Главная страница
Навигация по странице:

  • Актуальность

  • Идентификация

  • Закрываемым

    		•

    ЛБ2. Лабораторная работа 2


    Скачать 33.04 Kb.
    НазваниеЛабораторная работа 2
    Дата07.03.2023
    Размер33.04 Kb.
    Формат файлаdocx
    Имя файлаЛБ2.docx
    ТипЛабораторная работа
    #973506

    Лабораторная работа 2


    Обзор организационных методов защиты информационных процессов в компьютерных системах. Контроль доступа к аппаратуре. Разграничение и контроль доступа. Разделение привилегий на доступ. Идентификация и установление подлинности. Аутентификация.
    Цель: изучить основные направления защита информационных процессов в компьютерных системах


    Актуальностьтемы объясняется основными вопросами в организации методов защиты информационных процессов в компьютерных системах

    Теоретическая часть:


    К организационнымметодамследует отнести такие методы как:

    1. методы функционального контроля, обеспечивающие обнаружение и диагностику отказов и сбоев аппаратуры и ошибок человека;

    2. методы повышения достоверности принимаемой и обрабатываемой информации;

    3. методызащитыинформационных процессов отаварийныхситуаций;

    4. методыконтролядоступак внутреннему монтажу аппаратуры, линиям связи и технологическим органам контроля;

    5. методыразграниченияиконтролядоступа к информационным процессам;

    6. методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов.

    Ограничениедоступак комплексам средств автоматизации заключается:

    1. в выделении специальной территории для размещения системы;

    2. в сооружении по периметру зоны специальных заграждений с охраняемой сигнализацией;

    3. в сооружении специальных зданий или других сооружений;

    4. в выделении специальных помещений в здании;

    5. в создании контрольно-пропускной системы на территориях, зданиях, помещениях.


    В настоящее время государственные предприятия выпускают электронные системы для защиты государственных и частных объектов от проникновения посторонних лиц.

    Контрольдоступакаппаратуре

    В целях контролядоступак внутреннему монтажу, линиям связи и технологическим пультам управления используется аппаратураконтролявскрытияаппаратуры.

    Контроль доступа к внутреннему монтажу необходим также для обеспечения технологической дисциплины обслуживающего персонала с позиции защиты от несанкционированного доступа от следующих действий:

    • изменения и разрушения принципиальной схемы компьютерной системы;

    • подключения постороннего устройства;

    • изменения алгоритма работы КС путем использования технологических пультов и органов управления;

    • загрузки посторонних программных продуктов (вирусов, и т.д.);

    • использование терминалов посторонними лицами.

    Задача контролявскрытияаппаратуры-перекрытиенапериодэксплуатациивсехнештатныхи технологическихподходов.

    Доступ к штатным входам в систему - терминалам контролируется с помощью контроля выдачи ключей, а доступ к информации - с помощью системы опознания и разграничения доступа, включающей применение кодов паролей, соответствующие функциональные задачи программного обеспечения и специального терминала службы безопасности информации. Указанный терминал и устройство контроля входит в состав рабочего места службы безопасности информации.

    Разграничениеиконтрольдоступа

    Разграничениедоступав компьютерной системе заключается в разделенииинформации, циркулирующей в ней, на части и организации доступа к ней должностных лиц всоответствии с функциональнымиобязанностямии полномочиями.

    Для обеспечения разграничения и контроля доступа к информационным процессам, организация их обслуживания строится следующим образом:

    1. техническое обслуживание КС в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информационным процессам;

    2. перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенными для этого специалистами;

    3. функции обеспечения безопасности должны выполнятся специальным подразделением в организации - владельце КС, вычислительной сети или АСУ;

    4. организация доступа пользователей к памяти КС должна обеспечивать возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии, и в соответствии с заданным уровнем полномочий пользователей;

    5. регистрация и документирование технологической и оперативной информации должны быть разделены.

    Разграничениедоступапользователей- потребителей КС может быть:

    • по виду, назначению, степени важности и секретности информации;

    • по способам обработки: считать, записать, внести изменения, выполнить команду;

    • по условному номеру терминала;

    • по времени обработки.

    ПрипроектированиибазовогокомплексаКС производят:

    • разработку операционной системы с возможностью реализации разграничения доступа к информации и информационному процессу;

    • изоляцию общего доступа;

    • разделение базы данных на группы;

    • процедуры контроля перечисленных функций

    Припроектированииавтоматизированныхвычислительныхкомплексовибазобработкиданныхпроизводится:

    • разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации, как в рамках данной КС, так и в целом всей системы и контроля;

    • разработка аппаратных средств идентификации и аутентификации пользователя;

    • разработка программных средств контроля и управления разграничением доступа;

    • разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

    В качестве идентификаторовличностидля реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и КС. В помощь пользователя в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронныеключиили карточки

    Разделениепривилегий надоступ

    Разделение привилегий на доступ к информационным процессам заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членовгруппы.

    Задача данного метода - существенно затруднить преднамеренный перехват информации нарушителем. Примером может служить сейф с замком, который открывается несколькими ключами одновременно. Такой же принцип механизм разделения привилегий доступа используется при использовании в КС.

    Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить защиту информации и информационных процессов от преднамеренного несанкционированного доступа.

    В целях постоянного контроля доступа к ценной информации со стороны администрации и пользователя КС, возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на дисплей подчиненного - только информация о факте ее вызова

    Аутентификация – это процесс проверки подлинности чего-либо. Термин чаще всего используется в среде информационных технологий. Примером аутентификации может быть сравнение пароля, введенного пользователем, с паролем, который сохранен в базе данных сервера.

    Зачем нужна аутентификация

    Аутентификация нужна для доступа к:

    1.Соцсетям

    2.Электронной почте

    3.Интернет-магазинам

    4.Форумам

    5.Интернет-банкингу

    6.Платежным системам

    Элементы аутентификации

    1.Субъект пользователь

    1. Характеристика субъекта информация, предоставляемая пользователем для проверки подлинности.

    2. Владелец системы аутентификации — владелец ресурса.

    4.Механизм аутентификации — принцип проверки

    5.Механизм авторизации управление доступом

    Методыаутентификации

    1. Парольные

    Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.

    1. Комбинированные

    Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.

    1. Биометрические

    Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.

    1. Информация о пользователе

    Она используется для восстановления логина или пароля и для двухэтапной аутентификации, чтобы обеспечить безопасность. К этому методу относится номер телефона, девичья фамилия матери, год рождения, дата регистрации, кличка питомца, место проживания.

    1. Пользовательские данные

    Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.

    Классификациявидоваутентификации

    В зависимости от количества используемых методов

    • Однофакторная. Используется только один метод.

    • Многофакторная. Используется несколько методов.

    В зависимости от политики безопасности систем и уровня доверия

    • Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.

    • Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

    Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

    Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.
    Аутентификация на PC

    • Login

    • PAP (Password Authentication Protocol) логин и пароль

    • Карта доступа — USB и сертификаты

    • Биометрические данные Аутентификация в сети

    • Cookies. Используются для отслеживания сеанса, сохранения предпочтений и

    сбора статистики. Степень защиты невысокая, однако привязка к IP-адресу решает эту проблему.

      • Kerberos. Протокол взаимной аутентификации с помощью криптографического ключа.

      • SAML (Security Assertion Markup Language) Язык разметки, который позволяет сторонам обмениваться данными аутентификации.

      • SNMP (Simple Network Management Protocol) Протокол, который контролирует подключенные к сети устройства.

      • Сертификаты X.509 Сертификаты с открытым ключом.

      • OpenID Connect. Используется для создания единой учетной записи для аутентификации на разных ресурсах.

    Идентификацияиустановлениеподлинности

    Идентификация - это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем за кого себя выдает.

    Объектами идентификации могут быть:

    • человек (оператор, пользователь, оператор);

    • техническое средство (терминал, дисплей, компьютер и т.д.);

    • документы (распечатки, листинги и т.п.);

    • носители информации (магнитные диски, ленты и т.п.);

    • информация (табло, информация на дисплее).

    Идентификация может быть произведена как специальным персоналом, так и техническими средствами.

    Кроме антропологических параметров (отпечатки пальцев, голос и т.д.) более внимательно необходимо относится к конфиденциальности, так как записанная информация на носителях является ключом к информации, подлежащей защите. Для этого существует система аутентификации “ключ-замок”. Система “ключ-замок” имеет локальный применение.

    Одним из распространенным методомаутентификацииявляется присвоениелицу или объекту уникального имени или числа - пароля и хранение его в компьютернойсистеме.При входе в компьютерную систему пользователь открывает доступ к разрешенной только ему информации.

    Наиболее высокий уровень входа в систему разделение кода на две части: однузапоминаемую пользователем и вводимую вручную, вторую с помощью магнитной илииной карточкой.

    Полезно в вычислительной системе предусмотреть механизмтревожнойсигнализации, основанной на применении ложного пароля. Ложный пароль запоминается пользователем одновременно с действительным и сообщается преступнику в экстренной ситуации.

    Одновременно со скрытой сигнализацией необходимо предусмотреть механизм обязательного выполнения требований преступника, воспользовавшись средствами аутентификации законного пользователя.

    Идентификацияиустановлениеподлинноститехническихсредств

    Данный уровень защиты осуществляется с помощью паролей.

    Пароль используется не только для пользователя и терминала по отношению к системе, но и для обратного установления подлинности компьютера по отношению к пользователю.

    Это используется для работы с удаленным объектом. В этом случае используются одноразовые пароли или более сложные системы шифрования информации.

    Идентификацияиустановлениеподлинностидокументов

    В компьютерных системах документами являются распечатки, листинги, перфоленты, перфокарты, магнитные носители и т.д.

    Существует два подхода установления подлинности документов:

    • получение документа, сформированного непосредственно в КС и ее документирование;

    • получение ее с удаленных объектов КС.

    В первом случае подлинность гарантируется системой, имеющей средства защиты от НСД, а также физическими характеристиками печатающего устройства, присущие только этой системе. При недостаточности необходимо использовать криптографическоепреобразование.

    Использование криптографического преобразования особенно актуально для второго случая, когда документ доставляется через неохраняемую территорию с территории удаленного объекта. При этом к носителю прилагаются документы с подписями ответственных лиц, заверенными печатями.

    При автоматизированной передаче документов по каналам связи, расположенным на неконтролируемой территории, меняются условия обмена - используется так называемая электроннаяподпись.

    При этом участники нуждаются в защите от преднамеренныхНСД:

    • отказаотправителяотпереданногосообщения;

    • измененияполучателемполученногосообщения;

    • маскировкиотправителяподдругогосообщения.

    Обеспечениезащитыкаждой стороны, участвующей в обмене информации, осуществляется с помощью ведения специальных протоколов.

    Для верификации используют следующие положения:

    1. отправитель вносит в передаваемую информацию свою электронную подпись,представляющую собой дополнительную информацию, зависящую от передаваемых данных, имени получателя и некоторой закрытой информации, который обладает только отправитель;

    2. получатель должен иметь возможность удостовериться в том, что в составе сообщения есть подлинная подпись отправителя;

    3. получение правильной подписи отправителя возможно только при использовании закрытой информации, которой обладает только отправитель;

    4. для исключения возможности повторного использования устаревшего сообщения верификациядолжна зависетьотвремени.

    5. Подписьсообщенияпредставляетсобойспособшифрованиясообщенияспомощьюкриптографическогопреобразования.Закрываемымэлементомвпреобразованииявляетсякод ключа.

    6. Идентификация и установление подлинности информации на средствах ее отображения и печати.

    7. В ответственных случаях отдельные сообщения или блоки информации подвергаются специальной защите, которая заключается в создании средств повышения достоверности информации, ее криптографического преобразования.

    8. Установление подлинности полученной информации, включая отображение натабло и терминалах, заключается в контроле обеспечения достоверности информации,результатовдешифрованияполученнойинформации доотображенияеенадисплее.



    Вопросы:


    1. Как информация подвергается угрозе в процессе ввода, хранения, обработки, вывода и передачи?

    2. Ошибки человека, приводящие к угрозе информации?

    3. Перечислите штатные каналы доступа к информации?

    4. Угрозы НСД при использовании нарушителем штатных средств?

    5. Анализ возможных путей доступа к информационным ресурсам?

    6. Разделение привилегий на доступ?

    написать администратору сайта