- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
Идентификация и аутентификация. Организация парольной защиты.
С каждым зарегистрированным в АСОИ субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Такую информацию называют идентификатором субъекта. Имея идентификатор, зарегистрированный в сети, пользователь считается легальным (законным).
Прежде чем получить доступ к ресурсам АСОИ, пользователь должен пройти процесс первичного взаимодействия с системой, который включает две стадии: идентификацию и аутентификацию.
Идентификация – это процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется в первую очередь, когда пользователь делает попытку войти в АСОИ. Он сообщает системе по ее запросу свой идентификатор и система проверяет в своей базе данных его наличие.
Аутентификация – процедура проверки подлинности, позволяющая достоверно убедиться, что пользователь является именно тем, кем он себя объявляет. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную информацию о себе. Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых сущностей процедуры аутентификации могут быть разделены на следующие категории:
на основе знания чего-либо (пароль, персональный идентификационный номер PIN);
на основе обладания чем-либо (магнитные карты, смарт-карты, сертификаты, устройства touch-memory и персональные генераторы, которые используются для создания одноразовых паролей);
на основе каких-либо неотъемлемых характеристик, т. е. проверка биометрических характеристик человека (голос, отпечатки пальцев, сетчатка глаза).
Идентификация и аутентификация – взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). От них зависит решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. Обычно подлинность устанавливается один раз, но в системах с высокой степенью безопасности может проводиться периодическая перепроверка или проверка в определенных условиях, например, после системного сбоя.
ПАРОЛИ
Одним из распространенных методов аутентификации является применение пароля и хранение его значения в ВС. Существует несколько типов паролей.
1. Метод Простого пароля требует, чтобы пользователь ввел строку символов для проверки их в ЭВМ. В схеме с простым паролем пользователю обычно разрешается самому выбрать себе пароль, чтобы его было легко запомнить. Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как нарушителю потребуются большие усилия для отгадывания пароля. Недостатком простого пароля является то, что им может пользоваться нарушитель без ведома зарегистрированного пользователя. Одним из путей решения этой проблемы является выдача системой на терминал пользователя очередного номера, за которым зарегистрировано его обращение к системе на данный день.
Схема простого пароля имеет модификации:
1.1. Выборка символов - при обращении пользователя к системе его могут попросить ввести отдельные символы из пароля. Каждый раз это будут другие буквы. Такой прием не позволит нарушителю при пассивном перехвате в сети узнать пароль.
1.2. Пароль однократного использования - пользователю заранее выдается список из N паролей. Такой же список в зашифрованном виде храниться в ЭВМ. После использования пароля пользователь вычеркивает его из списка, в следующий раз введет очередной пароль из списка.
Схема паролей однократного использования имеет серьезный недостаток: пользователь должен помнить или иметь при себе весь список паролей и следить за текущим.
Пароли однократного использования могут применяться также для установления подлинности окончания сеанса как со стороны пользователя, так и ЭВМ. Всякий раз, когда пользователь завершает работу, ЭВМ передает ему свой пароль однократного использования и затем прерывает связь. Если пользователь был отключен, но не получил истинного пароля от ЭВМ, ему следует принять меры предосторожности. Эта ситуация может означать следующее: нарушитель прослушивает незащищенную линию связи, посылает пользователю ложное сообщение об отключении, а затем использует линию связи по своему усмотрению.
1.2. Пароль передается при выходе из системы на следующий сеанс – Недостаток: если произошел обрыв связи.
Пароль однократного использования можно применять при относительно редких обращениях к системе или при передаче специальной информации.
2. При использовании метода "ЗАПРОС-ОТВЕТ" применяют набор ответов на M стандартных и N ориентированных на пользователя вопросов. Система задает пользователю некоторые (или все) вопросы в произвольном порядке.
Ст Год рождения вашего отца ?
Ст Номер вашей школы ?
По В каком городе вы жили в 1993 году ?
3. В некоторых случаях система защиты может потребовать, чтобы пользователь доказал свою подлинность с помощью корректной обработки алгоритмов. Это процедура носит название "рукопожатие", она может быть выполнена как между пользователем и ЭВМ, так и между двумя ЭВМ.