- •Доктрина иб рф
- •Доктрина иб рф
- •Основные термины и определения в области безопасности компьютерных систем
- •Угрозы конфиденциальной информации
- •Действия, приводящие к неправомерному овладению конфиденциальной информацией
- •Классификация средств и методов защиты информации Современные подходы к технологиям и методам обеспечения иб на предприятии
- •Методы и средства защиты информации
- •Основные понятия и термины в области криптографии
- •Методы скрытой передачи информации
- •Симметричные криптосистемы (симметричное шифрование)
- •Криптосистемы с открытыми ключами (асимметричное шифрование)
- •Защита открытых ключей от подмены
- •Комбинированное шифрование
- •Электронная цифровая подпись
- •Функции хеширования
- •Комплексный метод защиты информации
- •Распределение и хранение ключей
- •Стандарт X.509. Определение открытых ключей
- •Управление криптографическими ключами
- •Обычная система управления ключами
- •Управление ключами, основанное на системах с открытым ключом
- •Использование сертификатов
- •Протоколы аутентификации
- •Анонимное распределение ключей
- •Принципы защиты информации от несанкционированного доступа. Идентификация. Аутентификация. Авторизация
- •Требования к идентификации и аутентификации
- •Авторизация в контексте количества и вида зарегистрированных пользователей
- •Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей
- •Классификация задач, решаемых механизмами идентификации и аутентификации (схема)
- •Парольная схема защита. Симметричные и несимметричные методы аутентификации. Функциональное назначение механизмов парольной защиты
- •Особенности парольной защиты, исходя из принадлежности пароля
- •Реализация механизмов парольной защиты
- •Угрозы преодоления парольной защиты
- •Основные механизмы ввода пароля. Усиление парольной защиты за счёт усовершенствования механизма ввода пароля
- •Основное достоинство биометрических систем контроля доступа
- •Основные способы усиления парольной защиты, используемые в современных ос и приложениях
- •Анализ способов усиления парольной защиты
- •Разграничение и контроль доступа к информации
- •Абстрактные модели доступа
- •Модель Биба
- •Модель Гогена-Мезигера
- •Сазерлендская модель
- •Модель Кларка-Вильсона
- •Дискреционная (матричная) модель
- •Многоуровневые (мандатные) модели
- •Контроль целостности информации. Задачи и проблемы реализации механизмов
- •Асинхронный запуск процедуры контроля целостности и его реализация
- •Запуск контроля целостности исполняемого файла
- •Запуск контроля целостности как реакция механизма контроля списков санкционированных событий
- •Проблема контроля целостности самой контролирующей программы
- •Понятие вируса. Методы защиты от компьютерных вирусов
- •Некоторые компьютерные вирусы
- •Методы и технологии борьбы с компьютерными вирусами
- •Методы обнаружения вирусов
- •Методы удаления последствий заражения вирусами
- •Контроль целостности и системные вопросы защиты программ и данных
- •Программно-аппаратные средства обеспечения иб в типовых о.С., субд и вычислительных сетях Основные положения программно-аппаратного и организационного обеспечения иб в о.С.
Особенности парольной защиты, исходя из принадлежности пароля
С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения.
Авторизация ответственного лица может устанавливаться для реализации физического контроля доступа пользователя к ресурсам, прежде всего, к запуску процесса. При этом особенностью здесь является то, что авторизация ответственного лица осуществляется не при доступе в систему, а в процессе функционирования текущего пользователя.
Пример. Пусть требуется обеспечить физически контролируемый доступ к внешней сети, например, к сети Internet. На запуск соответствующего приложения устанавливается механизм авторизации ответственного лица (его учетные данные хранятся в системе защиты). Тогда при запуске соответствующего приложения появится окно авторизации ответственного лица, и приложение может быть запущено только после его успешной авторизации. При этом приложение запускается только на один сеанс.
Таким образом, приложение физически запускается ответственным лицом с локальной консоли защищаемого объекта. В результате ответственное лицо будет знать, кто и когда запросил доступ в сеть Internet, так как сам принимает решение ~ разрешать доступ или нет. Если доступ разрешается, ответственное лицо может полностью контролировать данный доступ, т.к. запуск приложения возможен только в его присутствии.
В соответствии с классификацией принадлежности учетной записи введена и классификация способов задания учетных данных (идентификаторов и паролей). Соответсвенно назначение учетных данных могут осуществлять как владелец учетной записи, так и администратор (принудительно).
Реализация механизмов парольной защиты
Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера — клавиатуры, устройств ввода, так и с использованием специализированных устройств аутентификации — всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д.
Для сравнения вводимой и эталонной информации, эталонные учетные данные пользователей должны где-то храниться. Возможно хранение эталонных учетных данных непосредственно на защищаемом объекте. Тогда при вводе учетных данных из памяти считываются эталонные значения и сравниваются с вводимыми данными.
Кроме того, эталонные данные могут располагаться на сервере. Тогда эталонные значения на защищаемом объекте не хранятся, а вводимые данные передаются на сервер, где и сравниваются с эталоном. При этом именно с сервера разрешается или запрещается доступ субъекту, который ввел учетные данные.
Очевидно, что хранить эталонный пароль как на защищаемом объекте, так и на сервере в открытом виде недопустимо. Поэтому для хранения пароля используется необратимое преобразование (Хеш-функция), позволяющая создавать некий образ пароля - прямое преобразование. Этот образ однозначно соответствует паролю, но не позволяет осуществить обратное преобразование — из образа восстановить пароль. Образы паролей уже могут храниться на защищаемом объекте, т.к. их знание не позволяет злоумышленнику восстановить исходный пароль. Для реализации необратимого преобразования наиболее часто на сегодняшний день используется алгоритм хеширования MD5.