Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Кузбасский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции.docx
Скачиваний:
797
Добавлен:
10.05.2015
Размер:
378.13 Кб
Скачать
►Содержание►

Финансирование мероприятий по защите информации

Финансирование мероприятий по защите информации, содержащей сведения, отнесённые к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно­ исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость  разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений  осуществляется в пределах средств, выделяемых заказчикам на строительство  (реконструкцию) сооружений или объектов.

Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы защиты (защитные механизмы):

  • идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;

  • разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

  • регистрация и оперативное оповещение о событиях, происходящих в системе;

  • криптографическое закрытие (шифрование) хранимых и передаваемых по каналам связи данных;

  • контроль целостности и аутентичности (подлинности и авторства) данных; 

  • резервирование и резервное копирование; 

  • фильтрация трафика и трансляция адресов; 

  • обнаружение вторжений (атак);

  • выявление и нейтрализация действий компьютерных вирусов;

  • затирание остаточной информации на носителях;

  • выявление уязвимостей (слабых мест) системы;

  • маскировка и создание ложных объектов;

  • страхование рисков.

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. В дальнейшем будут рассмотрены наиболее важные защитные механизмы.

Идентификация и аутентификация пользователей

В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.

Идентификация -  это, с одной стороны, присвоение индивидуальных имён, номеров (идентификаторов) субъектам и объектам системы, а, с другой стороны, — это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определённый объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.

Аутентификация -  это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта -  убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта — убедиться, что это именно тот объект, который нужен.

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).

Аутентификация пользователей может осуществляться следующим образом:

  • путем проверки знания того, чего не знают другие (паролей, PIN-кодов, ключевых слов);

  • путем проверки владения тем, что относительно сложно подделать (карточками, ключевыми вставками и т.п.);

  • путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств;

  • путем проверки рекомендации (сертификата, специального билета) от доверенного посредника.

Системы аутентификации могут быть двух видов -  с взаимной и односторонней аутентификацией. Примером взаимной аутентификации является аутентификация WEB-сервера, которая предполагает предъявление сертификата, доказывающего взаимодействие с нужным оборудованием, которое находится под управлением нужных физических или юридических лиц.

Простейшей формой аутентификации является парольная, при которой ввод значений идентификатора и пароля осуществляется, как правило, с клавиатуры. Считается, что эта форма аутентификация небезопасна, поскольку:

  • пользователи часто применяют короткие легко подбираемые пароли;

  • во многих системах существуют многочисленные возможности перехвата паролей (серфинг на плече, запуск клавиатурных «шпионов» (Рис.  1.7.1), перехват в открытых сетях и т.д.).

рисунок - Клавиатурный шпион

В связи с этим в Международном стандарте ISO/IEC 27002 рекомендуется использовать в информационной системе сервисы, не допускающие передачу пароля в открытом виде. Именно поэтому, современные защищённые информационные системы применяют, как правило, хеширование и шифрование передаваемых паролей, а также одноразовые пароли.

В качестве эффективного средства против подбора паролей могут быть использованы организационные меры в виде систематической смены пароля пользователями.

Другим важным достоинством парольной аутентификацией является её интеллектуальная составляющая, т.е. связь с разумом и сознанием пользователя. В совершенных с точки зрения безопасности информационных системах пароли должны храниться исключительно в «человеческой» памяти пользователей без записи на любой материальный носитель информации.

Другой способ аутентификации связан с использованием «отчуждаемых» элементов, которыми уникально обладают пользователи (смарт-карты, дискеты, ключевые контейнеры, радиочастотные бесконтактные карточки, электронные таблетки iButton и т.п.). Как правило, подобный механизм применяется в совокупности с дополнительной парольной аутентификацией (вводом PIN-кода), образуя двухфакторную систему аутентификации. Типичным примером двухфакгорной аутентификации является защита ключевых контейнеров на различных носителях (смарт-картах, е-токенов и др.) с помощью PIN-кода.

В качестве другого примера двухфакгорной аутентификации можно привести технологию RSA Secure ГО, показанную на Рис.  1.7.2.

рисунок - Технология двухфакторной аутентификации RSA Secure ID

Одной из форм этого способа аутентификации является аутентификация по адресу (IP-адресу, e-mail адресу, телефонному номеру), активно применяющаяся в системах Клиент-Банк и сотовой телефонии.

Недостаток аутентификации «владения» -  возможность потери (кражи) аутентификатора. Альтернативой служат биометрические технологии, которые характеризуются:

  • относительной трудностью потери аутентификатора;

  • высоким уровнем достоверности опознавания пользователей.

В основе работы этих систем лежит биометрическое распознавание -  сравнение физиологических и психологических особенностей субъекта с его аналогичными характеристиками, хранящимися в базе данных объекта.

Биометрические технологии делятся на физиологические и психологические.

В первой из них используются постоянные физиологические (генетические) параметры субъекта: параметры пальцев (папиллярные линии, рельеф), структура глаза (сетчатки или радужной оболочки), форма ладони (отпечаток или топография), геометрические характеристики лица (2D или 3D графика), структура ДНК (сигнатура) и т.п.

Психологические технологии (индивидуальные поведенческие особенности, присущие каждому человеку) носят изменчивый характер: спектр голоса, динамические параметры письма, особенности ввода символов с клавиатуры.

Недостатками биометрической аутентификацией являются:

  • проблема получения ключа из биометрических параметров;

  • возможность исключения из процесса аутентификации субъектов с скомпрометированным электронным аутентификатором;

  • относительно высокая стоимость реализации биометрических систем;

  • возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога);

  • возможность изготовления относительно дешевых муляжей для биопараметров.

Для реализации рассмотренных выше способов аутентификации необходим первоначальный контакт между субъектом и объектом, в процессе которого стороны обмениваются аутентификатором. В ряде случаев такой контакт невозможен, например, в системах электронного бизнеса В2С.

В2С -  это краткосрочное взаимодействие бизнеса и конечного потребителя бизнес-продукта, сопровождаемое большим числом разовых сделок, при котором ни поставщики, ни потребители никогда ранее не имели взаимных деловых контактов. Для подобных заочных транзакций наиболее эффективна аутентификация с использованием различных форм рекомендаций от доверенного посредника, например сертификата или билета.

В частности, широко известны сертификаты Х509, связывающие открытый ключ клиента и его уникальный идентификатор, которые подписаны цифровой подписью доверенного центра сертификации.

Перспективой развития технологий аутентификации является создание многофакторных систем аутентификации с комбинированным применением паролей, биопараметров, отчуждаемых элементов и сертификатов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности