Методы и средства защиты информации

Москва  2018

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 
ВЫСШЕГО ОБРАЗОВАНИЯ 
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ «МИСиС»

ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ 
УПРАВЛЕНИЯ

Кафедра автоматизированных систем управления

И.С. Бондаренко
Ю.В. Демчишин

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ  
ИНФОРМАЦИИ

ЛАБОРАТОРНЫЙ ПРАКТИКУМ

Рекомендовано редакционно-издательским 
советом университета

№ 3058

УДК  004 
Б81

Р е ц е н з е н т 
канд. техн. наук, доц. А.Л. Иванников

Бондаренко И.С.
Б81  
Методы и средства защиты информации : лаб. практикум / 
И.С. Бондаренко, Ю.В. Демчишин. – М. : Изд. Дом НИТУ «МИСиС», 2018. – 32 с.

Лабораторный практикум разработан в рамках курса «Защита информации» и содержит семь лабораторных работ, в которых дается инструкция для 
практиктической реализации современных методов и средств обеспечения защиты информации в информационных системах. Практикум предназначен для 
студентов, обучающихся в бакалавриате по направлению 09.03.01 «Информатика и вычислительная техника». 

УДК 004

 И.С. Бондаренко, 
Ю.В. Демчишин, 2018
 НИТУ «МИСиС», 2018

СОДЕРЖАНИЕ

Введение ....................................................................................................4
Лабораторная работа 1. Встроенные средства защиты  
в современных операционных системах ................................................5
Лабораторная работа 2. Аудит в современных  
операционных системах ...........................................................................7
Лабораторная работа 3. Методы шифрования .....................................17
Лабораторная работа 4. Шифр Цезаря ..................................................19
Лабораторная работа 5. Метод гаммирования  
(XOR-шифрование)  ................................................................................22
Лабораторная работа 6. Шифрование с изменением форматов ..........25
Лабораторная работа 7. Стеганография ................................................27
Библиографический список ...................................................................... 30

ВВЕДЕНИЕ

В век стремительного роста объема цифровой информации все 
чаще приходится задумываться о вопросах безопасности ее хранения 
и передачи.  Исследования в области информационных технологий 
показали, что на сегодняшний день проанализировано менее 1 % всей 
имеющейся информации, а защищено – менее 20 %. Современный 
человек как активный пользователь ресурсов глобальной сети часто 
сталкивается с проблемой сохранности личных данных: паспортных, 
банковских карт, результатов своей профессиональной деятельности 
и др., становясь объектом действий мошенников. Компании, защищающие данные и извлекающие из них пользу, увеличивают свой потенциал.
Знание методов и средств защиты информации позволяет значительно снизить риски разного рода ущербов, как в своей повседневной деятельности, так и в профессиональной сфере. Специалист, 
владеющий навыками защиты информации, хранящейся на его персональном компьютере, при передаче ее по корпоративной или глобальной сети, является ценным сотрудником в любой организации.
Данный лабораторный практикум позволит студентам получить 
навыки правильной настройки встроенных в операционные среды 
средств защиты информации и реализации защиты информации в информационных системах криптографическими и стеганографическими методами. 
Для успешного освоения курса «Защита информации» студенты 
должны обладать навыками программирования на популярных языках программирования.
  

Лабораторная работа 1

ВСТРОЕННЫЕ СРЕДСТВА ЗАЩИТЫ 
В СОВРЕМЕННЫХ ОПЕРАЦИОННЫХ 
СИСТЕМАХ 

(2 часа)

Цель работы 

Изучение и анализ функциональных возможностей встроенной защиты современных операционных систем (на примере Windows 7).

Теоретические сведения

Безопасность по-прежнему остается важнейшей задачей ИТспециалистов. Существует множество средств для осуществления 
безопасной деятельности в операционной системе (ОС) Windows, такие как межсетевой экран, идентификация пользователя при входе, 
антивирусная программа «Защитник Windows» и др.

Задание

Изучить и описать основные функциональные возможности ОС 
Windows, позволяющие осуществлять безопасную деятельность 
в данной среде (не менее 5 средств защиты). Выявить преимущества 
и недостатки всех компонентов защиты.

Порядок выполнения работы

При проведении лабораторной работы необходимо выполнить следующие действия.
1. Рассмотреть основные средства защиты ОС Windows 7.
2. Дать характеристику рассмотренным компонентам защиты ОС 
Windows 7.
3. Заполнить таблицу преимуществ и недостатков (табл. 1.1).
4. Оформить отчет о выполненной работе в соответствии с требованиями, представленными ниже.

Таблица 1.1 
Преимущества и недостатки средств защиты Windows

Наименование компонента защиты
Преимущества
Недостатки

Содержание отчета

Отчет о выполнении лабораторной работы должен содержать:
1) титульный лист;
2) краткую характеристику средств защиты ОС Windows 7;
3) экранные формы выполнения лабораторной работы;
4) заполненную сравнительную таблицу средств защиты (табл. 1.1);
5) вывод по выполненной работе.

Контрольные вопросы

1. Назовите основные средства защиты ОС Windows.
2. Укажите основные задачи межсетевых экранов.
3. Чем отличаются понятия «аутентификация» и «идентификация»?

Лабораторная работа 2

АУДИТ В СОВРЕМЕННЫХ ОПЕРАЦИОННЫХ 
СИСТЕМАХ 

(4 часа)

Цель работы

Приобретение практических навыков работы с аудитом, изучение основных методов управления политикой аудита на примере ОС 
Windows NT/2000/XP.

Теоретические сведения

Аудит

Процедура аудита применительно к защищенным компьютерным 
системам заключается в регистрации в специальном журнале, называемом журналом аудита, или журналом безопасности (приложение), событий, которые могут представлять опасность для системы. 
Пользователи системы, обладающие правом чтения этого журнала, 
называются аудиторами. 
Необходимость включения в защищенную систему функций аудита диктуется следующими обстоятельствами.
1. Подсистема защиты компьютерной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от 
злонамеренных действий. Например, то, что пользователь в процессе 
входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, 
если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же 
имело место на самом деле – ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз – это явная ошибка. Если же пользователь пытался угадать 
собственный пароль 20–30 раз – это явная попытка подбора пароля.
2. Администраторы защищаемой системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. 
Журнал аудита дает такую возможность, накапливая информацию о 
важных событиях, связанных с безопасностью системы.

3. Если администратор обнаружил, что против защищаемой системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе 
подсистемы аудита не исключено, что вся необходимая информация 
содержится в журнале аудита.
Большинство экспертов по компьютерной безопасности сходятся 
во мнении, что привилегия работы с подсистемой аудита не должна 
предоставляться администраторам ОС. Другими словами, множество 
администраторов и множество аудиторов не должны пересекаться. 
При этом создается ситуация, когда администратор не может выполнять несанкционированные действия так, чтобы это тут же не стало 
известно аудиторам, что существенно повышает защищенность системы от несанкционированных действий администраторов.
Подсистема аудита компьютерной системы должна удовлетворять 
следующим требованиям.
1. Только сама система может добавлять записи в журнал аудита. 
Если предоставить это право какому-либо физическому пользователю, этот пользователь получит возможность компрометировать других 
пользователей, добавляя в журнал аудита соответствующие записи.
2. Ни один субъект доступа, в том числе и сама система, не имеет 
возможности редактировать или удалять отдельные записи в журнале 
аудита. 
3. Только пользователи-аудиторы, обладающие соответствующей 
привилегией, могут просматривать журнал аудита.
4. Только пользователи-аудиторы могут очищать журнал аудита. 
После очистки журнала в него автоматически вносится запись о том, 
что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Система аудита 
должна поддерживать возможность сохранения журнала аудита перед 
очисткой в другом файле.
Для ограничения доступа пользователей к журналу аудита недостаточно использования обычных средств разграничения доступа. 
Дело в том, что в подавляющем большинстве систем администраторы, используя свои привилегии, могут прочитать и изменить содержимое любого файла, хранящегося на любом компьютере системы. 
Поэтому для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Политика аудита – это совокупность правил, определяющая, какие события необходимо регистрировать в журнале аудита. Для обе

спечения надежной защиты операционной системы в журнале аудита 
следует в обязательном порядке регистрировать следующие события:
– попытки входа/выхода пользователей из системы;
– попытки изменения списка пользователей;
– попытки изменения политики безопасности, в том числе и политики аудита.
При определении политики аудита не следует ограничиваться регистрацией событий из перечисленных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При этом политика 
аудита в значительной мере определяется спецификой информации, 
хранимой и обрабатываемой в ОС, и дать какие-либо рекомендации, 
не зная этой специфики, невозможно. 
При выборе оптимальной политики аудита следует учитывать ожидаемую скорость наполнения журнала аудита. Если политика аудита 
предусматривает регистрацию слишком большого числа событий, это 
не только не повышает защищенность операционной системы, но, наоборот, снижает ее. Если новые записи добавляются в журнал аудита 
слишком часто, аудиторам будет трудно выделить в огромном объеме 
малоценной информации те события, которые на самом деле представляют угрозу безопасности системы. Кроме того, чем быстрее заполняется журнал аудита, тем чаще его нужно очищать и тем выше 
вероятность временного выхода из строя операционной системы изза переполнения журнала аудита.
Политику аудита не следует рассматривать как нечто неизменное, 
заданное раз и навсегда. Политика аудита должна оперативно реагировать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации и особенно на выявленные попытки атаки на ОС. Если, например, с помощью аудита 
было обнаружено, что имела место попытка преодолеть защиту ОС, 
но основные принципы реализации этой атаки остались неясными, 
целесообразно изменить политику аудита таким образом, чтобы при 
дальнейших попытках осуществления аналогичных атак аудиторы 
получали более подробную информацию.
В целом политика аудита – своего рода искусство, и выбор оптимальной политики в значительной мере определяется опытом и интуицией аудитора.
В некоторых системах подсистема аудита помимо записи информации о зарегистрированных событиях в специальный журнал пред

усматривает возможность интерактивного оповещения аудиторов об 
этих событиях. Когда аудитор начинает работу с ОС одного из компьютеров сети, ОС других компьютеров получают соответствующие 
сообщения, после чего при каждой регистрации события в журнале 
аудита одного из компьютеров сети копия информации об этом событии передается на терминал, с которым работает аудитор.
Класс событий, регистрируемых в журнале аудита, не обязательно 
должен совпадать с классом событий, информация о которых передается аудиторам интерактивно. Целесообразно так организовать интерактивное оповещение аудиторов, чтобы они получали оповещение 
только о наиболее важных событиях – в противном случае аудиторам 
будет трудно выделить в сплошном потоке сообщений по-настоящему 
полезную информацию.
Данная дополнительная функция подсистемы аудита позволяет 
аудиторам более оперативно реагировать на попытки преодоления 
злоумышленниками защиты операционной системы и тем самым повышает общую защищенность системы. Но следует учитывать, что 
техническая реализация этой функции весьма трудоемка, из-за чего 
интерактивное оповещение аудиторов пока применяется редко.

Аудит в Windows

Журнал аудита Windows представляет собой файл с именем 
secevent.evt, расположенный в поддиректории system32\config системной директории. Формат этого файла недокументирован. Информация хранится в журнале аудита в открытом виде, защита журнала аудита организуется исключительно средствами подсистемы 
разграничения доступа. Поэтому администраторы Windows обязательно должны убедиться в том, что никто, кроме аудиторов, не имеет 
доступа к файлу журнала аудита.
Для просмотра журнала аудита используется стандартная утилита 
Event Viewer, которую можно использовать и для просмотра других 
системных журналов. Эта утилита разрешает читать журнал аудита 
только членам группы Administrators, а также пользователям, обладающим привилегией аудитора. Эти ограничения доступа действуют и 
в том случае, когда системный раздел жесткого диска отформатирован под FAT или HPFS. Все пользователи, которые могут читать журнал аудита, могут и очищать его. Факт очистки журнала регистрируется сразу после очистки.

Пользователи, не имеющие возможности читать журнал аудита 
с помощью утилиты Event Viewer, но обладающие правом чтения 
файла secevent.evt, могут читать этот файл с помощью других программных средств. Поэтому права доступа субъектов к этому файлу 
должны быть ограничены.
Размер журнала аудита по умолчанию ограничен величиной 
512 К, однако администратор операционной системы может установить любое другое значение, кратное 64 К. Администратор также может определить поведение операционной системы при переполнении 
журнала аудита. Возможны три варианта реакции на эту ситуацию:
– старые события стираются по мере необходимости (по умолчанию);
– если самое старое событие в журнале аудита зафиксировано 
более n дней назад (число n выбирает администратор), одно или несколько самых старых событий стирается, в противном случае новые 
события не регистрируются до тех пор, пока не пройдет n дней с момента регистрации самого старого события;
– новые события не регистрируются до тех пор, пока журнал не 
будет очищен.
В политике безопасности может быть выставлена опция «завершение работы операционной системы при переполнении журнала аудита». 
Добавлять записи в журнал аудита может только субъект доступа, 
обладающий соответствующей привилегией. По умолчанию эта привилегия предоставляется только псевдопользователю SYSTEM, эту 
установку не следует изменять ни в коем случае. Если эта привилегия 
предоставляется какому-либо физическому пользователю, то он получает возможность записывать в журнал аудита произвольную информацию, в том числе и информацию, компрометирующую других пользователей. Обычно новые записи в журнал аудита добавляются ядром, 
подсистемой Win32 и подсистемой аутентификации Windows NT.
Множество событий, информация о которых записывается в журнал аудита, определяется политикой аудита, которую, в свою очередь, определяют пользователи-аудиторы. Windows позволяет регистрировать в журнале аудита события следующих категорий:
– вход/выход пользователя из системы;
– аутентификация пользователя1;

1 В доменах Windows аутентификация пользователя может осуществляться 
на компьютере, отличном от того, с которым данный пользователь начинает 
сеанс работы. При аутентификации пользователя домена на рабочей станции 
подсистема аудита рабочей станции генерирует сообщение в категории «вход/выход 
пользователя», а подсистема аудита контроллера домена – сообщение в категории 
«аутентификация пользователя».