на физическом уровне избыточность вводится для:

• Ответ: реализации проверки со стороны получателя

Вопрос 86. Брандмауэры первого поколения представляли собой …

• Ответ: маршрутизаторы с фильтрацией пакетов

Вопрос 87. Из перечисленного для СУБД важны такие аспекты информационной безопасности, как:

• Ответ: доступность
• Ответ: конфиденциальность
• Ответ: целостность

Вопрос 88. Согласно «Европейским критериям» предъявляет повышенные требования и к целостности, и к конфиденциальности информации класс

• Ответ: F-DX

Вопрос 89. Из перечисленного подсистема управления криптографическими ключами структурно состоит из:

• Ответ: программно-аппаратных средств
• Ответ: центра распределения ключей

Вопрос 90. Привелегия ____________________ дает право на управление расположением сервера баз данных.

• Ответ: maintain locations

Вопрос 91. ____________________ — цель прогресса внедрения и тестирования средств защиты.

• Ответ: Гарантировать правильностьреализации средств защиты

Вопрос 92. Из перечисленного услуга защиты целостности доступна на уровнях:

• Ответ: прикладном
• Ответ: сетевом
• Ответ: транспортном

Вопрос 93. Из перечисленного, ГОСТ 28147-89 используется в режимах:

• Ответ: выработка имитовставки
• Ответ: гаммирование
• Ответ: гаммирование с обратной связью
• Ответ: простая замена

Вопрос 94. ____________________ называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

• Ответ: Электронной подписью

Вопрос 95. Надежность СЗИ определяется:

• Ответ: самым слабым звеном

Вопрос 96. По документам ГТК самый высокий класс защищенности СВТ от НСД к информации:

• Ответ: 1

Вопрос 97. ____________________ является недостатком модели политики безопасности на основе анализа угроз системе.

• Ответ: Изначальное допущение вскрываемости системы

Вопрос 98. ____________________ — это проверка подлинности пользователя по предъявленному им идентификатору.

• Ответ: Аутентификация

Вопрос 99. ____________________ создается для реализации технологии RAID.

• Ответ: Псевдодрайвер

Вопрос 100. Из перечисленных программных закладок, по методу внедрения в компьютерную систему различают:

• Ответ: драйверные
• Ответ: загрузочные
• Ответ: прикладные
• Ответ: программно-аппаратные

Вопрос 101. В модели политики безопасности Лендвера ссылка на сущность, если это идентификатор сущности, называется …

• Ответ: прямой

Вопрос 102. Из перечисленного, различают модели воздействия программных закладок на компьютеры:

• Ответ: искажение
• Ответ: наблюдение и компрометация
• Ответ: перехват
• Ответ: уборка мусора

Вопрос 103. ____________________ называется получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля.

• Ответ: Мониторингом

Вопрос 104. ____________________ режим тиражирования данных улучшает рабочие характеристики системы.

• Ответ: Асинхронный

Вопрос 105. ____________________ является первым этапом разработки системы защиты ИС.

• Ответ: Анализ потенциально возможных угроз информации

Вопрос 106. При передаче по каналам связи на канальном уровне избыточность вводится для:

• Ответ: контроля ошибок

Вопрос 107. Защита с применением меток безопасности согласно «Оранжевой книге» используется в системах класса

• Ответ: В1

Вопрос 108. ____________________ называется совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.

• Ответ: Качеством информации

Вопрос 109. Восстановление данных является дополнительной функцией услуги защиты

• Ответ: целостность

Вопрос 110. Привелегия ____________________ дает право управлять безопасностью СУБД и отслеживать действия пользователей.

• Ответ: security

Вопрос 111. Согласно «Оранжевой книге» верифицированную защиту имеет группа критериев

• Ответ: А

Вопрос 112. Из перечисленного метка безопасности состоит из таких компонентов, как:

• Ответ: категория
• Ответ: области
• Ответ: уровень секретности

Вопрос 113. Система защиты должна гарантировать, что любое движение данных

• Ответ: идентифицируется, авторизуется, обнаруживается, документируется

Вопрос 114. Из перечисленных классов, признаки присутствия программной закладки в компьютере можно разделить на:

• Ответ: качественные и визуальные
• Ответ: обнаруживаемые средствами тестирования и диагностики

Вопрос 115. В модели политики безопасности Лендвера одноуровневый блок информации называется:

• Ответ: объектом

Вопрос 116. Маршрутизация и управление потоками данных реализуются на ____________________ уровне модели взаимодействия открытых систем.

• Ответ: сетевом

Вопрос 117. Из перечисленного типами услуг аутентификации являются:

• Ответ: достоверность объектов коммуникации
• Ответ: достоверность происхождения данных

Вопрос 118. Обеспечение взаимодействия удаленных процессов реализуется на ____________________ уровне модели взаимодействия открытых систем.

• Ответ: транспортном

Вопрос 119. Согласно «Европейским критериям» на распределенные системы обработки информации ориентирован класс

• Ответ: F-DI

Вопрос 120. По документам ГТК количество классов защищенности СВТ от НСД к информации:

• Ответ: 6

Вопрос 121. С помощью закрытого ключа информация:

• Ответ: расшифровывается

Вопрос 122. ____________________ — это выделения пользователем и администраторам только тех прав доступа, которые им необходимы.

• Ответ: Принцип минимазации привилегий

Вопрос 123. Если средство защиты способно противостоять корпоративному злоумышленнику, то согласно «Европейским критериям» безопасность считается:

• Ответ: средней

Вопрос 124. Из перечисленных множеств, модель безопасности Хартстона описывается множествами:

• Ответ: операции
• Ответ: пользователи
• Ответ: ресурсы
• Ответ: установленные полномочия

Вопрос 125. Из перечисленного, аспектами адекватности средств защиты являются:

• Ответ: корректность
• Ответ: эффективность

Вопрос 126. Из перечисленного на сетевом уровне рекомендуется применение услуг:

• Ответ: аутентификации
• Ответ: контроля доступа
• Ответ: конфиденциальности
• Ответ: целостности

Вопрос 127. Из перечисленного в файловых системах ОС UNIX права доступа к файлу определяются для:

• Ответ: владельца
• Ответ: всех основных пользователей
• Ответ: членов группы владельца

Вопрос 128. ACL-список ассоциируется с каждым

• Ответ: объектом

Вопрос 129. Формирование пакетов данных реализуется на ____________________ уровне модели взаимодействия открытых систем.

• Ответ: канальном

Вопрос 130. Из перечисленного структура ОС с точки зрения анализа ее безопасности включает уровни:

• Ответ: внешний
• Ответ: приложений
• Ответ: сетевой
• Ответ: системный

Вопрос 131. Администратор сервера баз данных имеет имя

• Ответ: ingres

Вопрос 132. В многоуровневой модели, если субъект доступа формирует запрос на изменение, то уровень безопасности объекта относительно уровня безопасности субъекта должен:

• Ответ: доминировать

Вопрос 133. «Троянский конь» является разновидностью модели воздействия программных закладок

• Ответ: искажение

Вопрос 134. Из перечисленного система защиты электронной почты должна:

• Ответ: быть кросс-платформенной
• Ответ: обеспечивать все услуги безопасности
• Ответ: поддерживать работу с почтовыми клиентами

Вопрос 135. Из перечисленного, видами политики безопасности являются:

• Ответ: избирательная
• Ответ: полномочная

Вопрос 136. Операционная система Windows 2000 отличает каждого пользователя от других по:

• Ответ: идентификатору безопасности

Вопрос 137. Согласно «Европейским критериям» только общая архитектура системы анализируется на уровне

• Ответ: Е1

Вопрос 138. ____________________ является достоинством дискретных моделей политики безопасности.

• Ответ: Простой механизм реализации

Вопрос 139. ____________________ обеспечивается защита исполняемых файлов.

• Ответ: Обязательным контролем попытки запуска

Вопрос 140. Защита информации, определяющей конфигурацию системы, является основной задачей средств защиты

• Ответ: встроенных в ОС

Вопрос 141. Администратор ____________________ занимается регистрацией пользователей СУБД.

• Ответ: сервера баз данных

Вопрос 142. Обычно в СУБД применяется управление доступом

• Ответ: произвольное

Вопрос 143. С помощью открытого ключа информация:

• Ответ: зашифровывается

Вопрос 144. ____________________ — это свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованных личностей, объектов или процессов.

• Ответ: Конфиденциальность

Вопрос 145. ____________________ называется удачная криптоатака.

• Ответ: Взломом

Вопрос 146. По документам ГТК количество классов защищенности АС от НСД:

• Ответ: 9

Вопрос 147. ____________________ называется запись определенных событий в журнал безопасности сервера.

• Ответ: Аудитом

Вопрос 148. Из перечисленного в ОС UNIX регистрационная запись средств аудита включает поля:

• Ответ: дата и время события
• Ответ: идентификатор пользователя
• Ответ: результат действия
• Ответ: тип события

Вопрос 149. Длина исходного ключа в ГОСТ 28147-89 (бит):

• Ответ: 256

Вопрос 150. Для создания базы данных пользователь должен получить привилегию от:

• Ответ: администратора сервера баз данных

Вопрос 151. Из перечисленного защита процедур и программ осуществляется на уровнях:

• Ответ: аппаратуры
• Ответ: данных
• Ответ: программного обеспечения

Вопрос 152. Из перечисленного, проблемами модели Белла-ЛаПадула являются:

• Ответ: завышение уровня секретности
• Ответ: запись вслепую
• Ответ: привилегированные субъекты
• Ответ: удаленная запись

Вопрос 153. Чтобы программная закладка могла произвести какие-либо действия, необходимо чтобы она

• Ответ: попала в оперативную память

Вопрос 154. Из перечисленного на транспортном уровне рекомендуется применение услуг:

• Ответ: аутентификации
• Ответ: контроля доступа
• Ответ: конфиденциальности
• Ответ: целостности

Вопрос 155. Показатель ____________________ является главным параметром криптосистемы.

• Ответ: криптостойкости

Вопрос 156. Из перечисленного в обязанности сотрудников группы информационной безопасности входят:

• Ответ: расследование причин нарушения защиты
• Ответ: управление доступом пользователей к данным

Вопрос 157. Из перечисленных свойств, безопасная система обладает:

• Ответ: доступность
• Ответ: конфиденциальность
• Ответ: целостность

Вопрос 158. Услугами ____________________ ограничавается применение средств защиты физического уровня.

• Ответ: конфиденциальности

Вопрос 159. У всех программных закладок имеется общая черта

• Ответ: обязательно выполняют операцию записи в память

Вопрос 160. Из перечисленного, модель политики безопасности Адепт-50 рассматривает следующие группы безопасности:

• Ответ: задания
• Ответ: пользователи
• Ответ: терминалы
• Ответ: файлы

Вопрос 161. Абстрактное описание системы, без связи с ее реализацией, дает модель политики безопасности

• Ответ: Белла-ЛаПадула

Вопрос 162. На ____________________ уровне ОС происходит определение допустимых для пользователя ресурсов ОС.

• Ответ: системном

Вопрос 163. В модели политики безопасности Лендвера многоуровневая информационная структура называется:

• Ответ: контейнером

Вопрос 164. По документам ГТК самый низкий класс защищенности СВТ от НСД к информации:

• Ответ: 6

Вопрос 165. По умолчанию пользователь не имеет никаких прав доступа к:

• Ответ: таблицам и представлениям

Вопрос 166. Из перечисленного формами причастности являются:

• Ответ: к посылке сообщения
• Ответ: подтверждение получения сообщения

Вопрос 167. Пользовательское управление данными реализуется на уровне модели взаимодействия открытых систем

• Ответ: прикладном

Вопрос 168. ____________________ характеризует соответствие средств безопасности решаемым задачам.

• Ответ: Эффективность

Вопрос 169. Из перечисленного привилегии в СУБД могут передаваться:

• Ответ: группам
• Ответ: ролям
• Ответ: субъектам

Вопрос 170. ____________________ является администратором базы данных.

• Ответ: Любой пользователь, создавший БД

Вопрос 171. Из перечисленного, угрозы безопасности по природе происхождения классифицируются как:

• Ответ: преднамеренная
• Ответ: случайная

Вопрос 172. Из перечисленных моделей, моделями политики безопасности на основе конечных состояний являются:

• Ответ: LWM
• Ответ: Белла-ЛаПадула
• Ответ: Лендвера

Вопрос 173. Из перечисленного, угрозы безопасности по предпосылкам появления классифицируются как:

• Ответ: объективная
• Ответ: субъективная

Вопрос 174. Из перечисленного электронная почта состоит из:

• Ответ: краткого содержания письма
• Ответ: прикрепленных файлов
• Ответ: тела письма

Вопрос 175. ____________________ называется нормативный документ, регламентирующий все аспекты безопасности продукта информационных технологий.

• Ответ: Профилем защиты

Вопрос 176. С точки зрения ГТК основной задачей средств безопасности является обеспечение:

• Ответ: защиты от НСД

Вопрос 177. Из перечисленного ACL-список содержит:

• Ответ: домены, которым разрешен доступ к объекту
• Ответ: тип доступа

Вопрос 178. Согласно «Оранжевой книге» с объектами должны быть ассоциированы

• Ответ: метки безопасности

Вопрос 179. ____________________ является недостатком дискретных моделей политики безопасности я.

• Ответ: Статичность

Вопрос 180. Из перечисленного, группами требований к системам защиты информации являются:

• Ответ: конкретные
• Ответ: общие
• Ответ: организационные

Вопрос 181. Операционная система Windows NT соответствует уровню Оранжевой книги:

• Ответ: С2

Вопрос 182. Из перечисленного методами защиты потока сообщений являются:

• Ответ: использование случайных чисел
• Ответ: нумерация сообщений
• Ответ: отметка времени

Вопрос 183. Из перечисленного, подсистема управления доступом системы защиты информации должна обеспечивать:

• Ответ: аутентификация
• Ответ: идентификация
• Ответ: управление потоками информации

Вопрос 184. ____________________ обеспечивается защита от форматирования жесткого диска со стороны пользователей.

• Ответ: Аппаратным модулем, устанавливаемым на системную шину ПК

Вопрос 185. ____________________ является сетевой службой, предназначенной для централизованного решения задач аутентификации и авторизации в крупных сетях.

• Ответ: Kerberos

Вопрос 186. Согласно «Европейским критериям» минимальную адекватность обозначает уровень

• Ответ: Е0

Вопрос 187. ____________________ называется список объектов, к которым может быть получен доступ, вместе с доменом защиты объекта.

• Ответ: Перечнем возможностей

Вопрос 188. Из перечисленного объектами для монитора обращений являются:

• Ответ: задания
• Ответ: программы
• Ответ: устройства
• Ответ: файлы

Вопрос 189. Из перечисленного, в модели политики безопасности Лендвера сущностью могут являться:

• Ответ: контейнер
• Ответ: объект

Вопрос 190. ____________________ является достоинством модели конечных состояний политики безопасности.

• Ответ: Высокая степень надежности

Вопрос 191. Из перечисленного базовыми услугами для обеспечения безопасности компьютерных систем и сетей являются:

• Ответ: аутентификация
• Ответ: контроль доступа
• Ответ: причастность
• Ответ: целостность

Вопрос 192. Являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от клавиатуры, клавиатурные шпионы типа

• Ответ: фильтры

Вопрос 193. ____________________ является достоинством матричных моделей безопасности.

• Ответ: Легкость представления широкого спектра правил обеспечения безопасности

Вопрос 194. ____________________ является наукой, изучающей математические методы защиты информации путем ее преобразования.

• Ответ: Криптология

Вопрос 195. Брандмауэры второго поколения представляли собой …

• Ответ: «уполномоченные серверы»

Вопрос 196. Из перечисленного контроль доступа используется на уровнях:

• Ответ: прикладном
• Ответ: сетевом
• Ответ: транспортном

Вопрос 197. На многопользовательские системы с информацией одного уровня конфиденциальности согласно «Оранжевой книге» рассчитан класс

• Ответ: С1

Вопрос 198. Согласно «Оранжевой книге» дискреционную защиту имеет группа критериев

• Ответ: С

Вопрос 199. ____________________ обеспечивается защита от программных закладок.

• Ответ: Аппаратным модулем, устанавливаемым на системную шину ПК

Вопрос 200. Из перечисленного, параметрами классификации угроз безопасности информации являются:

• Ответ: источники угроз
• Ответ: предпосылки появления
• Ответ: природа происхождения

Вопрос 201. ____________________ являются достоинствами аппаратной реализации криптографического закрытия данных.

• Ответ: Высокая производительность и простота

Вопрос 202. Из перечисленного пользователи СУБД разбиваются на категории:

• Ответ: администратор базы данных
• Ответ: администратор сервера баз данных
• Ответ: конечные пользователи

Вопрос 203. Конкретизацией модели Белла-ЛаПадула является модель политики безопасности

• Ответ: LWM

Вопрос 204. Из перечисленного составляющими информационной базы для монитора обращений являются:

• Ответ: виды доступа
• Ответ: форма допуска

Вопрос 205. Как предотвращение неавторизованного использования ресурсов определена услуга защиты

• Ответ: контроль доступа

Вопрос 206. Поддержка диалога между удаленными процессами реализуется на ____________________ уровне модели взаимодействия открытых систем.

• Ответ: сеансовом

Вопрос 207. ____________________ — это политика информационной безопасности.

• Ответ: Совокупность законов, правил, определяющих управленческие и проектные решения в области защиты информации

Вопрос 208. ____________________ составляет основу политики безопасности.

• Ответ: Способ управления доступом

Вопрос 209. Из перечисленного аутентификация используется на уровнях:

• Ответ: прикладном
• Ответ: сетевом
• Ответ: транспортном

Вопрос 210. Из перечисленных уровней безопасности, в «Европейских критериях» определены:

• Ответ: базовый
• Ответ: высокий
• Ответ: средний

Вопрос 211. Стандарт DES основан на базовом классе

• Ответ: блочные шифры

Вопрос 212. ____________________ уровень ОС связан с доступом к информационным ресурсам внутри организации.

• Ответ: Сетевой

Вопрос 213. Согласно «Оранжевой книге» мандатную защиту имеет группа критериев

• Ответ: В

Вопрос 214. Возможность получения необходимых пользователю данных или сервисов за разумное время характеризует свойство

• Ответ: доступность

Вопрос 215. ____________________ называется процесс определения риска, применения средств защиты для сокращения риска с последующим определением приемлемости остаточного риска.

• Ответ: Управлением риском

Вопрос 216. Из перечисленного цифровая подпись используется для обеспечения услуг:

• Ответ: аутентификации
• Ответ: целостности

Вопрос 217. Наименее затратный криптоанализ для криптоалгоритма DES

• Ответ: перебор по всему ключевому пространству

Вопрос 218. Полномочия ядра безопасности ОС ассоциируются с:

• Ответ: процессами

Вопрос 219. При избирательной политике безопасности в матрице доступа на пересечении столбца и строки указывается:

• Ответ: тип разрешенного доступа

Вопрос 220. Готовность устройства к использованию всякий раз, когда в этом возникает необходимость, характеризует свойство

• Ответ: доступность

Вопрос 221. ____________________ является недостатком матричных моделей безопасности.

• Ответ: Отсутствие контроля за потоками информации

Вопрос 222. ____________________ является недостатком многоуровневых моделей безопасности.

• Ответ: Невозможность учета индивидуальных особенностей субъекта

Вопрос 223. ____________________ называется процесс имитации хакером дружественного адреса.

• Ответ: «Спуфингом»

Вопрос 224. В многоуровневой модели, если уровни безопасности субъекта и объекта доступа не сравнимы, то …

• Ответ: никакие запросы на выполняются

Вопрос 225. Из перечисленного ядро безопасности ОС выделяет типы полномочий:

• Ответ: подсистем
• Ответ: ядра

Вопрос 226. Обеспечение целостности информации в условиях случайного воздействия изучается:

• Ответ: теорией помехоустойчивого кодирования

Вопрос 227. ____________________ называется метод управления доступом, при котором каждому объекту системы присваивается метка критичности, определяющая ценность информации.

• Ответ: Мандатным

Вопрос 228. Класс F-DC согласно «Европейским критериям» характеризуется повышенными требованиями к:

• Ответ: конфиденциальности

Вопрос 229. ____________________ — это проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.

• Ответ: Аутентификация

Вопрос 230. ____________________ занимается обеспечением скрытности информации в информационных массивах.

• Ответ: Стеганография

Вопрос 231. Длина исходного ключа у алгоритма шифрования DES (бит):

• Ответ: 56

Вопрос 232. Программный модуль, который имитирует приглашение пользователю зарегистрироваться для того, чтобы войти в систему, является клавиатурным шпионом типа

• Ответ: имитатор

Вопрос 233. Из перечисленного управление маршрутизацией используется на уровнях:

• Ответ: прикладном
• Ответ: сетевом

Вопрос 234. В модели политики безопасности Лендвера ссылка на сущность, если это последовательность имен сущностей, называется …

• Ответ: косвенной

Вопрос 235. ____________________ объединяет математические методы нарушения конфиденциальности и аутентичности информации без знания ключей.

• Ответ: Криптоанализ

Вопрос 236. В многоуровневой модели, если субъект доступа формирует запрос на чтение-запись, то уровень безопасности субъекта относительно уровня безопасности объекта должен:

• Ответ: быть равен

Вопрос 237. Из перечисленных моделей, моделями политики безопасности на основе анализа угроз системе являются:

• Ответ: игровая
• Ответ: с полным перекрытием

Вопрос 238. Из перечисленного для аутентификации по личной подписи терминальных пользователей используются методы:

• Ответ: визуальное сканирование
• Ответ: исследование динамических характеристик движения руки

Вопрос 239. ____________________ определяется как предотвращение возможности отказа одним из участников коммуникаций от факта участия в передаче данных.

• Ответ: Причастность

Вопрос 240. Наименее затратный криптоанализ для криптоалгоритма RSA

• Ответ: разложение числа на простые множители

Вопрос 241. Из перечисленного, группами требований к документированию системы защиты информации являются:

• Ответ: обработка угроз
• Ответ: протоколирование
• Ответ: тестирование программ

Вопрос 242. При избирательной политике безопасности в матрице доступа объекту системы соответствует:

• Ответ: строка

Вопрос 243. Из перечисленного субъектами для монитора обращений являются:

• Ответ: порты
• Ответ: программы
• Ответ: терминалы

Вопрос 244. Из перечисленного в автоматизированных системах используется аутентификация по:

• Ответ: паролю
• Ответ: предмету
• Ответ: физиологическим признакам

Вопрос 245. «Уполномоченные серверы» были созданы для решения проблемы

• Ответ: имитации IP-адресов

Вопрос 246. Единственный ключ используется в криптосистемах

• Ответ: симметричных

Вопрос 247. ____________________ режим тиражирования гарантирует полную согласованность баз данных.

• Ответ: Синхронный

Вопрос 248. Недостатком модели конечных состояний политики безопасности является

• Ответ: сложность реализации

Вопрос 249. Нормативный документ, регламентирующий все аспекты безопасности продукта информационных технологий, называется

• Ответ: профилем защиты

Вопрос 250. Согласно «Европейским критериям» для систем с высокими потребностями в обеспечении целостности предназначен класс

• Ответ: F-IN

Вопрос 251. Согласно «Оранжевой книге» дискреционную защиту имеет группа критериев

• Ответ: С

Вопрос 252. Из перечисленного: 1) простая замена с обратной связью; 2) простая замена; 3) гаммирование; 4) гаммирование с обратной связью; 5) выработка имитовставки; 6) электронная кодированная книга — ГОСТ 28147-89 используется в режимах

• Ответ: 2, 3, 4, 5

Вопрос 253. Как предотвращение возможности отказа одним из участников коммуникаций от факта участия в передаче данных определяется

• Ответ: причастность

Вопрос 254. Задачей анализа модели политики безопасности на основе анализа угроз системе является

• Ответ: минимизация вероятности преодоления системы защиты

Вопрос 255. Защита от программных закладок обеспечивается

• Ответ: аппаратным модулем, устанавливаемым на системную шину ПК

Вопрос 256. Проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы — это

• Ответ: аутентификация

Вопрос 257. Защита от форматирования жесткого диска со стороны пользователей обеспечивается

• Ответ: аппаратным модулем, устанавливаемым на системную шину ПК

Вопрос 258. Согласно «Оранжевой книге» мандатную защиту имеет группа критериев

• Ответ: В

Вопрос 259. Достоинствами аппаратной реализации криптографического закрытия данных являются

• Ответ: высокая производительность и простота

Вопрос 260. Определение допустимых для пользователя ресурсов ОС происходит на уровне ОС

• Ответ: системном

Вопрос 261. Взаимодействие с глобальными ресурсами других организаций определяет уровень ОС

• Ответ: внешний

Вопрос 262. Метод управления доступом, при котором каждому объекту системы присваивается метка критичности, определяющая ценность информации, называется

• Ответ: мандатным

Вопрос 263. Согласно «Европейским критериям» предъявляет повышенные требования и к целостности, и к конфиденциальности информации класс

• Ответ: F-DX

Вопрос 264. Из перечисленного: 1) случайная; 2) преднамеренная; 3) объективная; 4) субъективная; 5) стихийная; 6) детерминированная — угрозы безопасности по предпосылкам появления классифицируются как

• Ответ: 3, 4

Вопрос 265. Математические методы нарушения конфиденциальности и аутентичности информации без знания ключей объединяет

• Ответ: криптоанализ

Вопрос 266. Политика информационной безопасности — это

• Ответ: совокупность законов, правил, определяющих управленческие и проектные решения в области защиты информации

Вопрос 267. Главным параметром криптосистемы является показатель

• Ответ: криптостойкости

Вопрос 268. Из перечисленного: 1) технические; 2) общие; 3) организационные; 4) конкретные; 5) программные — группами требований к системам защиты информации являются

• Ответ: 2, 3, 4

Вопрос 269. Первым этапом разработки системы защиты ИС является

• Ответ: анализ потенциально возможных угроз информации

Вопрос 270. Конечное множество используемых для кодирования информации знаков называется

• Ответ: алфавитом

Вопрос 271. Из перечисленных программных закладок: 1) вирусные; 2) троянские; 3) программно-аппаратные; 4) загрузочные; 5) драйверные; 6) прикладные — по методу внедрения в компьютерную систему различают

• Ответ: 3, 4, 5, 6

Вопрос 272. Из перечисленных моделей: 1) Лендвера; 2) игровая; 3) Хартстона; 4) с полным перекрытием; 5) Белла-ЛаПадула; 6) LWM — моделями политики безопасности на основе конечных состояний являются

• Ответ: 1, 5, 6

Вопрос 273. Степень защищенности информации от негативного воздействия на неё с точки зрения нарушения её физической и логической целостности или несанкционированного использования — это

• Ответ: базопасность информации

Вопрос 274. Из перечисленного: 1) степень прогнозируемости; 2) природа происхождения; 3) предпосылки появления; 4) источники угроз; 5) размер ущерба — параметрами классификации угроз безопасности информации являются

• Ответ: 2, 3, 4

Вопрос 275. «Троянскийконь» является разновидностью модели воздействия программных закладок

• Ответ: искажение

Вопрос 276. Достоинством модели конечных состояний политики безопасности является

• Ответ: высокая степень надежности

Вопрос 277. Из перечисленного: 1) анализ потенциального злоумышленника; 2) оценка возможных затрат; 3) оценка возможных потерь; 4) анализ потенциальных угроз — процесс анализа рисков при разработке системы защиты ИС включает

• Ответ: 3, 4

Вопрос 278. В «Европейских критериях» количество классов безопасности равно

• Ответ: 10

Вопрос 279. Согласно «Оранжевой книге» верифицированную защиту имеет группа критериев

• Ответ: А

Вопрос 280. Присвоение субъектам и объектам доступа уникального номера, шифра, кода и т.п. с целью получения доступа к информации — это

• Ответ: идентификация

Вопрос 281. «Уполномоченные серверы» были созданы для решения проблемы

• Ответ: имитации IP-адресов

Вопрос 282. Из перечисленных категорий требований безопасности: 1) политика безопасности; 2) аудит; 3) идентификация ; 4) корректность; 5) аутентификация — в «Оранжевой книге» предложены

• Ответ: 1, 2, 4

Вопрос 283. Достоинствами программной реализации криптографического закрытия данных являются

• Ответ: практичность и гибкость

Вопрос 284. Из перечисленных требований: 1) резервное копирование; 2) аутентификация; 3) необходимость записи всех движений защищаемых данных; 4) накопление статистики — при разработке протоколирования в системе защиты учитываются

• Ответ: 3, 4

Вопрос 285. Достоинством дискретных моделей политики безопасности является

• Ответ: простой механизм реализации

Вопрос 286. Для реализации технологии RAID создается

• Ответ: псевдодрайвер

Вопрос 287. Система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую, называется

• Ответ: брандмауэром

Вопрос 288. Применение средств защиты физического уровня ограничивается услугами

• Ответ: конфиденциальности

Вопрос 289. Из перечисленных уровней безопасности: 1) базовый; 2) низкий; 3) средний; 4) стандартный; 5) высокий — в «Европейских критериях» определены

• Ответ: 1, 3, 5

Вопрос 290. Наиболее надежным механизмом для защиты содержания сообщений является

• Ответ: криптография

Вопрос 291. Цель прогресса внедрения и тестирования средств защиты —

• Ответ: гарантировать правильность реализации средств защиты

Вопрос 292. Из перечисленного: 1) привилегированная; 2) избирательная; 3) полномочная; 4) оптимальная; 5) минимальная; 6) максимальная — видами политики безопасности являются

• Ответ: 2, 3

Вопрос 293. Из перечисленного: 1) перехват; 2) искажение; 3) внедрение; 4) захват ресурсов; 5) уборка мусора; 6) наблюдение и компрометация — различают модели воздействия программных закладок на компьютеры

• Ответ: 1, 2, 5, 6

Вопрос 294. Недостатком модели политики безопасности на основе анализа угроз системе является

• Ответ: изначальное допущение вскрываемости системы

Вопрос 295. Из перечисленного: 1) оповещение о попытках нарушения защиты; 2) идентификация; 3) аутентификация; 4) учет носителей информации; 5) управление потоками информации — подсистема управления доступом системы защиты информации должна обеспечивать

• Ответ: 2, 3, 5

Вопрос 296. Согласно «Европейским критериям» формальное описание функций безопасности требуется на уровне

• Ответ: Е6

Вопрос 297. Недостаток систем шифрования с открытым ключом

• Ответ: относительно низкая производительность

Вопрос 298. Из перечисленных моделей: 1) Адепт-50; 2) игровая; 3) Хартстона; 4) с полным перекрытием; 5) Белла-ЛаПадула; 6) LWM — моделями политики безопасности на основе дискретных компонент являются

• Ответ: 1, 3

Вопрос 299. Процесс имитации хакером дружественного адреса называется

• Ответ: спуфингом

Вопрос 300. «Уполномоченные серверы» фильтруют пакеты на уровне

• Ответ: приложений

Вопрос 301. Основу политики безопасности составляет

• Ответ: способ управления доступом

Вопрос 302. Из перечисленных предположений о: 1) категориях лиц; 2) мотивах; 3) квалификации; 4) возможных потерях; 5)возможных путях реализации угроз — при разработке модели нарушителя ИС определяются

• Ответ: 1, 2, 3

Вопрос 303. Из перечисленных моделей: 1) Адепт-50; 2) игровая; 3) Хартстона; 4) с полным перекрытием; 5) Белла-ЛаПадула; 6) LWM — моделями политики безопасности на основе анализа угроз системе являются

• Ответ: 2, 4

Вопрос 304. Право на запуск сервера дает привилегия

• Ответ: operator

Вопрос 305. Свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованных личностей, объектов или процессов — это

• Ответ: конфиденциальность

Вопрос 306. Согласно «Европейским критериям» на распределенные системы обработки информации ориентирован класс

• Ответ: F-DI

Вопрос 307. Соответствие средств безопасности решаемым задачам характеризует

• Ответ: эффективность

Вопрос 308. Процесс определения риска, применения средств защиты для сокращения риска с последующим определением приемлемости остаточного риска, называется

• Ответ: управлением риском

Вопрос 309. Недостатком матричных моделей безопасности является

• Ответ: отсутствие контроля за потоками информации

Вопрос 310. Предоставление легальным пользователем дифференцированных прав доступа к ресурсам системы — это

• Ответ: авторизация

Вопрос 311. Право на удаление баз данных дает привилегия

• Ответ: createdb

Вопрос 312. С управлением доступа к ресурсам ОС связан уровень ОС

• Ответ: системный

Вопрос 313. Защита исполняемых файлов обеспечивается

• Ответ: обязательным контролем попытки запуска

Вопрос 314. Сетевой службой, предназначенной для централизованного решения задач аутентификации и авторизации в крупных сетях, является

• Ответ: Kerberos

Вопрос 315. Улучшает рабочие характеристики системы режим тиражирования данных

• Ответ: асинхронный

Вопрос 316. Достоинством матричных моделей безопасности является

• Ответ: легкость представления широкого спектра правил обеспечения безопасности

Вопрос 317. Право на изменение состояния флагов отладочной трассировки дает привилегия

• Ответ: trace

Вопрос 318. Обеспечением скрытности информации в информационных массивах занимается

• Ответ: стеганография

Вопрос 319. Согласно «Европейским критериям» минимальную адекватность обозначает уровень

• Ответ: Е0

Вопрос 320. Из перечисленных разделов: 1) симметричные криптосистемы; 2) криптосистемы с открытым ключом; 3) асимметричные криптосистемы; 4) системы электронной подписи; 5) стеганография; 6) управление ключами — криптография включает

• Ответ: 1, 2, 4, 6

Вопрос 321. Полную согласованность баз данных гарантирует режим тиражирования

• Ответ: синхронный

Вопрос 322. Запись определенных событий в журнал безопасности сервера называется

• Ответ: аудитом

Вопрос 323. Право управлять безопасностью СУБД и отслеживать действия пользователей дает привилегия

• Ответ: security

Вопрос 324. Преднамеренные дефекты, внесенные в программные средства для целенаправленного скрытого воздействия на ИС, называются

• Ответ: программными закладками

Вопрос 325. Из перечисленных свойств: 1) конфиденциальность; 2) восстанавливаемость; 3) доступность; 4) целостность; 5) детерминированность — безопасная система обладает

• Ответ: 1, 3, 4

Вопрос 326. Недостатком дискретных моделей политики безопасности является

• Ответ: статичность

Вопрос 327. Присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения, называется

• Ответ: электронной подписью

Вопрос 328. Согласно «Оранжевой книге» с объектами должны быть ассоциированы

• Ответ: метки безопасности

Вопрос 329. Согласно «Оранжевой книге» уникальные идентификаторы должны иметь

• Ответ: все субъекты

Вопрос 330. Из перечисленного: 1) оповещение о попытках нарушения защиты; 2) идентификация; 3) аутентификация; 4) учет носителей информации; 5) управление потоками информации — подсистема регистрации и учета системы защиты информации должна обеспечивать

• Ответ: 1, 4

Вопрос 331. Регистрацией пользователей СУБД занимается администратор

• Ответ: сервера баз данных

Вопрос 332. Совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением, называется

• Ответ: качеством информации

Вопрос 333. Согласно «Европейским критериям» только общая архитектура системы анализируется на уровне

• Ответ: Е1

Вопрос 334. Администратором базы данных является

• Ответ: любой пользователь, создавший БД

Вопрос 335. Из перечисленных типов: 1) перехватчики; 2) имитаторы; 3) наблюдатели; 4) фильтры; 5) заместители — все клавиатурные шпионы делятся на

• Ответ: 2, 4, 5

Вопрос 336. Проверка подлинности пользователя по предъявленному им идентификатору — это

• Ответ: аутентификация

Вопрос 337. С доступом к информационным ресурсам внутри организации связан уровень ОС

• Ответ: сетевой

Вопрос 338. Удачная криптоатака называется

• Ответ: взломом

Вопрос 339. Наукой, изучающей математические методы защиты информации путем ее преобразования, является

• Ответ: криптология

Вопрос 340. Регистрацией в системе Windows 2000 управляет

• Ответ: процедура winlogon

Вопрос 341. Выделения пользователем и администраторам только тех прав доступа, которые им необходимы это

• Ответ: принцип минимазации привилегий

Вопрос 342. Из перечисленного: 1) протоколирование; 2) тестирование программ; 3) аутентификация; 4) обработка угроз; 5) резервное копирование — группами требований к документированию системы защиты информации являются

• Ответ: 1, 2, 4

Вопрос 343. Недостатком многоуровневых моделей безопасности является

• Ответ: невозможность учета индивидуальных особенностей субъекта

Вопрос 344. Право на управление расположением сервера баз данных дает привилегия

• Ответ: maintain locations

Вопрос 345. Получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля называется

• Ответ: мониторингом

Вопрос 346. Из перечисленных классов: 1) обнаруживаемые операционной системой при загрузке; 2) качественные и визуальные; 3) аппаратные; 4) обнаруживаемые средствами тестирования и диагностики — признаки присутствия программной закладки в компьютере можно разделить на

• Ответ: 2, 4

Вопрос 347. Из перечисленного: 1) объект ; 2) множество; 3) операция; 4) контейнер — в модели политики безопасности Лендвера сущностью могут являться

• Ответ: 1, 4

Вопрос 348. Список объектов, к которым может быть получен доступ, вместе с доменом защиты объекта называется

• Ответ: перечнем возможностей

Вопрос 349. Согласно «Оранжевой книге» минимальную защиту имеет группа критериев

• Ответ: D

Вопрос 350. Гарнтия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом модифицировать, разрушать или создавать данные — это

• Ответ: целостность

Вопрос 351. Из перечисленного: 1) администраторы; 2) пользователи; 3) задания; 4) терминалы; 5) программы; 6) файлы — модель политики безопасности Адепт-50 рассматривает следующие группы безопасности

• Ответ: 2, 3, 4, 6

Вопрос 352. Из перечисленного: 1) занижение уровня секретности; 2) завышение уровня секретности; 3) запись вслепую; 4) лишняя запись; 5) удаленная запись; 6) привилегированные субъекты — проблемами модели Белла-ЛаПадула являются

• Ответ: 2, 3, 5, 6

Вопрос 353. Из перечисленного: 1) эффективность; 2) корректность; 3) унификация; 4) конфиденциальность — аспектами адекватности средств защиты являются

• Ответ: 1, 2

Вопрос 354. Из перечисленного: 1) идентификация и аутентификация; 2) регистрация и учет; 3) непрерывность защиты; 4) политика безопасности — согласно «Оранжевой книге» требованиями в области аудита являются

• Ответ: 1, 2

Вопрос 355. Из перечисленного: 1) случайная; 2) преднамеренная; 3) стихийная; 4) детерминированная; 5) объективная; 6) субъективная — угрозы безопасности по природе происхождения классифицируются как

• Ответ: 1, 2

Вопрос 356. Оконечное устройство канала связи, через которое процесс может передавать или получать данные, называется

• Ответ: сокетом

Вопрос 357. Содержанием параметра угрозы безопасности информации «конфиденциальность» является

• Ответ: несанкционированное получение

Вопрос 358. Конфигурация из нескольких компьютеров, выполняющих общее приложение, называется

• Ответ: кластером

Вопрос 359. Достоинством модели политики безопасности на основе анализа угроз системе является

• Ответ: числовая вероятностная оценка надежности

Вопрос 360. Трояские программы — это

• Ответ: часть программы с известными пользователю функциями, способная выполнять действия с целью причинения определенного ущерба

 Являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от клавиатуры, клавиатурные шпионы типа
фильтры

1. Защита информации, определяющей конфигурацию системы, является основной задачей средств защиты
встроенных в ОС
системного уровня
сетевого уровня
уровня приложений

2. Защита от программных закладок обеспечивается
аппаратным модулем, устанавливаемым на системную шину ПК
системным программным обеспечением
специальным программным обеспечением
аппаратным модулем, устанавливаемым на контроллер

3. Идентификаторы безопаснос­ти в Windows 2000 представляют собой
двоичное число, состоящее из заголовка и длинного случайного компонента
константу, определенную администратором для каждого пользователя
число, вычисляемое с помощью хэш-функции
строку символов, содержащую имя пользователя и пароль

4. Из перечисленного аутентификация используется на уровнях: 1) сетевом; 2) транспортном; 3) сеансовом; 4) канальном; 5) прикладном; 6) физическом
1, 2, 5
4, 5, 6
1, 3, 5
1, 2, 3

5. Из перечисленного в автоматизированных системах используется аутентификация по: 1) терминалу; 2) паролю; 3) предмету; 4) физиологическим признакам; 5) периферийным устройствам
2, 3, 4
1, 2, 4
3, 4, 5
1, 2, 3

6. Из перечисленного в ОС UNIX регистрационная запись средств аудита включает поля: 1) дата и время события; 2) команда, введенная пользователем; 3) результат действия; 4) пароль пользователя; 5) тип события; 6) идентификатор пользователя
1, 3, 5, 6
2, 3, 4, 5
1, 3, 4, 6
1, 2, 5, 6

7. Из перечисленного в соответствии с видами объектов привилегии доступа подразделяются на: 1) терминалы; 2) процедуры; 3) модули; 4) базы данных; 5) сервер баз данных; 6) события
2, 4, 5, 6
1, 3, 5, 6
2, 3, 4, 5
1, 2, 3, 4

8. Из перечисленного для аутентификации по личной подписи терминальных пользователей используются методы: 1) визуальное сканирование; 2) фрагментарное сканирование; 3) исследование динамических характеристик движения руки; 4) исследование траектории движения руки
1, 3
2, 4
3, 4
1, 2

9. Из перечисленного для аутентификации по физиологическим признакам терминальных пользователей наиболее приемлемыми считаются: 1) отпечатки пальцев; 2) форма кисти; 3) форма губ; 4) форма ушной раковины; 5) голос; 6) личная подпись
1, 2, 5, 6
1, 4, 5
4, 5, 6
1, 2, 3

10. Из перечисленного для СУБД важны такие аспекты информационной безопасности, как 1) своевременность; 2) целостность; 3) доступность; 4) конфиденциальность; 5) многоплатформенность
2, 3, 4
2, 4
3, 4, 5
1, 2, 3

11. Из перечисленного защита процедур и программ осуществляется на уровнях: 1) аппаратуры; 2) программного обеспечения; 3) данных; 4) канальном; 5) сеансовом; 6) прикладном
1, 2, 3
2, 4, 6
1, 3, 5
4, 5, 6

12. Из перечисленного метка безопасности состоит из таких компонентов, как 1) уровень секретности; 2) категория; 3) множество ролей; 4) ключ шифра; 5) области
1, 2, 5
1, 3, 5
3, 4, 5
1, 2, 3

13. Из перечисленного на сетевом уровне рекомендуется применение услуг: 1) идентификации; 2) конфиденциальности; 3) контроля трафика; 4) контроля доступа; 5) целостности; 6) аутентификации
2, 4, 5, 6
2, 4, 6
4, 5, 6
1, 2, 3

14. Из перечисленного объектами для монитора обращений являются: 1) терминалы; 2) программы; 3) файлы; 4) задания; 5) порты; 6) устройства
2, 3, 4, 6
2, 4, 6
1, 3, 5
1, 2, 3, 4

15. Из перечисленного пользователи СУБД разбиваются на категории: 1) системный администратор; 2) сетевой администратор; 3) администратор сервера баз данных; 4) администратор базы данных; 5) конечные пользователи; 6) групповые пользователи
3, 4, 5
4, 5, 6
1, 2, 5
1, 3, 6

UCHEES.RU — помощь студентам и школьникам

Площадка Учись.Ru разработана специально для студентов и школьников. Здесь можно найти ответы на вопросы по гуманитарным, техническим, естественным, общественным, прикладным и прочим наукам. Если же ответ не удается найти, то можно задать свой вопрос экспертам. С нами сотрудничают преподаватели школ, колледжей, университетов, которые с радостью помогут вам. Помощь студентам и школьникам оказывается круглосуточно. С Учись.Ru обучение станет в несколько раз проще, так как здесь можно не только получить ответ на свой вопрос, но расширить свои знания изучая ответы экспертов по различным направлениям науки.

2020 — 2021 — UCHEES.RU

46. Если средства защиты могут быть преодолены только государственной спецслужбой, то согласно «Европейским критериям» безопасность считается:
• высокой

47. Если средство защиты способно противостоять корпоративному злоумышленнику, то согласно «Европейским критериям» безопасность считается:
• средней

48. Если средство защиты способно противостоять отдельным атакам, то согласно «Европейским критериям» безопасность считается:
• базовой

49. Задачей анализа модели политики безопасности на основе анализа угроз системе является:
• минимизация вероятности преодоления системы защиты

50. Запись определенных событий в журнал безопасности сервера называется:
• аудитом

51. Защита информации, определяющей конфигурацию системы, является основной задачей средств защиты
• встроенных в ОС

52. Защита исполняемых файлов обеспечивается:
• обязательным контролем попытки запуска

53. Защита от программных закладок обеспечивается:
• аппаратным модулем, устанавливаемым на системную шину ПК

54. Защита от форматирования жесткого диска со стороны пользователей обеспечивается:
• аппаратным модулем, устанавливаемым на системную шину ПК

55. Защита с применением меток безопасности согласно «Оранжевой книге» используется в системах класса
• В1

56. Идентификаторы безопасности в Windows 2000 представляют собой …
• двоичное число, состоящее из заголовка и длинного случайного компонента

57. Из перечисленного ACL-список содержит:
• домены, которым разрешен доступ к объекту
• тип доступа

58. Из перечисленного аутентификация используется на уровнях:
• прикладном
• сетевом
• транспортном

59. Из перечисленного базовыми услугами для обеспечения безопасности компьютерных систем и сетей являются:
• аутентификация
• контроль доступа
• причастность
• целостность

60. Из перечисленного в автоматизированных системах используется аутентификация по:
• паролю
• предмету
• физиологическим признакам