- •Лекции по курсу:
- •4. Защита от нсд в ос 19
- •5. Криптографические методы защиты информации 25
- •6. Компьютерная стеганография и ее применение 38
- •1.2. Основные понятия
- •2. Комплексное обеспечение информационной безопасности
- •2.1. Угрозы безопасности и каналы утечки информации
- •2.2. Классификация методов защиты информации. Специфика программных методов
- •2.3. Правовое обеспечение информационной безопасности
- •3. Защита от нсд к информации в корпоративных системах
- •3.1. Способы нсд и защиты от него кс
- •3.2. Способы аутентификации пользователей кс
- •3.3. Организация базы учетных записей пользователей
- •3.4. Защита от локального нсд
- •3.4.1. Аутентификация на основе паролей
- •3.4.2. Аутентификация на основе модели рукопожатия
- •3.4.3. Программно-аппаратная защита от локального нсд
- •3.4.4. Аутентификация на основе биометрических характеристик
- •3.4.5. Аутентификация по клавиатурному «почерку»
- •3.4.6. Аутентификация по «росписи» мышью
- •3.5. Защита от удаленного нсд
- •3.5.1. Протоколы pap и s/Key
- •3.5.2. Протокол chap
- •3.5.3. Протокол Kerberos
- •3.5.4. Программно-аппаратная защита от удаленного нсд
- •3.6. Защита от несанкционированной загрузки ос
- •4. Защита от нсд в ос
- •4.1. Разграничение прав пользователей в открытых версиях ос Windows
- •4.2. Дискреционное и мандатное управление доступом к объектам. Классификации безопасности компьютерных систем и информационных технологий
- •4.2.1. Дискреционное управление доступом
- •4.2.2. Мандатное управление доступом
- •4.2.3. Классификации
- •4.3. Разграничение прав пользователей в защищенных версиях ос Windows
- •4.4. Разграничение прав доступа к объектам компьютерных систем
- •4.4.1. Разграничение прав доступа к объектам в защищенных версиях ос Windows
- •4.4.2. Аудит событий безопасности в защищенных версиях Windows
- •4.4.3. Разграничение прав пользователей в ос Unix
- •5. Криптографические методы защиты информации
- •5.1.Элементы теории чисел
- •5.2. Симметричные криптосистемы и их использование
- •5.2.1. Способы построения симметричных криптосистем
- •5.2.2. Абсолютно стойкий шифр. Генерация, хранение, распространение ключей
- •5.2.3. Криптосистема des и ее модификация
- •5.2.4. Криптосистема гост 28147-89
- •5.2.5. Использование симметричных криптосистем. Примеры
- •5.3. Асимметричные криптографические системы
- •5.3.1. Принципы создания и основные свойства асимметричных криптосистем
- •5.3.2. Асимметричная криптосистема rsa
- •5.3.3. Криптосистемы с открытым ключом
- •5.3.4. Применение асимметричной криптографии
- •5.3.4.1. Электронная цифровая подпись и ее применение
- •5.3.4.2. Эцп «вслепую» и ее применение
- •5.3.4.3. Протокол защищенного обмена данными
- •5.3.4.4.Программа pgp
- •5.3.4.5. Криптографический интерфейс приложений Windows
- •5.3.4.6. Шифрующая файловая система Windows
- •6. Компьютерная стеганография и ее применение
- •7. Защита от вредоносных программ
- •7.1. Вредоносные программы и их классификация
- •7.2. Загрузочные и файловые вирусы
- •7.3. Методы обнаружения и удаления вирусов
- •7.4. Программы-закладки и защита от них
- •8. Защита программ от копирования
- •8.1. Принципы создания система защиты от копирования
- •8.2. Защита инсталляционных дисков и настройка по на характеристики компьютера
- •8.3. Противодействие исследованию алгоритмов работы системы защиты от копирования
- •9. Защита информации в глобальных компьютерных сетях
3.4. Защита от локального нсд
3.4.1. Аутентификация на основе паролей
требования к паролю, пример Windows
хранение паролей
назначение паролей
правила назначения/изменения паролей
противодействие попытками подбора паролей
усиление парольной аутентификации
недостатки парольной аутентификации
Требования к паролю: простота запоминания, сложность подбора.
Пусть N – мощность множества символов, из которых состоит пароль, K – длина пароля. Количество вариантов паролей: NK.
Требования к паролю в Windows NT/2000/XP Pro:
Kmin= 6
A1= {A, …, Z}
A2= {a, …, z}
A3 = {0, …, 9}
A4 = {‘,’, ‘.’, +, -, …}
Pi IDi
Хранение паролей: шифрование, хеширование.
Назначение паролей:
обычно назначается пользователем, постоянная профилактическая работа с пользователями, проблема возобновления пароля при забытии;
пользователь + администратор: администратор задает пароль, пользователь может его изменять;
пароль назначается системой, например, в конце сеанса системой выдается новый пароль.
Правила назначения/изменения паролей:
пароль никогда не отображается на экране,
любое изменение пароля требует двукратного его ввода,
при превышении лимита ввода неправильного пароля блокировка учетной записи.
Противодействие попыткам подбора пароля:
блокировка учетной записи (после превышения лимита, на какое-то время или до ручного снятия блокировки администратором);
увеличение времени задержки перед каждым последующим набором пароля (например, в 10 раз);
скрытие имени последнего работающего пользователя;
учет всех неудачных попыток.
Усиление парольной аутентификации
С помощью одноразовых паролей. Пользователю выдается список паролей {Pi | i = 1, …, n} (i – номер сеанса). Решает проблему узнавания пароля при вводе. Недостатки:
невозможно запомнить все пароли,
не понятно, какой вводить пароль при сбое.
Решение проблемы запоминания – пароли выбираются на основе необратимой функции. Пусть F(p) – необратимая функция. Обозначим Fn(p) = F(F(…(F(p)))).
Пароли: Pi = Fi(P).
Недостатки парольной аутентификации:
самая уязвимая,
не подходит для взаимной аутентификации в сети; например, пусть A и B – абоненты сети, у A есть пароль B, у B – A.
AB: запрос PB
BA: называет себя, запрос PA
AB: A, PA (посылка пароля «в никуда»)
B: проверка PA
BA: B, PB
3.4.2. Аутентификация на основе модели рукопожатия
протокол
варианты
достоинства, недостатки
решение задачи взаимной аутентификации
Пользователь (П) и система (С) согласовывают между собой некоторую функцию – правило преобразования (F). Протокол:
С: генерация случайного x, y = F(x)
СП: x
П: вычисление y=F(x) (F – функция, которую знает пользователь)
ПС: y
С: y == y
Требование к F: невозможность определения F по x и F(x). Например: ax{mod p} (p – простое число).
Другие варианты:
у С есть база вопросов (часть из них объективные: «Девичья фамилия матери», другая часть – нет: «Где находится клуб?»). С случайно выбирает вопрос, П может ответить что угодно. При каждом следующем входе С предоставляет новые вопросы (как те, на которые он отвечал, так и новые).
графические образы – БД пиктограмм.
Достоинства:
не передается конфиденциальная информация,
каждый сеанс входа уникален.
Недостаток: длительность процедуры аутентификации.
Применение для взаимной аутентификации в сети:
Пусть A и B – абоненты сети.
A: выбирает x, y = F(x)
AB: A, x
B: y= F(x)
BA: B, y
A: y == y
Если y == y, то A доверяет B. Также нужно повторить процедуру для B.