- •12. Системы аутентификации и идентификации.
- •13. Системы аутентификации и идентификации построенные по технологии единого входа: реализации, преимущества и недостатки
- •17. Виды вредоносного по, требующие внедрения на компьютере-жертве.
- •18. Виды вредоносного по, не требующие внедрения на компьютере-жертве.
- •24. Оранжевая книга: метки безопасности и принудительное управление доступом.
- •25. Оранжевая книга: произвольное управление доступом, требования к аутентификации и идентификации.
- •27. Виртуальные частные сети как средство обеспечения информационной безопасности.
25. Оранжевая книга: произвольное управление доступом, требования к аутентификации и идентификации.
Произвольное управление доступом
Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту, например: чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.
Очевидно, прямолинейное представление подобной матрицы невозможно (поскольку она очень велика), да и не нужно (поскольку она разрежена, то есть большинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (владелец/группа/прочие в ОС UNIX), или на механизме списков управления доступом, то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.
Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.
Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасност.
26. Атаки с использованием методов социальной инженерии и защита от них.
На сегодня существует пять основных векторов нападения, которые могут быть использованы при проведении атак с помощью социальной инженерии:
Сетевые угрозы (он-лайн):
злоумышленник, использующий методы социальной инженерии, убеждает[1] сотрудника выдать необходимую ему информацию с помощью правдоподобного психологического трюка, вместо того, чтобы заразить компьютер malware с помощью прямого нападения. Такая атака сможет подготовить почву для malware
Фишинг- технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д.
Вишинг;
В случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.
Фарминг;
перенаправление жертвы по ложному адресу. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен – domain name system, DNS).
Телефон;
Анализ мусора;
Личные подходы;
Существует четыре разновидности такого подхода:
Запугивание. Этот подход может использовать олицетворение полномочий, чтобы принудить адресат исполнить запрос.
Убеждение. Самые обычные формы убеждения включают лесть.
Использование доверительных отношений. Этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от адресата.
Помощь. В этом подходе хакер предлагает помочь адресату. Помощь будет требовать, чтобы адресат обнародовал личную информацию.
Реверсивная социальная инженерия.
описывает ситуацию, в которой адресат из числа персонала предлагает хакеру информацию, которую он хочет продать.