- •Раздел 2. Угрозы информационной безопасности. 5
- •1.1. Предмет изучения Теории защиты информации
- •1.2. Механизмы обеспечения информационной безопасности
- •1.3. Инструментарий обеспечения информационной безопасности
- •1.4. Основные направления обеспечения информационной безопасности
- •Раздел 2. Угрозы информационной безопасности.
- •Преднамеренные угрозы.
- •2.1. Случайные угрозы компьютерной системе
- •2.2. Преднамеренные угрозы
- •2.2.1. Традиционный шпионаж и диверсии.
- •2.2.2. Несанкционированный доступ к информации.
- •2.2.3. Электромагнитные излучения и наводки.
- •2.2.4. Несанкционированная модификация структур
- •2.2.5. Вредоносные программы
- •2.3. Классификация злоумышленников
- •2.4. Модель системы защиты от угроз нарушения конфиденциальности информации
- •2.4.1. Организационные меры и меры обеспечения физической безопасности.
- •2.4.2. Идентификация и аутентификация.
- •2.4.3. Особенности парольных систем аутентификации
- •2.4.4. Рекомендации по практической реализации парольных систем
- •2.4.5. Оценка стойкости парольных систем
- •2.4.6. Методы хранения паролей
- •2.4.7. Передача паролей по сети
- •2.4.8. Разграничение доступа
- •2.4.9. Криптографические методы обеспечения конфиденциальности информации
- •2.4.10. Методы защиты внешнего периметра
- •2.4.10.1. Межсетевое экранирование.
- •Шлюзы сеансового уровня
- •Шлюзы прикладного уровня
- •Межсетевые экраны экспертного уровня
- •2.4.10.2. Системы обнаружения вторжений.
- •2.4.11. Протоколирование и аудит.
- •2.5. Построение систем защиты от угроз нарушения целостности.
- •2.5.1. Принципы обеспечения целостности.
- •2.5.2. Криптографические методы обеспечения целостности информации.
- •2.6. Построение систем защиты от угроз нарушения доступности.
- •Часть III. Основы формальной теории защиты информации.
- •3.1. Основные определения
- •3.2. Монитор безопасности обращений (мбо)
- •3.3. Формальные модели управления доступом.
- •3.3.1. Модель Харрисона-Руззо-Ульмана (х-р-у).
- •3.3.2. Модель Белла-ЛаПадулы (б-лп).
- •Список литературы
2.4.4. Рекомендации по практической реализации парольных систем
При построении системы парольной защиты необходимо учитывать специфику компьютерной системы и руководствоваться результатами проведенного анализа рисков. В то же время можно привести следующие общие практические рекомендации:
-
Установление минимальной длины пароля. Очевидно, что регламентация минимально допустимой длины пароля затрудняет для злоумышленника реализацию подбора пароля путем полного перебора.
-
Увеличение мощности алфавита паролей. За счет увеличения мощности, которая достигается, например, путем обязательного использования специальных символов, также можно усложнить полный перебор.
-
Проверка и отбраковка паролей по словарю. Данный механизм позволяет затруднить подбор паролей по словарю за счет отбраковки заведомо легко подбираемых паролей.
-
Установка максимального срока действия пароля. Срок действия пароля ограничивает промежуток времени, который доступен злоумышленнику для подбора пароля. Таким образом, сокращение срока действия пароля уменьшает вероятность его подбора.
-
Установка минимального срока действия пароля. Срок действия пароля ограничен для предотвращения попыток пользователя незамедлительно сменить новый пароль на предыдущий.
-
Отбраковка по журналу использованных паролей. Данный механизм предотвращает повторное использование паролей, возможно, ранее скомпрометированных.
-
Ограничение числа попыток ввода пароля. Данный механизм затрудняет подбор пароля в интерактивном режиме.
-
Принудительная смена пароля при первом входе пользователя в систему. В случае если первичную генерацию паролей для всех пользователей осуществляет администратор, пользователю может быть предложено сменить первоначальный пароль при первом же входе в систему. В этом случае новый пароль не будет известен администратору.
-
Задержка при вводе неправильного пароля. Данный механизм препятствует интерактивному подбору паролей.
-
Запрет на выбор пароля пользователем и автоматическая генерация пароля. Данный механизм позволяет гарантировать стойкость сгенерированных паролей, но в этом случае у пользователей возникнут проблемы с запоминанием паролей.
2.4.5. Оценка стойкости парольных систем
Оценим элементарные взаимосвязи между основными параметрами парольных систем. Введем следующие обозначения:
A – мощность алфавита пароля (количество вариантов символа пароля)
L – длина пароля в символах
S– полное пространство паролей
V– скорость, с которой злоумышленник подбирает пароль
T – время жизни пароля
- «подбираемость» пароля (> 1), либо вероятность подбора пароля (≤1)
Обычно скорость подбора паролей V и срок действия пароля T можно считать известными.
2.4.6. Методы хранения паролей
В общем случае возможны три механизма хранения паролей в компьютерной системе:
-
В открытом виде.
Данный вариант не является оптимальным, поскольку автоматически создает множество каналов утечки парольной информации. Реальная необходимость хранения паролей в открытом виде встречается достаточно редко. Чаще это происходит в клиентской части клиент-серверной системы.
-
В виде хэш - значения.
Данный механизм удобен при проверке паролей, поскольку хэш - значения однозначно связаны с паролем, но при этом не представляют большого интереса для злоумышленника.
-
Хранение в зашифрованном виде.
Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться:
-
В одном из постоянных элементов системы;
-
На некотором носителе (смарт – карта, электронный ключ), предъявляемом при инициализации системы;
-
Ключ может генерироваться из некоторых других параметров безопасности компьютерной системы, например, из пароля администратора.