- •Операція кон’юнкція
- •Операція диз’юнкція
- •Операція імплікація
- •Операція еквіваленція
- •Операція заперечення
- •Дана таблиця показує зв'язок між а та a.
- •Теоретичні відомості
- •1.1. Кодування
- •1.2. Вибір елементів пам’яті автомата
- •Практичне застосування ідентифікації та аутентифікації для різних сервісів
- •Основні поняття
- •Парольна аутентифікація
- •Одноразові паролі
- •Сервер аутентифікації Kerberos
- •Ідентифікація/аутентифікація за допомогою біометричних даних
- •Управління доступом
- •Алгоритм rle
- •Алгоритми групи kwe
- •Алгоритм Хафмана
- •[Ред.]Вимоги до систем резервного копіювання
- •[Ред.]Види резервного копіювання
- •[Ред.]Схеми ротації
- •[Ред.]Зберігання резервної копії
- •[Ред.]Методи боротьби з втратою інформації
- •[Ред.]Експлуатаційні поломки носіїв інформації (жорстких дисків, дискет, cd / dvd)
- •[Ред.]Стихійні та техногенні лиха
- •[Ред.]Шкідливий програмний засіб
- •[Ред.]Людський фактор
- •[Ред.]Класифікація
Ідентифікація/аутентифікація за допомогою біометричних даних
Біометрія це сукупність автоматизованих методів ідентифікації і/або аутентифікації людей на основі їх фізіологічних і поведінкових характеристик. До фізіологічних характеристик належать особливості відбитків пальців, сітківки і рогівки очей, геометрія руки та особи і т.п. До поведінкових характеристик відносяться динаміка підпису (ручний), стиль роботи з клавіатурою. На стику фізіології і поведінки знаходяться аналіз особливостей голосу і розпізнавання мови. Біометрією у всьому світі займаються дуже давно, проте довгий час все, що було пов'язане з нею, відрізнялося складністю і дороговизною. Останнім часом попит на біометричні продукти, в першу чергу у зв'язку з розвитком електронної комерції, постійно та інтенсивно росте. Це зрозуміло, оскільки з погляду користувача набагато зручніше пред'явити себе самого, ніж щось запам'ятовувати. Попит народжує пропозицію, і на ринку з'явилися відносно недорогі апаратно-програмні продукти, орієнтовані в основному на розпізнавання відбитків пальців. Робота з біометричними даними організована таким чином. Спочатку створюється і підтримується база даних характеристик потенційних користувачів. Для цього біометричні характеристики користувача знімаються, обробляються, і результат обробки (біометричний шаблон) заноситься в базу даних (початкові дані, такі як результат сканування пальця або рогівки, зазвичай не зберігаються). Надалі для ідентифікації (і одночасно аутентифікації) користувача процес зняття і обробки повторюється, після чого проводиться пошук в базі даних шаблонів. У разі успішного пошуку особа користувача і її достовірність вважаються встановленими. Для аутентифікації досить провести порівняння з одним біометричним шаблоном, вибраним на основі попередніх введених даних. Зазвичай біометрію застосовують разом з іншими аутентифікаторами, такими, наприклад, як інтелектуальні карти. Іноді біометрична аутентифікація є лише першим рубежем захисту і служить для активізації інтелектуальних карт, що зберігають криптографічні секрети; у такому разі біометричний шаблон зберігається на тій же карті. Активність в області біометрії дуже велика. Організований відповідний консорціум (див. www.biometrics.org/), активно ведуться роботи по стандартизації різних аспектів технології (формату обміну даними, прикладного програмного інтерфейсу і т.п.), публікується маса рекламних статей, в яких біометрія підноситься як засіб забезпечення надбезпеки.
Управління доступом
Існує логічне і ролеве управління доступом. Логічне управління доступом - це основний механізм багатокористувацьких систем, покликаний забезпечити конфіденційність і цілісність об'єктів і, до деякої міри, їх доступність (шляхом заборони обслуговування неавторизованих користувачів). Тема логічного управління доступом - одна з найскладніших в області інформаційної безпеки. Річ у тому, що саме поняття об'єкту (а тим більше видів доступу) міняється від сервісу до сервісу. Для операційної системи до об'єктів відносяться файли, пристрої і процеси. Стосовно файлів і пристроїв зазвичай розглядаються права на читання, запис, виконання (для програмних файлів), іноді на видалення і додавання. Окремим правом може бути можливість передачі повноважень доступу іншим суб'єктам (так зване право володіння). Процеси можна створювати і знищувати. Сучасні операційні системи можуть підтримувати і інші об'єкти. Ролеве управління доступом передбачає, що між користувачами і їх привілеями з'являються проміжні сутності - ролі. Для кожного користувача одночасно можуть бути активними декілька ролей, кожна з яких дає йому певні права. Ролевий доступ нейтральний по відношенню до конкретних видів прав і способів їх перевірки; його можна розглядати як об'єктно-орієнтований каркас, що полегшує адміністрування, оскільки він дозволяє зробити підсистему розмежування доступу керованою при якому завгодно великому числі користувачів, перш за все за рахунок встановлення між ролями зв'язків, аналогічних спадкоємству в об'єктно-орієнтованих системах. Крім того, ролей повинно бути значно менше, ніж користувачів. В результаті число зв'язків, що адмініструються, стає пропорційним сумі (а не добутку) кількості користувачів і об'єктів, що по порядку величини зменшити вже неможливо. Ролеве управління доступом оперує наступними основними поняттями: користувач (людина, інтелектуальний автономний агент і т.п.); сеанс роботи користувача; роль (зазвичай визначається відповідно до організаційної структури); об'єкт (суть, доступ до якої розмежовується; наприклад, файл ОС або таблиця СУБД); операція (залежить від об'єкту; для файлів ОС - читання, запис, виконання і т.п.; для таблиць СУБД - вставка, видалення і т.п., для прикладних об'єктів операції можуть бути складнішими); право доступу (дозвіл виконувати певні операції над певними об'єктами). Існує статичне і динамічне розділення обов'язків. Статичне розділення обов'язків накладає обмеження на приписування користувачів ролям. У простому випадку членство в деякій ролі забороняє приписування користувача певній множині інших ролей. У загальному випадку дане обмеження задається як пара "множина ролей - число" (де множина полягає, принаймні, з двох ролей, а число повинне бути більшим за 1), так що ніякий користувач не може бути приписаний вказаному (або більшому) числу ролей із заданої множини. Наприклад, може існувати п'ять бухгалтерських ролей, але політика безпеки допускає членство не більше ніж у двох таких ролях (тут число=3). Динамічне розділення обов'язків відрізняється від статичного тільки тим, що розглядаються ролі, одночасно активні (мабуть, в різних сеансах) для даного користувача (а не ті, яким користувачі статично приписані). Наприклад, один користувач може грати роль і касира, і контролера, але не одночасно; щоб стати контролером, він повинен спочатку закрити касу. Тим самим реалізується так зване тимчасове обмеження довіри, що є аспектом мінімізації привілеїв.
Генератори паролів
Secure Генератор паролів 2,2
Alawar
VipNet
14. Архівування та резервне копіювання даних.
Архівація даних - це злиття кількох файлів чи каталогів в єдиний файл - архів.
Стиснення даних - це скорочення обсягу вихідних файлів шляхом усунення надлишкової інформації.
Для виконання цих завдань існують програми-архіватори, які забезпечують як архівацію, так і стиснення даних. За допомогою спеціальних алгоритмів архіватори видаляють з файлів надлишкову інформацію, а при зворотній операції розпаковування вони відновлюють інформацію у первісному вигляді. При цьому стиснення та відновлення інформації відбувається без втрат.
Стиснення без втрат актуальне при роботі з текстовими і програмними файлами, у задачах криптографії.
Існують також методи стиснення із втратами. Вони видаляють з потоку інформацію, яка незначно впливає на дані або взагалі не сприймається людиною. Такі методи стиснення застосовуються для аудіо- та відеофайлів, деяких форматів графічних файлів.
Архіватор — програмне забезпечення, що використовується для стиснення інформації.
При збереженні, резервному копіюванні інформації тощо часто буває бажано стиснути файли так, щоб вони займали якомога менше місця. Це робиться за допомогою програм, які звуться архіваторами. Ці програми не тільки стискають інформацію в окремому файлі, але можуть і об'єднати в один архів групу файлів.
Існує багато архіваторів. Серед них найбільш відомі: ARJ, DIET, ICE, LHA, LHARC, LZH, LZEXE, NARC, PAK, PKARC, PKLITE, PKXARC, PKPAK, PKZIP, PKUNZIP, RAR, ZOO.
Останнім часом з'явилися програми, які, знаходячись у пам'яті комп'ютера резидентно, архівують та розархівовують «на льоту» всі файли, з якими ви працюєте, що дозволяє суттєвим чином заощаджувати простір на жорсткому диску. Такі можливості надають, наприклад, утиліта dblspace для операційної системи MS-DOS та програма DIET (T.Matsumoto, Японія).
Існує декілька методів стиснення інформації, що міститься у файлах. Мабуть, найпростішим із них є метод Хаффмана, який полягає в заміні стандартних 8-бітових ASCII-кодів бітовими рядками змінної довжини в залежності від частоти використання символу так, щоб символи, що використовуються частіше, мали меншу довжину. До речі, легко зрозуміти, що у текстах найчастіше зустрічається символ «пробіл», ASCII-код якого має номер 32. Можна поширити цю ідею на пари, трійки і т. д. символів. При цьому можна одержати суттєвий виграш. Дійсно, візьміть, наприклад, дві пари символів «по» та «хщ». Ви можете назвати багато слів із першим сполученням, тоді як інше зустрічається дуже рідко. А при стандартному ASCII-кодуванні на кожне зі сполучень витрачається порівну бітів — по 16. Серед інших методів, які широко застосовуються в архіваторах для стиснення інформації у файлах, назвемо лише метод Лемпела-Зіва.
Зауважимо нарешті, що комп'ютер не «розуміє» ніяких інших кодувань символів крім ASCII-кодування (чи споріднених кодувань). Тому перед використанням архівований файл повинен бути розархівованим.
Характерною особливістю більшості типів даних є їх надлишковість. Ступінь надлишковості даних залежить від типу даних. Наприклад, для відеоданих ступінь надлишковості в декілька разів більша ніж для графічних даних, а ступінь надлишковості графічних даних, у свою чергу, більша за ступінь надлишковості текстових даних. Іншим фактором, що впливає на ступінь надлишковості є прийнята система кодування. Прикладом систем кодування можуть бути звичайні мови спілкування, які є ні чим іншим, як системами кодування понять та ідей для висловлення думок. Так, встановлено, що кодування текстових даних за допомогою засобів української мови дає в середньому надлишковість на 20-25% більшу ніж кодування аналогічних даних засобами англійської мови.
Для людини надлишковість даних часто пов'язана з якістю інформації, оскільки надлишковість, як правило, покращує зрозумілість та сприйняття інформації. Однак, коли мова йде про зберігання та передачу інформації засобами комп'ютерної техніки, то надлишковість відіграє негативну роль, оскільки вона приводить до зростання вартості зберігання та передачі інформації. Особливо актуальною є ця проблема у випадку необхідності обробки величезних обсягів інформації при незначних об'ємах носіїв даних. У зв'язку з цим постійно виникає проблема позбавлення надлишковості або стиснення даних. Коли методи стиснення даних застосовуються до готових файлів, то часто замість терміну "стиснення даних" вживають термін "архівування даних", стиснений варіант даних називають архівом, а програмні засоби, що реалізують методи стиснення називаються архіваторами.
В залежності від того, в якому об'єкті розміщені дані, що підлягають стисненню розрізняють:
Стиснення (архівування) файлів: використовується для зменшення розмірів файлів при підготовці їх до передавання каналами зв'язку або до транспортування на зовнішніх носіях малої ємності;
Стиснення (архівування) папок: використовується як засіб зменшення обсягу папок перед довготерміновим зберіганням, наприклад, при резервному копіюванні;
Стиснення (ущільнення) дисків: використовується для підвищення ефективності використання дискового простору шляхом стиснення даних при записі їх на носії інформації (як правило, засобами операційної системи).
Існує багато практичних алгоритмів стиснення даних, але всі вони базуються на трьох теоретичних способах зменшення надлишковості даних. Перший спосіб полягає в зміні вмісту даних, другий - у зміні структури даних, а третій - в одночасній зміні як структури, так і вмісту даних.
Якщо при стисненні даних відбувається зміна їх вмісту, то метод стиснення є незворотнім, тобто при відновленні (розархівуванні) даних з архіву не відбувається повне відновлення інформації. Такі методи часто називаються методами стиснення з регульованими втратами інформації. Зрозуміло, що ці методи можна застосовувати тільки для таких типів даних, для яких втрата частини вмісту не приводить до суттєвого спотворення інформації. До таких типів даних відносяться відео- та аудіодані, а також графічні дані. Методи стиснення з регульованими втратами інформації забезпечують значно більший ступінь стиснення, але їх не можна застосовувати до текстових даних. Прикладами форматів стиснення з втратами інформації можуть бути: JPEG (Joint Photographic Experts Group) для графічних даних; MPG - для для відеоданих; MP3 - для аудіоданих.
Якщо при стисненні даних відбувається тільки зміна структури даних, то метод стиснення є зворотнім. У цьому випадкові з архіву можна відновити інформацію повністю. Зворотні методи стиснення можна застосовувати до будь-яких типів даних, але вони дають менший ступінь стиснення у порівнянні з незворотними методами стиснення. Приклади форматів стиснення без втрати інформації: GIF (Graphics Interchange Format), TIFF (Tagged Image File Format) - для графічних даних; AVI - для відеоданих; ZIP, ARJ, RAR, CAB, LH - для довільних типів даних. Існує багато різних практичних методів стиснення без втрати інформації, які, як правило, мають різну ефективність для різних типів даних та різних обсягів. Однак, в основі цих методів лежать три теоретичних алгоритми:
алгоритм RLE (Run Length Encoding);
алгоритми групи KWE(KeyWord Encoding);
алгоритм Хафмана.