Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Оценка стойкости парольных систем




Построение системы защиты от угроз, нарушение конфиденциальности информации

Организационные меры физической безопасности

Идентификация и аутентификация

Разграничение доступа

Вспомогательные методы (методы защиты информации по техническим каналам), протоколирование и аудит, криптографический метод

Организационные меры физической безопасности

Данные меры предусматривают

1. развертывание системы контроля и разграничение физического доступа к элементам автоматизированной системы.

2. создание службы охраны и физической безопасности.

3. Организация механизма контроля за перемещением сотрудников.

4. Разработка и внедрение регламентов и должностных инструкций.

5. Регламентация порядка работы с носителями.

Идентификация и аутентификация

Ввод идентификатора -> проверка идентификатора -> аутентификация -> проверка аутентификации -> допуск к информации

Методы аутентификации

1. Методы основанные на знании некоторой секретной информации.

2. Методы основанные на использовании уникального метода

3. Методы основанные на использовании биометрических особенностей человека

4. Методы основанные на информации ассоциированные с пользователем

Достоинства парольных систем аутентификации:

1. Относительная простота реализации

2. Традиционная

Основные угрозы безопасности парольных систем:

1. За счет использования слабостей человеческого фактора

2. Подбор (Полный перебор, подбор по словарю, подбор сведений о пользователе)

3. За счет использования недостатков реализации парольных систем

Рекомендации для парольных систем:

1. Установление максимальной длинны пароля

2. Увеличение мощности алфавита паролей

3. Проверка и отбраковка паролей по словарю

4. Установка минимально срока действия пароля

5. Отбраковка по журналу истории паролей

6. Ограничение числа попыток ввода пароля

7. Принудительная смена пароля при первом входе пользователя в систему

8. Задержка при вводе неправильного пароля

9. Запрет на выбор пароля пользователя

10. Автоматическая генерация паролей

Оценка стойкости парольных систем

A- Мощность алфавита паролей

S=AL

V- Скорость

Т- Время

P=V*T/S

Обычно V и T являются известными

Методы хранения и передачи паролей по сети:

1. В открытом виде

2. В виде хэш значения

3. В зашифрованном виде

Разграничение доступа

Под разграничением доступа принято понимать установление полномочий субъектам для последующего контроля, санкционированного использования ресурсов, доступных в системе.

1. Дискреционный – разграничение доступа между поименованными субъектами и поименованными объектами, такой метод реализуется с помощью матрицы доступа

2. Мандатное разграничение доступа – реализуется как разграничение доступа по уровням секретности, полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности к которому он допущен.

Основные отличия методов – При дискреционном разграничении доступа, права на доступ к ресурсу для пользователей определяет его владелец, а при мандатном разграничении доступа, уровни секретности задаются из «вне» и владелец не может оказать на них влияния

В целях обеспечения конденфициальности информации используют следующие криптографические примитивы.

1. Симметричные криптосистемы. В данных криптосистемах для шифрования и раз шифрования информации используется один и тот же секретный ключ, которым взаимодействующие стороны обмениваются по некоторому защищенному каналу.

зашифрование
расшифрование
КП
Ключ K
Открытый текст N
Шифр текст
Открытый текст M
Ключ К
Открыть текст

 

2.

зашифрование
Открытый текст M
Ключ Кс
Открыть текст
расшифрование
Ключ K0
Шифр текст
Открытый текст N
КП
Ассиметричные криптосистемы. Характерны тем что в них используются различные ключи для шифрования и расшифрования информации. Ключ для зашифрования (открытый ключ) можно сделать общедоступным чтобы любой желающий мог зашифровать свое сообщение. Получатель же является единственным обладателем ключа для расшифрования (секретного ключа) и будет единственным кто сможет расшифровать зашифрованное сообщение.

 

 

Методы защиты внешнего периметра. Данная система обычно включает в себя два основных механизма.

1. Средства межсетевого экранирования. Межсетевой экран выполняет функции разграничения информационных потоков на границе защищаемой АИС. Это позволяет: 1. Повысить безопасность внутренней среды засчет игнорирования неавторизованных запросов из внешней среды. 2. Контролировать информационные потоки во внешнюю среду. 3. Обеспечить регистрацию процессов информационного обмена.

Контроль информационных потоков осуществляется с помощью фильтрации информации.

В зависимости от принципов функционирования выделяют несколько классов межсетевых экранов.

1. Фильтр пакетов. Относится к простейшим межсетевым экранам работающих на сетевом и транспортном уровне.

2. Шлюзы сеансового уровня. Данные шлюзы(экраны) работают на сеансовом уровне и в отличии от фильтров могут контролировать допустимость сеансов связей, анализировать параметры протоколов сеансового уровня.

3. Шлюзы прикладного уровня. Экраны данного класса позволяют фильтровать отдельные виды команд и набора данных в протоколах прикладного уровня. Для этого используют прокси серверы. Прокси серверы это программы специального назначения управляющие трафиком через межсетевой экран для определенных высокоуровневых протоколов.

4. Межсетевые экраны экспертного уровня. Сочетает в себе элементы всех трех секторов.

Средства обнаружения вторжений. Представляет собой процесс выявления несанкционированного доступа к ресурсам АИС. Система обнаружения вторжений(IDS) представляет собой программно аппаратный комплекс.

Существуют 2 основные категории IDS. IDS уровня сети. В таких системах сенсер функционирует на выделенном хосте защищенном сегменте сети. Данный сетевой адаптер функционирует в режиме прослушивания что позволяет

анализировать весь сетевой проходящий трафик.

IDS уровня хоста. Работает на уровне хоста и для анализа может использовать информацию об используемых ресурсах, поведение пользователей.

Достоинства обеих уровней.

1. IDS уровня сети не снижает производительность системы.

2. IDS уровня хоста эффективно выявляет атаки и позволяет анализировать эффективность.

Протоколирование и аудит. Протоколирование представляет собой механизм подотчетности системы, обеспечения информационной безопасности, фиксирующей все события относящиеся к вопроса безопасности.

Аудит- это анализ протоколируемой информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначение протоколирования и аудита. Обеспечение подотчетности пользователей и администратора. Обеспечение возможностей реконструкции последовательности событий. Обнаружение попыток нарушения информационной безопасности. Представление информации для выявления и анализа технических проблем не связанных с безопасностью.

Протоколируемые данные помещаются в регистрационный журнал который представляет собой хронологически упорядоченную совокупную запись результатов деятельности субъектов АИС, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля конечного результата. журнал содержит следующие записи:

Временная метка Тип события Инициатор события Результат события
Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...