Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Информатика и математика - файл 1.doc


Загрузка...
Информатика и математика
скачать (647 kb.)

Доступные файлы (1):

1.doc647kb.04.12.2011 11:06скачать

1.doc

  1   2   3
Реклама MarketGid:
Загрузка...



Содержание

1. Информационная безопасность и ее составляющие. Объекты и средства защиты. Средства опознания и разграничения доступа к информации. Привести примеры. 2

2. Статистические оценки параметров распределения. Виды статистических оценок. Статистические оценки параметров распределения. Эмпирические моменты. Асимметрия и эксцесс эмпирического распределения. 14

3. Алгоритм выполнения практического задания 29

Список использованной литературы 33


1. Информационная безопасность и ее составляющие. Объекты и средства защиты. Средства опознания и разграничения доступа к информации. Привести примеры.


Новые информационные технологии (ИТ) активно внедряются во все сферы народного хо­зяйства. Появление локальных и глобальных сетей передачи дан­ных предоставило пользователям компьютеров новые возможно­сти для оперативного обмена информацией. Развитие Internet привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость об­щества от степени безопасности используемых им ИТ.

Современные методы обработки, передачи и накопления ин­формации способствовали появлению угроз, связанных с воз­можностью потери, искажения и раскрытия данных, адресован­ных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных сис­тем и сетей является одним из ведущих направлений разви­тия ИТ.

Рассмотрим основные понятия защиты информации и ин­формационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922—961.

^ Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и не­преднамеренных воздействий на защищаемую информацию.

^ Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью за­щиты информации.

В специальной литературе под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация, а под элементом защиты - совокупность данных, которая может содержать подлежащие защите сведения.

В качестве объектов защиты информации в системах обработки данных можно выделить следующие2:

  • терминалы пользователей (персональные компьютеры, рабочие станции сети);

  • терминал администратора сети или групповой абонентский узел;

  • узел связи;

  • средства отображения информации;

  • средства документирования информации;

  • машинный зал (компьютерный или дисплейный) и хранилище носителей информации;

  • внешние каналы связи и сетевое оборудование;

  • накопители и носители информации.

В соответствии с приведенным выше определением в качестве элементов защиты выступают блоки (порции, массивы, потоки и др.) информации в объектах защиты в частности:

  • данные и программы в основной памяти компьютера;

  • данные и программы на внешнем машинном носителе (гибком и жестком дисках);

  • данные, отображаемые на экране монитора;

  • данные, выводимые на принтер при автономном и сетевом использовании ПК;

  • пакеты данных, передаваемые по каналам связи;

  • данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;

  • отходы обработки информации в виде бумажных и магнитных носителей;

  • журналы назначения паролей и приоритетов зарегистрированным пользователям;

  • служебные инструкции по работе с комплексами задач;

  • архивы данных и программного обеспечения и др.

При всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников основными объектами обеспечения информационной безопасности, как пра­вило, являются3:

  • информация в форме сведений (сведения об участниках орга­низации, о состоянии рынка и ее активов; репутация организа­ции и доброе имя участников организации и т.п.);

  • информация в форме сообщений (документы, закрепляющие права собственности организации на материальные и нематери­альные активы; документация бухгалтерского учета, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и т.п.);

  • информационная инфраструктура (автоматизированные сис­темы обработки информации и технологического управления; тех­ническое и программное обеспечение информационных и комму­никационных систем и сетей связи, используемых в организации, и т.п.);

  • правовой статус организации как субъекта информацион­ной сферы (права на объекты интеллектуальной собственности, на выполнение работ и оказание услуг, на доступ к открытой информации государственных органов, на коммерческую тайн} и т.п., а также обязанности по представлению в уполномочен­ные государственные органы сведений о результатах экономи­ческой деятельности, по соблюдению режима персональных дан­ных, по представлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.).

^ Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предот­вращение ущерба собственнику, владельцу, пользователю ин­формации в результате возможной утечки информации и/или не­санкционированного и непреднамеренного воздействия на ин­формацию.

Исследования практики функционирования систем обработки данных и компьютерных сетей показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях: перехват электронных излучений; принудительно электромагнитное облучение (подсветка) линий связи; применение "подслушивающих" устройств; дистанционное фотографирование; перехват акустических волновых излучений; хищение носителей информации и производственных отходов систем обработки данных; считывание информации из массивов других пользователей; чтение остаточной информации в аппаратных средствах; копирование носителей информации и файлов с преодолением мер защиты; модификация программного обеспечения путем исключения или добавления новых функций; использование недостатков операционных систем и прикладных программных средств; незаконное подключение к аппаратуре и линиям связи, в том числе в качестве активного ретранслятора; злоумышленный вывод из строя механизмов защиты; маскировка под зарегистрированного пользователя и присвоение себе его полномочий; введение новых пользователей; внедрение компьютерных вирусов.

^ Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — деятельность по предотвра­щению неконтролируемого распространения защищаемой ин­формации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

^ Защита информации от разглашения — деятельность по пре­дотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей ин­формации.

^ Защита информации от НСД — деятельность по предотвра­щению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документа­ми или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физи­ческих лиц, в т. ч. общественная организация, отдельное физи­ческое лицо.

^ Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, ор­ганизационно-распорядительными и нормативными документа­ми по защите информации.

Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособно­сти4. Природа этих воздействий может быть самой разнообразной.

Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Информационная безопасность компьютерных систем дос­тигается обеспечением конфиденциальности, целостности и дос­товерности обрабатываемых данных, а также доступности и це­лостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

^ Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К кон­фиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Кон­фиденциальная информация должна быть известна только до­пущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для осталь­ных субъектов системы эта информация должна быть неиз­вестной.

Установление градаций важности защиты защищаемой ин­формации (объекта защиты) называют категорированием защи­щаемой информации.

Под целостностью информации понимается свойство инфор­мации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантиче­ском отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

^ Достоверность информации — свойство информации, выра­жающееся в строгой принадлежности субъекту, который являет­ся ее источником, либо тому субъекту, от которого эта информа­ция принята.

^ Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.

Доступность данных. Работа пользователя с данными воз­можна только в том случае, если он имеет к ним доступ.

^ Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи техни­ческих средств. Субъект доступа к информации — участник пра­воотношений в информационных процессах.

^ Оперативность доступа к информации — это способность ин­формации или некоторого информационного ресурса быть дос­тупными для конечного пользователя в соответствии с его опе­ративными потребностями.

^ Собственник информации — субъект, в полном объеме реали­зующий полномочия владения, пользования, распоряжения ин­формацией в соответствии с законодательными актами.

^ Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распо­ряжения в пределах прав, установленных законом и/или собст­венником информации.

^ Пользователь (потребитель) информации — субъект, пользую­щийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

^ Право доступа к информации — совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.

^ Правило доступа к информации — совокупность правил, рег­ламентирующих порядок и условия доступа субъекта к информа­ции и ее носителям.

Различают санкционированный и несанкционированный доступ к информации.

^ Санкционированный доступ к информации — это доступ к ин­формации, не нарушающий установленные правила разграниче­ния доступа. Правила разграничения доступа служат для регла­ментации права доступа к компонентам системы.

^ Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа. Лицо или про­цесс, осуществляющие НСД к информации, являются наруши­телями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.

Ответственным за защиту компьютерной системы от НСД к информации является администратор защиты.

Доступность информации подразумевает также доступность компонента или ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъек­тов системы. Примерный перечень ресурсов, которые могут быть доступны, включает: принтеры, серверы, рабочие станции, данные пользователей, любые критические данные, необходи­мые для работы.

^ Целостность ресурса или компонента системы — это свойст­во ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздей­ствий.

Под угрозой безопасности АС понимаются возможные дей­ствия, способные прямо или косвенно нанести ущерб ее безо­пасности. Ущерб безопасности подразумевает нарушение со­стояния защищенности информации, содержащейся и обраба­тывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы — это присущее сис­теме неудачное свойство, которое может привести к реализа­ции угрозы. Атака на компьютерную систему — это поиск и/или использование злоумышленником той или иной уязви­мости системы. Иными словами, атака — это реализация угро­зы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

^ Защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопас­ности.

Способ защиты информации — порядок и правила примене­ния определенных принципов и средств защиты информации.

^ Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или ис­пользуемые для защиты информации.

Комплекс средств защиты (КСЗ) — совокупность программ­ных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

^ Техника защиты информации — средства защиты информа­ции, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспече­ния защиты информации.

Корпоративные сети относятся к распределенным автомати­зированным системам (АС), осуществляющим обработку инфор­мации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модифика­ции, хищения, выведения из строя или разрушения ее компонен­тов, т. е. защиту всех компонентов АС — аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкрет­ный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности .

^ Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств зашиты компьютерной системы от заданного множества угроз.

^ Деятельность по обеспечению информационной безопасности Российской Федерации осуществляется на основе принципов, раз­деляемых на общие и особенные.

К наиболее важным общим принципам деятельности по обеспе­чению безопасности относятся гуманизм, конкретность, эффек­тивность, сочетание гласности и профессиональной тайны, за­конность и конституционность5.

Система защиты информации - это совокупность организационных, административных и технологических мер, программно технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям владельцам системы.

Учитывая важность, масштабность и сложность решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов: анализ возможных угроз; разработка системы защиты; реализация системы защиты; сопровождение системы защиты.

Этап разработки системы защиты информации предусматривает использование различных комплексов мер и мероприятий организационно - административного, технического, программно- аппаратного, технологического, правового, морально-этического характера и др.

Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Наиболее типичные организационно административные средства: создание контрольно-пропускного режима на территории, где располагаются средства обработки информации; изготовление и выдача специальных пропусков; мероприятия по подбору персонала, связанного с обработкой данных; допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц; хранение магнитных и иных носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, не доступных для посторонних лиц; организация защиты от установки прослушивающей аппаратуры в помещениях, связанных с обработкой информации; организация учета использования и уничтожения документов (носителей) с конфиденциальной информацией; разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами; разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические средства защиты призваны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия: установка средств физической преграды защитного контура помещений, где ведется обработка информации (кодовые замки; охранная сигнализация - звуковая, световая, визуальная без записи и с записью на видеопленку); ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации, листами из металла или специальной пластмассы; осуществление электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры; применение, во избежание несанкционированного дистанционного съема информации, жидкокристаллических или плазменных дисплеев, струйных или лазерных принтеров соответственно с низким электромагнитным и акустическим излучением; использование автономных средств защиты аппаратуры в виде кожухов, крышек, дверец, шторок с установкой средств контроля вскрытия аппаратуры.

^ Программные средства и методы защиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.

В настоящее время наибольший удельный вес в этой группе мер в системах обработки экономической информации составляют специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью реализации задач по защите информации. Технологические средства защиты информации - это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных.

Среди них: создание архивных копий носителей; ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера; регистрация пользователей компьютерных средств в журналах; автоматическая регистрация доступа пользователей к тем или иным ресурсам; разработка специальных инструкций по выполнению всех технологических процедур и др.

К правовым и морально-этическим, мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации. Примером действующих законодательных актов в Российской Федерации, которыми регламентированы цивилизованные юридические и моральные отношения в сфере информационного рынка, являются законы РФ "Об информации, информатизации и защите информации" от 20.02.1995 г. № 24-ФЗ; "0 правовой охране программ для ЭВМ и баз данных" № 5351-4 от 9.07.1993 г. в редакции Федерального закона от 19.07.95 № 110-ФЗ и др.; примером предписаний морально-этического характера - "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США".

Закон РФ "Об информации, информатизации и защите информации" от 20.02.1995 г. создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Заложив юридические основы гарантий прав граждан на информацию, закон направлен на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения. Все 25 статей Закона РФ "Об информации, информатизации и защите информации" сгруппированы в главы: общие положения; информационные ресурсы; пользование информационными ресурсами; информатизация; информационные системы, технологии и средства их обеспечения; защита информации и прав субъектов в области информационных процессов и информатизации.

Следует заметить, что в действующем ныне Уголовном кодексе РФ имеется глава "Преступления в сфере компьютерной информации". В ней содержатся три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение прав эксплуатации ЭВМ, систем ЭВМ или их сетей" (ст. 274).

В зависимости от серьезности последствий компьютерного злоупотребления к лицам, его совершившим, могут применяться различные меры наказания, вплоть до лишения свободы сроком до 5 лет.

^ Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе про­граммных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоста­вила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обес­печить в разнородной ИС надежную защиту информации требу­ются специалисты высокой квалификации, которые должны от­вечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разно­роднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на дос­туп к корпоративным данным со стороны сотрудников, партне­ров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.

Интероперабельность продуктов защиты является неотъем­лемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продук­тами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потреб­ность в применении единого набора стандартов как поставщика­ми средств защиты, так и компаниями — системными интегра­торами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.

Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производите­лей, что чрезвычайно важно при создании систем сетевой безо­пасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, адми­нистративно-организационных и программно-технических мер и обязательное следование промышленным, национальным и ме­ждународным стандартам — это тот фундамент, на котором строится вся система защиты корпоративных сетей.

Перечисленные цели информационной безопасно­сти обеспечиваются применением следующих механизмов или принципов6:

  • политика — набор формальных (официально утвержденных либо тради­ционно сложившихся) правил, которые регламентируют функциониро­вание механизма информационной безопасности;

  • идентификация — определение (распознавание) каждого участника процес­са информационного взаимодействия перед тем как к нему будут примене­ны какие бы то ни было понятия информационной безопасности;

  • аутентификация — обеспечение уверенности в том, что участник про­цесса обмена информацией идентифицирован верно, т. е. действительно является тем, чей идентификатор он предъявил;

  • контроль доступа — создание и поддержание набора правил, опреде­ляющих каждому участнику процесса информационного обмена разре­шение на доступ к ресурсам и уровень этого доступа;

  • авторизация — формирование профиля прав для конкретного участника процесса информационного обмена (аутентифицированного или ано­нимного) из набора правил контроля доступа;

  • аудит и мониторинг — регулярное отслеживание событий, происходя­щих в процессе обмена информацией, с регистрацией и анализом пре­допределенных значимых или подозрительных событий. Понятия "ау­дит" и "мониторинг" при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к ре­жиму реального времени;

  • реагирование на инциденты — совокупность процедур или мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности;

  • управление конфигурацией — создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в со­ответствии с требованиями информационной безопасности;

  • управление пользователями — обеспечение условий работы пользователей в среде информационного обмена в соответствии с требованиями ин­формационной безопасности. В данном случае под пользователями по­нимаются все, кто использует данную информационную среду, в том числе и администраторы;

  • управление рисками — обеспечение соответствия возможных потерь от нарушения информационной безопасности мощности защитных средств (то есть затратам на их построение);

  • обеспечение устойчивости — поддержание среды информационного об­мена в минимально допустимом работоспособном состоянии и соответ­ствии требованиям информационной безопасности в условиях деструк­тивных внешних или внутренних воздействий.

Таким образом, перечислено то, за счет чего достигаются определенные выше цели информационной безопасности (в некоторых источниках опи­санные принципы, например, аутентификация, переносятся в цели). На наш взгляд, аутентификация сама по себе не может быть целью информа­ционной безопасности. Она является лишь методом определения участника информационного обмена, чтобы далее определить, какая, например, поли­тика в отношении конфиденциальности или доступности должна быть при­менена к данному участнику.

В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основу построения таких систем закладывается принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются "идентификация" и "аутентификация". Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора, табло и др.

Один из наиболее распространенных методов аутентификации - присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль - это совокупность символов, определяющая объект (субъект). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

Наиболее высокий уровень безопасности достигается в случае деления пароля на две части: одну 3 - 6-значную, легко запоминаемую человеком, и вторую, содержащую количество знаков, определяемое требованиями к защите и возможностями технической реализации системы. Эта часть помещается на специальный физический носитель - карточку, устанавливаемую пользователем в специальное считывающее устройство.

Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, в том числе: не хранить пароли в вычислительной системе в незашифрованном виде; не печатать и не отображать пароли в явном виде на терминале пользователя; не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы и др.); не использовать реальные слова из энциклопедии или толкового словаря; выбирать длинные пароли; использовать смесь символов верхнего и нижнего регистров клавиатуры; использовать комбинации из двух простых слов, соединенных специальными символами (например, +, = и др.); придумывать новые слова (абсурдные или даже бредового содержания); чаще менять пароль.

Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др. Но пока эти приемы носят скорее рекламный, чем практический характер.

Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации - идентификация и установление подлинности документов на основе электронной цифровой подписи - ныне простирается от проведения финансовых и банковских операций до контроля за выполнением различных договоров. Естественно, при передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.

Электронная цифровая подпись представляет собой способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.
  1   2   3



Скачать файл (647 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации