Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ГОСЫ / Informatsionnaya_bezopasnost.doc
Скачиваний:
527
Добавлен:
15.02.2016
Размер:
688.13 Кб
Скачать

3. Атрибутные схемы (смешанная модель) abac

Атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов. Режим доступа, которым обладает субъект по отношению к объекту, определяется при сравнении их меток безопасности.

Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX.

Основными достоинствами этих схем являются:

  • экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

  • удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

  • удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они не хранятся в явном виде, а формируются динамически;

  • отсутствие потенциальной противоречивости.

Недостатки:

  • затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту.

Дополнительные средства управления доступом

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, а только те, на которые он имеет право. Подобный подход обычно реализуют в рамках системы меню (пользователю предоставляют лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС UNIX.

Безопасность повторного использования объектов – важное дополнение средств управления доступом любого типа, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из “мусора” (trash). Безопасность повторного использования должна гарантироваться для областей оперативной памяти (например, буфер с образом экрана), для дисковых блоков и магнитных носителей в целом.

  • 6. Парольная защита пользователей компьютерных систем. Требования к паролям

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Прямая аутентификация пользователей КС (КС – компьютерные системы и сети)

Парольная защита КС

Пароль— самый простой, недорогой и распространенный способ аутентификации, реализованный практически во всех компьютерных системах. Однако с ним нередко связано множество осложнений: пароль трудно запомнить, он бывает неустойчив к взлому, а, кроме того, пользователю приходится помнить множество паролей для доступа к различным информационным ресурсам — операционным системам, бизнес-приложениям, банковскому счету.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей, во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Для повышения уровня безопасности при доступе к информационным ресурсам придумано множество механизмов использования стойких паролей, алгоритмов и протоколов аутентификации.

Пароли подразделяются на несколько основных групп:

  1. пароли, устанавливаемые пользователем; - наиболее распространенный тип паролей

  2. пароли, генерируемые системой; назначаются пользователю принудительно без его участия

  1. ключевые фразы; Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, или не иметь смысла.К концепции ключевых фраз близка концепция кодового акронима. Пользователь выбирает легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует, например, первые буквы каждого слова в качестве пароля.

И для первой, и для второй, третьей группы паролей действительно следующее правило: если A – мощность алфавита (набора букв, цифр, спец.символов), а L – длина пароля, то общее число комбинаций пароля длины L, набираемого из заданного алфавита равно AL. И соответствует числу всех попыток подбора пароля. Каждый из паролей должен состоять не только из цифр, но и букв верхнего и нижнего регистра, специальных знаков.

  1. метод функционального преобразования предполагает, что пользователю известно некоторое несложное преобразование параметров, предлагаемых системой аутентификации, которое он может выполнить в уме. Паролем является результат такого преобразования. Например

f_password=x+2*y

система: 4 6

user: 16

система: OK

для усложнения алгоритма в качестве параметров можно использовать текущее число, день недели, месяц, текущий час суток и их комбинации

  1. метод групповых паролей основывается на интерактивных последовательностях типа “вопрос — ответ”; при входе в систему пользователю предлагают ответить на несколько вопросов, как правило, личного плана: “Девичья фамилия вашей супруги?”, “Ваш любимый цвет?”, и т. д. В БД системы аутентификации хранятся ответы на множество таких вопросов для каждого пользователя.

  2. Одноразовые пароли— срабатывают только один раз. К ним прибегают, создавая временный вход для гостей, например, чтобы продемонстрировать потенциальным клиентам возможности системы. Они часто применяются при самом первом вхождении пользователя в систему.

Атаки на пароли

  1. Подбор методом полного перебора – метод грубой силы bruteforce

  2. Семантический подбор с использованием словарей

  3. Использование имени пользователя с пустым паролем или имени+такой же пароль

  4. Использование предустановленных имени пользователя и пароля

  5. Проникновение в систему во время длительного ожидания

  6. Использование программ-перехватчиков паролей (keylogger)

  7. Методы социальной инженерии - social engineering Форма злонамеренного проникновения, при которой взломщик каким-либо путем обманывает пользователей или администратора и добивается или крадет информацию о компании и/или ее компьютерных системах, чтобы получить несанкционированный доступ к сети.

Меры по обеспечению надежности паролей:

  1. наложение технических ограничений (алфавит, длина пароля)

  2. управление сроком действия паролей, их периодическая смена

  3. ограничение числа неудачных попыток входа в систему

  4. использование программных средств генерации паролей

  5. применение нестандартных паролей, например, графических изображений

  6. использование в паролях ALT-кодов (непечатаемых символов)

  7. ограничение доступа к файлу паролей

  8. хранение паролей в хэшированном виде

Перечисленные меры целесообразно применять всегда, даже если наряду с традиционными паролями используются другие методы аутентификации

6. Протоколы аутентификации пользователей компьютерных систем

Cпособы, которые позволяют идентифицировать пользователя без прямой передачи пароля по каналам связи, реализуют технологию непрямой аутентификации пользователей КС

Одним из простых способов избежать опасность перехвата пароля заключается, например, в использовании механизма, основанного на принципе «запрос-ответ» (Challenge-Response). Суть данного метода состоит в том, что пользователю посылается случайная последовательность данных (вызов), к которой применяется хэш-алгоритм совместно с паролем пользователя. Результирующие данные (ответ) отправляются на сервер аутентификации, который проделывает описанную выше последовательность преобразований над исходным вызовом и хранимым паролем пользователя, после чего сверяет полученный результат с поступившими данными клиента. При этом сам пароль никогда не передается через сеть.

Решения на основе непрямой аутентификации применяются тогда, когда в системе имеется несколько точек обслуживания и когда затруднительно поддерживать совместимость нескольких отдельных баз данных для аутентификации пользователей. Такие схемы предполагают наличие в системе специального сервера аутентификации (см. рисунок). Все другие точки обслуживания определяют подлинность принципалов, связываясь с сервером аутентификации всякий раз, когда кто-то пытается зарегистрироваться в системе.

Открытым стандартом для реализации непрямой аутентификации является протокол RADIUS (Remote Authentication Dial In User Service) и разработанный компанией Cisco Systems протокол TACACS+.

Соседние файлы в папке ГОСЫ