- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Парольная аутентификация
Требования к паролю должны обеспечивать стойкость к подбору по словарю, к угадыванию по интересам субъекта, не должны использоваться в других системах, не должны оставаться стандартными.
Недостатком является возможность подсмотреть пароль, записать на листочек.
Дополнительные мероприятия для защиты пароля:
Использование программных генераторов
Защита базы паролей
Ограничение количества неудачных попыток входа
Обучение пользователя
Одноразовые пароли
Одноразовые пароли устойчивы к прослушиванию сети, поскольку не могут быть использованы многократно. Суть системы одноразовых паролей состоит в следующем – имеется односторонняя функция, эта функция известна пользователю и серверу аутентификации, имеется закрытый ключ, известный только пользователю. На этапе начального администрирования, функция применяется к ключу n раз. После этого результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:
Сервер посылает на пользовательскую систему число n-1
Пользователь применяет функцию f к секретному ключу n-1 раз и отправляет результат по сети на сервер аутентификации.
Сервер применяет функцию к значению и сравнивает результат с ранее полученной величиной.
В случае совпадения личность пользователя считается установленной, сервер запоминает новое значение и уменьшает счетчик на единицу.
Другой подход к надежной аутентификации состоит в генерации одноразового пароля через небольшой промежуток времени (например, раз в минуту). Для этого могут использоваться программы либо специальные интеллектуальные карты. Серверу должны быть известен алгоритм генерации пароля и связанные с ним параметры. Кроме того часы клиента и сервера должны быть синхронизированы.
Сервер аутентификации Kerberos
Имеется открытая незащищенная сеть, в узлах которых сосредоточены субъекты (это как пользователи, так и программные системы). Каждый субъект обладает секретным ключом.
Чтобы субъект С сумел доказать свою подлинность субъекту S он должен не только назвать себя, но и продемонстрировать знание секретного ключа.
Система Kerberos представляет собой доверенную третью сторону, владеющую секретными ключами обслуживаемых субъектов и помогающую им попарной проверки подлинности.
С (Client) посылает запрос на сервер kerberos, содержащей сведения о нем и запрашиваемой услуги. В ответ Kerberos возвращает билет – это, зашифрованный секретным ключом сервера, набор информации и копию этой части информации, зашифрованной ключом клиента. Клиент должен расшифровать вторую порцию данных и передает их вместе билетом серверу. Сервер, расшифровав билет, сравнивает его содержимое с дополнительной информации, присланной клиентом. Совпадение свидетельствует о том, что клиент продемонстрировал знание секретного ключа.
Дополнительно решается вопрос о первоначальном обмене ключами между Kerberos и субъектами и о хранении ключей субъектами.
Идентификация и аутентификация с использованием биометрических данных
Биометрия – совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик.
Физиологические – отпечатки пальцев, сетчатки, роговица глаз, геометрия руки, лица.
Поведенческие – динамика ручной подписи, стиль работы с клавиатурой
Смежные – особенности голоса, распознавание речи
В общем виде работа с биометрическими данными организована следующим образом:
Создается база характеристик пользователей, в ней хранятся биометрические шаблоны
В дальнейшем для идентификации и аутентификации повторяется процесс снятия и обработки данных
После чего производиться поиск в базе данных шаблонов
И выясняется подлинность
Иногда применяют совместную аутентификацию, например, с использованием интеллектуальных карт. Биометрический шаблон хранят на самой карте.
Минусы биометрических методов:
Дороговизна биометрических считывателей
Возможность подмены на этапе передачи данных
Ограниченность применения биометрии в «полевых» условиях
Биометрические данные человека меняются и требуется их сопровождать
Любая ошибка в биометрии оказывается фатальной