Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Итоговые ответы МСЗКИ.doc
Скачиваний:
2
Добавлен:
01.03.2025
Размер:
1.43 Mб
Скачать

10. Методы хранения паролей. Передача паролей по сети.

три механизма хранения паролей в АС:

1. В открытом виде. Данный вариант не является оптимальным, поскольку автоматически создаёт множество каналов утечки парольной информации. встречается крайне редко, и обычно подобное решение является следствием некомпетентности разработчика.

2. В виде хэш-значения. Данный механизм удобен для проверки паролей, поскольку хэш-значения однозначно связаны с паролем, но при этом сами не представляют интереса для злоумышленника.

Хэш-функция – ф-ия, осущ-я хеширование массива данных посредством отображения значения из большего множества значений в меньшее множество значений.

Хеширование - преобразование массива данных произвольного значения в блок данных фиксированного размера, служащий заменителем исходного массива.

3. В зашифрованном виде. Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться: - на одном из постоянных элементов системы; - на некотором носителе (электронный ключ, смарт-карта и т.п.), предъявляемом при инициализации системы; - ключ может генерироваться из некоторых других параметров безопасности АС – например, из пароля администратора при инициализации системы.

Передача паролей по сети

Наиболее распространены следующие варианты реализации:

1. Передача паролей в открытом виде. Подход крайне уязвим, поскольку пароли М.б. перехвачены в каналах связи. Несмотря на это, множество используемых на практике сетевых протоколов (например, FTP) предполагают передачу паролей в открытом виде.

2. Передача паролей в виде хэш-значений иногда встречается на практике, однако обычно не имеет смысла – хэши паролей могут быть перехвачены и повторно переданы злоумышленником по каналу связи.

3. Передача паролей в зашифрованном виде в большинстве является наиболее разумным и оправданным вариантом.

11. Разграничение доступа. Дискреционный и мандатный методы разграничения доступа. Матрица доступа.

Разграничением доступа - установление полномочий субъектов для полследующего контроля санкционированного исп ресурсов,

доступных в системе. Принято выделять два основных метода разграничения доступа: дискреционное и мандатное.

Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами.

На практике м.б реализовано, например, с использованием матрицы доступа. Матрица доступа определяет права доступа для каждого пользователя по отношению к каждому ресурсу. Вместо матрицы доступа можно использовать списки полномочий:

н апример, каждому пользователю может быть сопоставлен список доступных ему ресурсов с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к данному ресурсу.

Мандатное разграничение доступа обычно реализуется как разграничение доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности. Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем: если в случае дискреционного разграничения доступа права на доступ к

ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]