 |
Идентификация и аутентификация.
|
|
|
|
Процедура идентификации и аутентификации (подтверждение подлинности) предусматривает проверку, является ли субъект, осуществляющий доступ (или объект к которому осуществляется доступ) тем за кого себя выдает.
Здесь используются следующие методы:
- Простые, сложные и одноразовые пароли
- Обмен вопросами и ответами с администратором системы
- Ключи, магнитные карты, значки, жетоны
- Средства анализа индивидуальных характеристик (биометрические параметры)
- Специальные идентификаторы, контрольные суммы, для аппаратуры программ и данных.
06.03.12
Практика показала, что парольная защита является самым слабым звеном программно технических регуляторов безопасности, т.к. пароль можно подсмотреть, перехватить, разгадать.
Для увеличения надежности парольной защиты выработаны следующие рекомендации.
- Пароль должен содержать, по крайней мере, 8 символов.
- Вводить пароль в виде цифр, букв, регистров и знаков пунктуации.
- Не использовать в качестве пароля очевидного набора символов.
- С определенной периодичностью менять пароль на новый.
- Использовать генераторы паролей.
После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительным ресурсам.
Защита информации осуществляется на 3 уровнях:
- Аппаратуры
- ПО
- Данных
Управление доступом к ресурсам вычислительной системы позволяет ответить на следующие вопросы:
- Кто, когда и как может выполнять и какие операции с ресурсами.
- Какими конкретными ресурсами разрешается выполнять те или иные операции.
Объектом доступ, к которому контролируется, может быть, папка, файл, запись в файле, или отдельное поле в файле. Порядок (полномочия доступа) определяет событие системы значения данных, права пользователя, история обращений и т.д.
|
|
|
Доступ, управляемый событием, предусматривает блокировку обращений пользователя в определенное время или с определенного терминала.
Доступ, зависящий от состояния системы, осуществляется в зависимости от текущего состояния управляющих программ и систем защиты. Доступ, зависящий от полномочий, предусматривает обращение пользователя к ресурсам в зависимости от предоставленного режима.
Весь комплекс программно-технических средств и процедурных решений по защите информации от НСД реализуется следующими действиями:
- Управление доступом к ресурсам
- Регистрация и учет событий доступа
- Применение криптографических систем
- Обеспечение целостности идентификационной информации
Рекомендуется использовать следующие формы контроля и ограничения доступа в вычислительных системах:
- Системы предотвращения доступа: к жесткому диску (к разделам, папкам, файлам), к гибким и лазерным дискам, к flash носители.
- Установка привилегий доступа к папкам и файлам.
- Защита от модификации (папок, файлов и программ)
- Защита от уничтожения (папок, файлов и программ)
- Предотвращение копирования (папок, файлов и программ)
- Затемнение экрана по истечении времени
Средства защиты от копирования предотвращают несанкционированное использование ПО и являются единственно надежным средством, защищающим авторское право владельца.
Под средствами защиты от копирования понимаются такие средства, которые обеспечивают выполнение программы своих функций только при опознании некоторого уникального элемента (не копируемого). Такой элемент называется ключом и им может быть носимые источники информации, определенная часть ПК или специальное устройство, подключаемое к ПК.
Защита от копирования реализуется выполнения рядов функций являющихся общими для всех систем защиты:
|
|
|
- Идентификация среды, из которой запускается программа
- Аутентификация среды из которой запущенна программа
- Немедленная реакция на запуск из несанкционированной среды
- Обязательная регистрация санкционированного копирования
- Противодействие изучения алгоритмов работы системы
Под средой из которой запускается программа подразумевается либо ключевой носитель информации, либо ПК и его компоненты. Идентификация среды заключается в том, что бы некоторым образом поименовать среду для её дальнейшей аутентификации. Это значит закрепить за ней некоторые специальные или редко повторяющиеся и трудно подделываемые характеристики – идентификаторы.
12.03.12
Криптография.
Задачей криптографии является преобразование математическими методами создаваемого хранимого и передаваемого сообщения или данных, телефонных переговоров или компьютерных данных таким образом, что они становятся непонятными для посторонних лиц.
Криптография необходима для реализации трех базовых сервисов безопасности:
- Аутентификация
- Шифрование
- Контроль целостности
Шифрование – это наиболее мощное средство обеспечения конфиденциальности объекта защиты. Во многих отношениях занимает центральное место среди программно аппаратных регуляторов безопасности, являясь основой реализации многих из них и в тоже время последним (единственным) защитным рубежом.
Различают два основных метода шифрования: симметричный и ассиметричный.
В симметричных системах один и тот же секретный ключ используется для зашифрования и для расшифрования данных.
Основным недостатком симметричного шифрования, является то, что секретный ключ должен быть известен и отправителю и получателю, что создает проблему при распространении ключей.
В ассиметричных системах используется два ключа. Один их них открытый, публикуется вместе с другими открытыми сведениями о пользователе, применяется только для шифрования данных, другой секретный известен только получателю и используется для расшифрования.
Существенным недостатком ассиметричных методов шифрования является их относительно низкое быстродействие (в 3-4 раза медленнее), по этому данным метод иногда сочетают с симметричными системами.
|
|
|
Определенное распространение получала сочетание симметричных и ассиметричных методах основанная на использовании составных ключей. Здесь секретный ключ делится на несколько частей, которые хранятся отдельно. Каждая часть сама по себе не позволяет выполнить расшифрование, в этом случае удобно осуществлять контроль использования секретных ключей.
Контроль целостности.
Криптографические методы позволяют надежно контролировать целостность, как отдельных порций данных, так и их наборов в виде потока сообщений; определять подлинность источника данных; гарантировать невозможность отказаться от уже совершенных действий с данными;
В основе криптографического контроля целостности лежат два понятия: hash – функция и ЭЦП.
Хэш – функция – это трудно обратимое преобразование данных методами односторонних функций реализуемое средствами асимметричного шифрования со связыванием блоков. В данном методе сообщение перед зашифровкой фрагментируется, каждый блок шифруется отдельно и результат шифрования последнего блока зависит от всех пред идущих и служит результатом Хэш – функции.
При использовании ассиметричных методов шифрования необходимо иметь гарантию подлинности пар. Для решения этой задачи вводится понятие ЭЦП основанная на цифровом сертификате и удостоверяющем центре.
Удостоверяющий центр это компонент глобальной службы отвечающий за управление криптографическими ключами пользователя.
Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов следующей структуры:
- Порядковый номер сертификата
- Имя удостоверяющего центра
- Срок годности сертификата
- Имя владельца сертификата
- Все открытые ключи владельца сертификата
- Идентификаторы алгоритмов связанные со всеми открытыми ключами владельца сертификата
- Идентификатор алгоритма ЭЦП
- Сама ЭЦП сгенерированная с использование секретного ключа удостоверяющего центра, как результат Хэширование всей информации хранящейся в сертификате.
|
|
|
Цифровые сертификаты обладают следующими свойствами:
- Любой пользователь, принадлежащий удостоверяющему центру, может узнать открытые ключи других пользователей центра и проверить целостность их цифрового сертификата.
- Никто кроме удостоверяющего центра не может модифицировать информацию о пользователе без нарушения целостности цифрового сертификата.
|
|
|
