Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Шпаргалка - Информационная безопасность - файл 1.doc


Шпаргалка - Информационная безопасность
скачать (336.5 kb.)

Доступные файлы (1):

1.doc337kb.15.12.2011 07:01скачать

содержание
Загрузка...

1.doc

  1   2   3
Реклама MarketGid:
Загрузка...
1.Осн. Понятия ИБ

Под инф-ей понимают сведения о лицах, фактах, событиях, явлениях и процессах независимо от форм их представления.

Инф-я м.б.

-речевая

-телекоммуникационная

- документальная

Инф-я делится на:

- открытую

- ограниченного доступа

Собственник инф. ресурсов- объект владеющий инф. Ресурсами.

Владелец инф. ресурсов- субъект с полномочиями владения и пользования инф ресурсами.

Защищаемая инф- явл-ся предметом защиты, подлежащее защите в соответствии с требованием правовых документов или требованием установленным собственником инф.

Защитой инф. наз-т деятельность по предотвращению утечки защищаемой инф, несанкционированных и непреднамеренных воздействий на инф.

Утечка- разглашение информации, несанкционированного доступа к ней.

Разглашение- доведение защищенной информации до некоторого количества людей.

Целью защиты инф явл-ся предотвращение ущерба собственнику или пользователю инф.

Осн. Характеристики защищаемой инф.

-конфиденциальность

-целостность

-доступность

Конфиденциальность- известность инф. только имеющим соответствие субъектам.

Целостность- неизменность инф в условиях его случайного или непреднамеренного искажения.

Доступность- способ-сть обеспечения беспрепятственного доступа субъектов к их интересующей инф.

2.Модели нарушителя безопасности инф.

В зависимости от мотивов целей и методов действие нарушителей безопасности можно разделить на 4 категории:

1. искатели приключений;

2. идейные хакеры;

3. Хакеры профессионалы;

4. Ненадежные, неблагополучные сотрудники.

Нарушитель инф явл-ся специалистом определенной квалификации, пытается узнать все о комп системах и сетях.

Возможные цели нарушителя и их градация по их важности и возможности:

- оценка его тех. Возможности.

- ограничения предположения характера и действия.

^ 3. Угрозы ИБ.

Угрозы ИБ в ИС, понимается событие или действие, которое может вызвать изменение в функции ИС, связанные с нарушением защищенности, обрабатываемой в ней информации.

Уязвимость инф-ии – возможность возникновения на каком-либо этапе ЖЦ ИС-ы такого ее состояния, при котором создается условия для реализации угоз безопасности информации.

Атака - попытка злоумышленника вызвать отклонения от нормального протекания информационного процесса.

Хакерская атака – покушение на систему безопасности и склоняется к кракерской атаке.

Кракерская атака – действия, целью которой является захват контроля.

Виды атак:

1почтовая бомбардировка (спам) большое количество сообщение делают невозможным работу с почтовыми ящиками;

2подбор пароля;

3вирусы -фрагмент исполняемого кода, который копирует себя в другую программу (главную программу), модифицируя ее при этом. троянские кони - компьютерная программа, реализующая полезную функцию и содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности. Черви - независимая программа, которая размножается путем копирования самой себя из одного сетевого компьютера в другой. Руткиты – программа для скрытого взятия. Специальные программы(сетевая разведка, сниффинг пакетов, API-спуфинг, инъекция, межсайтовый скриптинг и т.д.)

^ 4. Организационно-правовое обеспечение ИБ.

Доктрина информационной безопасности Российской Федерации (РФ)

ИБ РФ

Национальные интересы Российской Федерации в информационной сфере и их обеспечение

Виды угроз информационной безопасности Российской Федерации

Источники угроз информационной безопасности Российской Федерации

Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению

Методы обеспечения ИБ

Общие методы обеспечения информационной безопасности Российской Федерации

Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни

Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности

Осн положения гос политики обеспечения ИБ РФи первоочередные мероприятия по ее реализации

Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации

Основные функции системы обеспечения информационной безопасности Российской Федерации

Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

Федеральный закон о персональных данных

Общие положения

Принципы и условия обработки персональных данных

Права субъекта персональных данных

Обязанности оператора

Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона

Заключительные положения

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Федеральный закон об информации, информатизации и защите информации

^ 5. Инженерно-технические методы и средства ЗИ

физ объекты,механич. и элект-ые устр-ва,элементы инстр-ий зданий,сред-ва пожаротушения и др. устр-ва,обесп.защиту территории и помещения от проник-ния нарушителей,зашиту аппаратных сред-в от хищения,предотвр. возможности вынесения за пределы,предотвр. возможности перехвата информ.,контоль над режимом работы персонала,контроль над перемещением сотрудников ИС в различных производст. зонах, противопожарную защиту помещения ИС, минимизацию матер. ущерба от потерь информ. в результате стихийных бедствий и технич. аварий.

^ 6. Программные и программо-аппаратные методы и средства обеспечения ИБ.

К аппаратным средст. относится электр-ые, электр-о механические устр-ва включ в состав техн. ср-в ИС и выполн-ие самостоятельно или в данном комплексе с программ. сред-ми. К основ. аппарт. средст. отн-ся устр-ва для ввода идентиф-ии Поль-ля информ.,устр-ва для шифрования информ.,

Под программ-ми средст. защиты понимают спец-ые прграм. включаемые в состав программ. обеспеч ОС исключительно для выполнение защитных функций.

К основным программ. средст. относят программы идентификации и аутенфикации, программы разгр-го доступа к ресурсам, программ. шифрования данных.

Идентификация-распознование уникльного имени субъекта ИС

Аутенфикация-потверждение того,чтопредъявляемое имя соответствут данному субъекту.

Вспомогательные средст. защиты-прогр-мы уничтожения оставшиеся информ в блоках оперативной памяти, временных файлах,программ аудита,ведение регистр журнала событий.

Преимущества:

Простота тиражирования

Гибкость

Простота применения

Практ. неогранич. возможности их развития путем внесения изменений для учета новых угроз

Недостатки:

Снижение эффек-ти ИС за счет потребления ею ресурсов треб. дляфункц. пр. защиты.

Низкая производительность

Возможность обхода нарушителя

Возможность злоумышленного изменения прогр. ср-в защиты в ходе эксплуатации.

^ 7. Требования к комплексным системам ЗИ.

Поскольку потенц. угрозы БИ многообразны, цели защиты информ. могут быть достигнуты путем создания комплексной сис-мы защиты, под ним пон-ся совокупность методов и средств,объедин. единые цели и назначение.

основные требование к комплексной защите

-Использ-ие комплекса программ. техническ файлов

-Надежность, производительность, конфигурированость

-Экологическая целесообразность выполения на всех этапах ЖЦ обработки информ. в ИС.

-Возможность совершенствования

-Обеспечение разграничения доступа к конфедец. информ. с отвлечением нарушителя на ложную информ.

-Обеспечение проведения учета и расследования случаев нарушения безопасности информ.

-Возможность оценки эффективности ее применения.

^ 8. Аутентификация на основе паролей

При выборе пароля польз-ли должны руководств. 2 требованиями:

-пароли д/о трудно подбираться

-легко запоминаться

Сложность подбора определяется множеством символов, использ-го при выборе пароля(N) и минимальной длиной пароля. Число паролей тогда равно Ср=Nk

Вероятностью подбора паролей уменьшается также при увеличение его длины и времени задержки между разрешенными попытками повторного ввода неправильного введенного пароля. Ожидаемое время раскрытия пароля (TP) можно вычислить на основе формулы: TP= (AK*R*tn)/2, где A-число символов в алфавите, используемых для набора символов пароля, k- длина пароля в символах, включая пробелы и др. служебные символы, tn- время ввода пароля в секундах сучетом времени задержки между разрешенными попытками ввода неправильного введенного пароля.

^ 9. Аутентификация на основе м-да «рукопожатия»

При выборе пароля пользователи должны руководствоваться 2-мя требованиями:

- пароли должны трудно подбираться

- легко запоминаться

Сложность подбора опред-ся в первую очередь мощностью, множеством символов используемого при выборе пароля (N) и минимально возможной длиной пароля (К). В этом случае число различных паролей может быть ценило как Сp=Nк.

Вероятность подбора паролей уменьшается также при увеличении его длины и времени задержки м/у разрешенными попытками повторного ввода неправильно введенного пароля.

Ожидаемое время раскрытия пароля (Тр)может вычисляться на основе примерной формулы:

Тр=(Ак*R*tn)/2,где А-число символов в алфавите, использующих для подбора символов пароля;К-длина пароля в символах,включая пробелы и др. служебные символы. tn-время ввода пароля в секундах с учетом времени задержки м/у разрешительными попытками ввода неправильно введенного пароля.Для генерации паролей можно использовать программный генератор позволяющий создавать пароли любой сложности.Для хранения паролей возможны их предварительное шифрование или кеширование.

Рассмотрим аутентиф-ю пользователя на основе «рукопожатия

. В соот-ии с этой моделью пользователь (П) и систему (С) согласовывают при регистрации пользователя в ИС ф-цию(t) известной только ей. Протокол аутентиф-ии польз-ля в этом случае выглядит след.образом:

1) С генерирует случаные значения Х. Вычисляет у=F(х) и выводит на экран значения х.

2) значение у и у’’ д.б.=n.

Ф-ции f предьявляются след.требования:

При извест-х х и f(x) необ-мо было угадать саму ф-цию f.

Преимущества:

-м/у пользователями системы не передается никакой конфиденциальной инф-ции;

-каждый след.сеанс входа польз-ля в систему отличен от предыдущего.поэтому даже длительное наблюдение за ними ничего не даст нарушительно.

Недостатки:

-большая длительность этой процедуры по сравнению с парольной.

^ 10. Аутентификация пользователей по их биометрическим характеристикам.

Основные биометрические харак-ки пользователя ИС, к-ые могут применяться при их аутентификации:

-отпечатки пальцев;

-геометрическая форма руки;

-узор радужной оболочки глаза;

-рисунок сетчатки глаза;

-геометрич.форма и размер лица;

-тембр голоса;

-геом. Форма и размер уха;

Наиб. Распрост-ми явл-ся программно-аппаратные ср-ва аутентиф.польз.по их отпечаткам, для считывания их обычно применяют оснащенные спец.сканерами, клавиатура и мыши. Налияие дост-но больших банков данных с отпечатками пальцев граждан явл-ся основной причиной достаточно широкого применения ср-в аутентиф.в гос.странах и коммерческих организациях.

Недостатки:

-потенциальная возмож-ть применения отпечатков пальцев пользователей и контроля частной жизни. Наиб. достоверными и дорогостоящими явл-ся ср-ва аутентиф-ии пользователей частной жизни.Наиб.достоверными и дорогостоящими явл-ся средства аутентиф. Пользователей, основанные на характеристиках глаза.Вероятность повторнеия оценивается 10-72. Наиб.дешевые и менее достоверные явл-ся средства аутентиф-ии основанные на геометрической форме и в размере лица, голосовой тембр.

Преимущества:

-трудность фальсификации этих принаков;

-высокая достоверность аутентификационной инф-ии из-за уникальности;

-неотделимость геомтрических признаков от личности пользователя.

Недостатки:

-более высокая стоимость по сравнению с дркгими средствами аутентиф-ии, что обусловлено приобретением других доступных аппаратных средств.

^ 11. Аутентификация пользователей по клавиатурному почерку.

Способы аутентиф. Основанные на особенностях клавиатурного почерка и росписью мыши не требуют спец.аппаратуры.При разработке матем.моделей на основе клавиатурного почерка было предположение, что временные интервалы м/у нажатием соседних символов ключевой фразы и м/у нажатием конкретных клавиш подчиняется нормальному закону распределения.Подобно аутентиф. На основе клавиатурного почерка подлинность пользователя по его росписью мыши подтверждается прежде всего его темпом.

Преимущества:

-возм-ть реализ-ии этого способа с помощью программных ср-в.

Недостатки:

-меньшая достоверность аутентиф. по сравнению с применением геометр. Хар-р польз-ля;

- необход-ть достоверного уверенного владения пользователем навыками работы с мышью.

Перспективами развития, способов аутентиф.польз-лей основаны на их личных особенностях могут стать подтверждением подлинности пользователя на основе его знаний и навыков.

^ 12. Аутентификация пользователей по росписи мыши.

Способы аутентиф. Основанные на особенностях клавиатурного почерка и росписью мыши не требуют спец.аппаратуры.При разработке матем.моделей на основе клавиатурного почерка было предположение, что временные интервалы м/у нажатием соседних символов ключевой фразы и м/у нажатием конкретных клавиш подчиняется нормальному закону распределения.Подобно аутентиф. На основе клавиатурного почерка подлинность пользователя по его росписью мыши подтверждается прежде всего его темпом.

Преимущества:

-возм-ть реализ-ии этого способа с помощью программных ср-в.

Недостатки:

-меньшая достоверность аутентиф. по сравнению с применением геометр. Хар-р польз-ля;

- необход-ть достоверного уверенного владения пользователем навыками работы с мышью.

Перспективами развития, способов аутентиф.польз-лей основаны на их личных особенностях могут стать подтверждением подлинности пользователя на основе его знаний и навыков.

^ 13. Аппаратные ЗИ.

К аппаратным средствам ЗИ относятся электронные, электронно-механические устройства, включенных в состав технических средств ИС и выполняющие самостоятельно или в единственном комплексе с программными средствами. К основным аппаратным средствам ЗИ относятся: 1.устройства для ввода идентификации пользователя и информации (отпечатки пальцев); 2.устройства для шифрования информации; 3.устройства для препятствования несанкционированного включения рабочих станций и серверов.

Вспомогательные аппаратные средства ЗИ: 1.устройства для уничтожения информации на магнитной сети; 2.устройства сигнализации о попытках несанкционированных действиях пользовательской ИС.

^ 14. ЗИ в открытых версиях ОС Windows.

В этих ОС нельзя объяснить высокую обеспеченность от несанкционированного доступа, поскольку эта цель не ставилась перед началом их проектирования. Тем не менее в силу их широкого распространения открытых версий ОС Windows не только домашних персональных компьютеров, но и в ПК организаций. Необходимо уметь правильно использовать все, хотя и скромные аппаратные средства ЗИ, которые имеются в этих ОС. В состав полного набора установочных файлов открытых версий ОС Windows входит системная программа Foledit. Чтоб заблокировать терминал рабочей станции на период временного отсутствия пользования в открытых версиях ОС Windows должны использоваться программы-доставки, установленные паролем для возобновления работы после запуска программы-доставки. С помощью пароля пользователей открытых версий ОС Windows сохраняются файлы с расширением .pwl.

^ 15. Подсистема безопасности защищенных версий ОС Windows.

К защищенным версиям ОС Windows относятся MT/2000/XP PROFESSIONAL. Ядром подсистемы безопасности пользовательская служба безопасности (LSA), которая размещается в файле lsasses.exe. Стандартный провайдер аутентификации размещается в файле msgina.dll. И в качестве аутентификационной информации использует пароли пользователей. Диспетчер учётных записей обращается к БД учётных записей. Данная база SAM. К БД SAM не может быть получен доступ для чтения или изменения с помощью штатных средств ОС, даже администратор. Пароль пользователя в БД SAM хранится в виде 2-х хэш значений. Первое хэш значение пароля пользователя вычисляется по алгоритму Windows NT. Второе – вычисляется по алгоритму LAN Manager. Недостатком хранения паролей пользователей защищенных версий ОС Windows так же то, что не привлекло во внимание заключенного шифрования на ключе равному относящему номеру учетной записи в обоих алгоритмах одинакового пароля случайно выбранными разными пользователями будет соответствовать одно и тоже хэш значение. Концепция рабочего стола пользователя защищенных версий ОС Windows отличается от аналогичного понятия в открытых версиях. Рабочий стол защищенных версий представляет собой совокупность окон одновременно видимых на экране.

^ 16. Аудит событий защищенных версий ОС Windows.

Ayditing – способ отслеживания событий. Проведение аудита является важным аспектом обеспечение безопасности, как отдельных компьютеров так и сети всего предприятия. Проведение аудита позволяет отслеживать каждое событие, успех или отказ события. Возможна регистрация следующих событий: 1.вход пользователя в систему; 2. доступ субъектов к объектам; 3.отслеживание процессов; 4.системные события. К системным событиям, которые могут регистрироваться в журнале событий относятся: 1.перезагрузка ОС; 2.завершение работы ОС; 3.загрузка пакета аутентификации; 4.запуск процесса входа; 5.очистка журнала аудита. Параметром журнала аудита, которые может изменить администратор является максимальный размер журнала и реакция ОС на его переполнение.

^ 17.Шифрующая файловая система в защищенных версиях ОС Windows.

В защищенных версиях ОС W-s, начиная с W-s 2000 для доп-ой защиты под несанкц-го доступа к папкам и файлам могут прим-ся ср-ва шифрующей файловой системы EFS(Encrypted),к-й базируется на криптографическом интерфейсе в приложении W-s,к-й наз-ся CryptoAPI

Схема компонент шифрующей ФС.

Приложение



Диспетчер ввода-вывода



Драйвер EFS↔Сервис EFS↔CryptoAPI



ДрайверNIFS↔Защищен объект

Как видно из схемы возможности шифр.файл. с-мы доступно т-ко на дисках под управ-ем файловой с-мы.

Шифр-ая файл. с-ма разраб-на с учетом след.принципов:1)автомат-ая генерация криптопровайдером ассиметр-х ключей обмена при первом обращении польз-ля к услугам EFS т.е. шифр-ие первой папки или файла.2)Автом-ая генерация случайного сеансового ключа перед шифр-ем ф-ов указ-го польз-ем.3)Автом-ое шифр-е и расшиф-е прозрачном режиме.В прозр.режиме на уровне файла или папки при этом зашифр-го файла все созд-ые на его основе врем-ые файлы также будут заш-ны.4)Возм-сть вызова ф-ции шифр-е и расшифр-ие с помощью контексного меню проводника W-s и программа командной строки Gipher. 5)Возм-сть доступа к открытому ключу обмена польз-ля со стороны ОС, т-ко во время сеанса его работы в системе.

Польз-ль сообщает шиф-ий файловой с-ме W-s по необх-сти шиф-я файла или папки с помощью доп-х атрибутов этих объектов, доступных по команде контекстное меню.При изм-ии этого сост-я шифр-ая файл-ая с-ма EFS запрашивает польз-ля об изм-ии атрибута шифр-ия, а также о том распр-ся это изм-ие т-ко на папку или также все влож-ые в неё ф-лы и папки.

При изм-ии атрибута шиф-я для отд-го ф-ла шифр-ая файл.с-ма также запрашивает польз-ля о подтверждении этого изм-ий и предлагает один из 2х вариантов:

зашиф-ть либо расшиф-ть т-ко 1файл или применить новые знач-я атрибута шиф-я ко всей содерж-ей файла в папке.

Если выбранный для шифр-я файл нах-ся не зашифр-ой папке и наоборот, то после модиф-ции этого файла знач-я его атрибута шифр-ия может автоматически изм-ся.Поэтому реком-ся изм-ть атрибуты шифр-ия для всей папки.Паеред шифр-ем файла и EFS обесп-ет случ. генерацию обесп.ключа, после чего зашифр-ет файл по алгоритму DES экспортирует из крипта провайдеры сеансовый ключ в блобе зашифр-ом с помощью открытого ключа обмена польз-ля и запис-ет этот блоб вместе самим зашифр-ым файлом в кач-ве одного из его атрибутов.

Перед расшифр-ем зашифр-го файла EFS обесп-ет импорт блоба сеансовым ключом шифр-ия клипта провайдер, исп-уя при этом секретный ключ обмена польз-ля расшифр-ем, после этого произ-ся расшифр-ие польз-ля.

^ 18.Цели и задачи ЗИ в ЛВС.

Целью защиты инф.в лок.выч.сетях – это обесп-ие целостности физич-ой и логической инф-ции.А также предупреждение ее несанкционир-ой модификации несанкцион-го получения и размножения.

Задачи защиты инф-ции в сетях ЭВМ опр-ся теми угрозами , к-ые потенц-но возможны в процессе их функц-ия .

Для сетей передачи данных пред-ет след.угрозу: 1)Прослушивание каналов т.е. запись и послед. анализ всего проис-го потока сообщений.Прослуш-е в больш-ве случаев не замечаются легальными уч-ами инф-го обмена.2)Умышл-ое уничтожение или искожение(классиф-я) проходящих по сети сообщений, а также вкл-ие в поток ложных сообщений.Лож.сооб-я м.б. восприняты получателем как подлинник.3)Присвоение злоум-ом своему узлу или ретранслятору чужого идентификатора IP адресу и др.иден-ры, что дает возм-ть получать или отправлять сообщения от чужого имени.4)Преднамеренный разрыв линии связи, что приводит к полному прекращению в доставке всех или т-ко выбранных злоумыш-ом сообщений.5)Внедрение сетевых вирусов т.е. передача посетить тело вируса всего послед-щей активизаций польз-лем удал-го или локального узла.

В соотв-ии с этим спец-ие задачи защиты в сетях передачи д-х состоят в след-ем:

1)аутентификация одноуров-ых объектов заключающаяся подтверж-ем подлинности одного или неск-их взаимод-их объектов при обмене инф-ции м/у ними 2)контроль доступа т.е. защита от несанкц-го исп-ия ресурсов сети 3)маскировка д-х циркул-их в сети 4)контроль и восстан-е целостности всех находящ-ся в сети д-х.5)Арбитражное обеспечение т.е. защита оти возм-х отказов от фактов отправки, приема или содерж-ия отправл-х или принятых д-х.

Особ-сти защиты инф-ции в вычисл-х сетях обуслов-ны тем, что сети обладающие несомненными по сравнению с локальными ЭВМ при имущ-ом обр-ке инф-ции усложняет организацию защиты при чем основ-ые проблемы состоят в след.:1)разделение совм-х исп-ым рес-ов в силу совм-го исп-ия большого кол-ва рес-ов разл-ыми польз-ями сети нах-имся на большом расстоянии др.от друга сильно повыш-ся риск несанкц-го доступа,в сети его можно осущ-ть проще и незаметно.2)расширение зоны контроля админ-р или оператор отд-ойс-мы или подсети долженконтр-ть должность потреб-ей нах-ся вне пределов его досягаемости, возм-но в др.стране.При этом он должен поддерж-ть рабочий контракт со своими коллегами в люб.орг-ях.3)комбинация разл-х программ.аппар-х средств,соед-ие неск-их подсистем пусть даже однор-х мпо хар-ам в сеть увел-ет уязвимость всей системы в целом..Подсистема обычно настроена на выполн.своих специф-х треб-ий без-сти, к-ые могут оказ-ся несовместимыми с требованиями других подситем.В случае соед-я разнор-х систем риск увелич-ся.4)Неизв-ые.Один и тот же узел м.б. доступен польз-ем разл-х сетей.Более того для многих из них не всегда имеет доступ к опред-ому узлу.5)Множ-во точек атаки.В сетях один и тот же набор д-х или сообщения могут передаваться ч/з неск-ко промежуточных узлов, каждый из кот-х я/ся потенциальным источником угрозы.

^ 19.Понятие сервисов безопасности.

Для решения выше перечисл-х задач в вычисл-х системах создаются спец.защиты или сервисы защиты .Их перечень и содерж-я для всеобщего содерж-ия. идентификация и аутентификация.Совр-ое ср-во идент-ции и аудент. д.б.устойч-ми к сетевым угрозам т.е. к пассивному и активному сетей.2)поддерживает концепцию едином кодексе.

Первое требование может прим.фактограф.методы.В наст. время общепринятым я/ся подходы основ-ые на системуKerberos или службе каталога актив директории.Единый код вход в сеть это в первую очередь треб-ий удобств для польз-ля.Если в корпоратив сети много инф-х сервисов допускающих незав-ое обращение, то многократны иден-ия и аутен-ия стан-ся слишком обременительным.Ксожалению пока нельзя сказать, что единый в систему вход стал доминирующее решение пока не доминировались.

Доп-ые удобства создают применение геометр-х методов аутентиф-ии основанных на анализе отпечатков , а точнее рез-ов сканир-ия пальцев.В отличие от спец-х карт, к-ые нужно хранить пальцы всегда "под рукой".Разграничение доступа я/ся самой исслед-ой областью инф.без-сти.В наст. время следует признать устаревшим.Положение о том, что разгранич-е доступа ограничено искл-но на защиту от злоум-ых польз-лей.Совр-ые инф.с-мы характ-ся чрезвычайной сложностью и внутр. ошибки предс-т наименьшую опасность.Динамичность совр-ой програм. среды в сочетании со сложности отд-х компонентов сущ-но сужает область применимости.Самой популярной дискреционной моделью управления доступом назыв-ой также моделью с произвольным управлением При определении допустимости доступа важно не т-ко и не столько , то кто обратился к объкту, но и то какова семантика.

Нельзя выявлять троянские программы, противостоять которым произ-го управ-ия в доступе не в состоянии.

Активно развиваемое управ-ие доступом решает не столько проблемы без-сти сколько улучшает управляемость системы,что конечно очень важно.Суть его в том, что м/у пользователями и их привелегиями помещаются промежуточные сущности-роли.Для каждого польз-ля одновр-но могут быть активными неск-ко ролей каждый из кот-х дает опред-ые права.

Протоколирование и аудит.Традиционно я/ся рубежом обороны,обесп.анализ последствий нарушения ИБ и выявление злоумышленников,такой аудит м/о назвать пассивом.Довольно очевидным обобщ.пассивного аудита для сетевой среды я/ся совместный анализ регистр.журналов(ж-л без-ти) отд.компонентов на предмет выявления противоречий, что важно в случаях, когда злоумышленнику удалось отключить протоколирование или модифицировать журнал.Актив.аудит вкл. два ряда действий:-выявление нетипичного поведения;-выявление начала злоумыш.активности.

Экранирование.Как сервис без-ти вып-ет след.ф-ции: - разграничение межсетевого доступа путем фильтрации передаваемых д-х; - преобразование передаваемых д-х.Совр-ые межсетевые экраны фильтруют д-ые на основе заранее заданной базы правил, что позволяет по сравнению с традиционными ОС реализовывать гораздо более гибкую политику без-ти.При комплексной фильтрации ,охват. сетевой, транспорт. и прикладной уровни.

Туннелирование.Его суть состоит в том, чтобы упаковать передаваемую порцию д-х вместе со служ.инф-ей в новый конверт.Данный сервис м/т применяться для неск-их целей.Осущ-ие перехода м/у сетями с разными протоколами Ipv4 - Ipv 6;

Шифрование - важн-ее ср-во обеспечения конфед-сти и одновр-но самое конфликтное место инф.без-ти.У ком-ой корректогр-ии2стороны:корректогр-ая и интерфейсная.

Контроль целостности.В совр-х ситемах контроль цел-сти д-н распр-ся не т-ко на отдельной порции д-х аппар-ые или прогр-ые комп-ты.Он обязан накл-ть распр-ие конфиг-ции, защищать от несанкц-ой модиф-ии потоки д-х.

Контроль защищенности.По сути предс-ет собой попытку взлома ИС, производимое самой орг-ей или уполномоченными лицами.Идея данного сервиса в том, чтобы обнаружить слабости в защите раньше злоум-ов.

Обнаружен-е отказов и оперативноек восстан-е отн-ся к числу сервисов обесп-их высокую доступность т.е. готовность.

Управление - отн-ся к числу инфрастр-х сервисов обесп-их нормальную работу функц-но полезных компонент и средств без-ти.Сложность совр-х систем такова, что без прав-но организ-го управ-ия они постепенно и быстро диаградируют в плане эф-сть так и в плане защищенности.

^ 20. Аутентификация и идентификация.

Аутентифика́ция (англ. Authentication) — процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе. В простейшем случае проверка происходит с помощью пароля.

Аутентификацию не следует путать с идентификацией и авторизацией: идентификация — это установление личности самого физического лица (а не его виртуальной учетной записи, коих может быть много); а авторизация — это предоставление лицу прав на какие-то действия в системе.Содержание

^ Базы учетных записей

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя) и пароля — некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логин и пароль, компьютер сравнивает их со значением, которое хранится в специальной базе данных и, в случае совпадения, пропускает пользователя в систему.

На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш функций от открытых паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix — системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было не безопасно.

На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в директории %windir%\system32\config\.

В доменах Windows Server 2000/2003 такой базой является Active Directory.

Однако более надёжным способом хранения аутентификационных данных признано использование специальных аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

^ Способы аутентификации

Текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Всё большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт и биометрических устройств, например, сканеров радужной оболочки глаза или отпечатков пальцев или ладони.

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии идентификации личности (биометрические данные).

  1   2   3



Скачать файл (336.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru