Структура политики безопасности организации

Обычно политика обеспечения безопасности организации включает следующие моменты:

Базовая политика безопасности: специализированные политики и процедуры безопасности.

Политика безопасности:

1. Обзор политики безопасности

2. Описание политики

3. Руководство по архитектуре безопасности.

Обзор политики безопасности – раскрывает цель политики, описывает ее структуру, кто за что отвечает и т.д.

Описание базовой политики – определяет разрешенные и запрещенные действия и средства управления.

Руководство по архитектуре безопасности – описывает реализацию механизмов безопасности в зависимости от архитектуры сети.

4. Базовая политика – устанавливает то, как организация обрабатывает информацию, кто и как может получить к ней доступ.

5. Специализированные политики – делятся на политики, затрагивающие большое число пользователей и связанные с конкретными техническими областями.

(Конспект за 20.02.13)

К специализированным политикам безопасности можно отнести собственные политики организации. Они делятся на две группы:

1. Политика, затрагивающая значительное число пользователей: политика защиты информации; защиты паролей; удаленного доступа к ресурсам сети

2. Политики, связанные с конкретными техническими областями; политика конфигурации межсетевых экранов (МЭ); политика по шифрованию и управлению криптоключами; политика безопасности виртуальных защищенных сетей; политика по оборудованию беспроводной сети и т.д.

Процедуры безопасности – дополняют политику безопасности. Политика безопасности описывает что защищается и правила защиты, а процедура безопасности определяет – как защитить ресурсы и как реализовать политику безопасности. Это пошаговая инструкция ля выполнения оперативных задач.

Технологии аутентификации

Одной из важных задач обеспечения безопасности в сетях является применение методов аутентификации, идентификации, авторизации.

Идентификация – процедура распознавания пользователя по его имени или идентификатору. Она выполняется в первую очередь при попытке входа в сеть.

Аутентификация – проверка подлинности заявленного пользователя или устройства.

Авторизация – это процедура предоставления субъекту определенных полномочий и ресурсов в данной системе.

Администрирование – это регистрация действий пользователя в сети, включая его попытки доступа к ресурсам.

При защите каналов передачи данных используется взаимная аутентификация субъектов.

Для подтверждения подлинности субъект может предъявить:

1. Свое знание чего-либо

2. Обладание чем либо (магнитные карты, смарт-карты)

3. Неотъемлемые характеристики субъекта – биометрические характеристики.

Процессы аутентификации можно классифицировать по уровню обеспечиваемой безопасности:

1. Аутентификация, использующая пароли и пин-коды;

2. Строгая аутентификация – на основе использования криптографических методов и средств;

3. Процессы аутентификации, обладающие свойством доказательства с нулевым значением;

4. Биометрическая аутентификация;

Для предотвращения сетевых атак в протоколах аутентификации используют следующие приемы:

1. Механизм типа «запрос-ответ» (метки времени, случайные числа, цифровые подписи)

2. Привязка результатов аутентификации по следующим действиям пользователей – например обмен секретными ключами, которые потом используются.

3. Периодическое выполнение процедур аутентификации в рамках сеанса.

Методы аутентификации, использующие пароли и пин-коды:

1. Аутентификация на основе многоразовых паролей

С точки зрения безопасности предпочтительным является метод передачи и хранения паролей с использованием односторонних функций – хэш-функция.

Это стандартные функции которые позволяют зашифровать пароль, но не позволяют его восстановить.

2. Аутентификация на основе одноразовых паролей

Это более надежный способ. Её суть состоит в различных паролях при каждом запросе на предоставление доступа.

Одноразовый динамический пароль действителен для одного входа в систему, потом его действие прекращается.

Известны следующие методы применения этих паролей:

1. Использование списка случайных паролей – общего для легального пользователя и проверяющего и механизма их синхронизации;

2. Использование генераторов случайных чисел – общего для пользователя и проверяющего;

Генерация паролей осуществляется аппаратным или программным способом.

Аутентификация на основе пин-кода.

Строгая аутентификация – идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем:

Доказывающая сторона демонстрирует проверяемой стороне знания некоторого секрета. Секрет предварительно распределяется между сторонами аутентификации. Доказательство знание секрета осуществляется с помощью последовательности запросов и ответов.

(Конспект за 25.02.13)

Чаще всего строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключем.

В соответствии с рекомендациями стандарта Х.509 различают следующие процедуры строгой аутентификации:

1. Односторонняя аутентификация

2. Двухсторонняя аутентификация

3. Трехсторонняя аутентификация

Односторонняя – предусматривает обмен информации в одном направлении, т.е. подтверждается подлинность одной стороны. Исключается атака типа повтор-передача. Аутентификационными данными может воспользоваться только проверяющая сторона.

Двухсторонняя – содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные.

Трехсторонняя – содержит еще дополнительную передачу от доказывающей стороне проверяющей.

Данная классификация условна, на практике набор приемов и средств зависит от конкретных условий реализации процессов аутентификации.

В качестве одноразовых параметров применяют: случайные числа; метки времени.

(Конспект за 26.02.13)