Методология построения систем защиты информации в АС

Содержание

Слайд 2

2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.); 3)

2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.);
3) осуществление

(организация) считывания в па- мять КС содержимого носителей.
Отсюда тактика защиты. Существуют носители (накопители) со встроенными средствами защиты, требующими специальных паролей.
Парольные системы для защиты от НСД.
Под НСД в руководящих документах понимают до-ступ к информации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств. НСД может быть случайным либо преднамеренным.
Слайд 3

Категории методов защиты от НСД: - организационные ( мероприятия и регламентирую-щие

Категории методов защиты от НСД:
- организационные ( мероприятия и регламентирую-щие инструкции);
-

технологические (программно-аппаратные сред-ства идентификации, аутентификации и охранной сигнализации);
- правовые (меры контроля за исполнением норма-тивных актов).
Идентификация - присвоение пользователям иден-тификаторов и проверка предъявляемых идентифи-каторов по списку присвоенных.
Аутентификация - проверка принадлежности поль-зователю предъявленного им идентификатора.
Слайд 4

Безопасность (стойкость) системы идентификации и аутентификации это степень обеспечиваемых ею гарантий

Безопасность (стойкость) системы идентификации и аутентификации это степень обеспечиваемых ею гарантий

того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя.
Методы аутентификации основаны на наличии у каждого пользователя:
- индивидуального объекта заданного типа (про-пуск, магнитная карта и т.п.);
- знаний некоторой информации (пароля), известного только ему и проверяющей стороне;
- индивидуальных биометрических характеристик (тембра голоса, рисунка папилярных линий, структуры радужной оболочки глаза и т.п.).
Слайд 5

Если в процедуре аутентификации участвуют только две стороны, то это непосредственная

Если в процедуре аутентификации участвуют только две стороны, то это непосредственная

аутентификация (direct password authentication).
Если в этой процедуре участвует третья доверенная сторона, то ее называют сервером аутентификации, а метод называют с участием доверенной стороны (trusted third party authentication).
Слайд 6

Общие подходы к построению парольных систем. Наиболее распространенные методы аутентифика-ции основаны

Общие подходы к построению парольных систем.
Наиболее распространенные методы аутентифика-ции основаны

на применении многоразовых и одно-разовых паролей. Из-за своего широкого распро-странения и простоты реализации парольные систе-мы часто становятся мишенью атак злоумышлен-ников. Эти методы включают следующие разно-видности способов аутентификации:
- по хранимой копии пароля или его свёртке (plaintext- equivalent);
- по некоторому проверочному значению (verifier-based) ;
Слайд 7

Без непосредственной передачи информа-ции о пароле проверяющей стороне (zero- knowledge); С

Без непосредственной передачи информа-ции о пароле проверяющей стороне (zero- knowledge);
С использованием

пароля для получения криптографического ключа (cryptographic).
Для более детального рассмотрения принципов построения парольных систем сформулируем несколько основных определений.
Идентификатор пользователя – некоторое уникальное количество информации позволяющее различать индивидуальных пользователей парольной системы( проводить их идентификацию). Часто идентификаторы также наз. именем пользователя или именем учетной записи пользователя .
Слайд 8

Пароль пользователя – некоторое секретное кол-во информации известное только пользователю и

Пароль пользователя – некоторое секретное кол-во информации известное только пользователю

и парольной системе, которая может быть запомнена пользователем и предъявлена для прохождения процедуры
аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.
Учетная запись пользователя – совокупность иго идентификатора и иго пароля.
Слайд 9

База данных пользователей парольной системы содержит учетные записи всех пользователей данной

База данных пользователей парольной системы содержит учетные записи всех пользователей

данной парольной системы.
Под парольной системой будем понимать про-граммно-аппаратный комплекс, реализующий си-стемы идентификации и аутентификации пользо-вателей АС на основе одноразовых или многора-зовых паролей. Как правило такой комплекс фун-кционирует совместно с подсистемами разграни-чения доступа и регистрации событий. В отдель-ных случаях парольная система может выполнять ряд дополнительных функций, в частности генерацию и распределение кратковременных (сеансов) криптографических ключей.
Слайд 10

Основными компонентами парольной системы являются: - интерфейс пользователя; - интерфейс администратора;

Основными компонентами парольной системы являются:
- интерфейс пользователя;
-

интерфейс администратора;
- модуль сопряжения с другими подсистемами безопасности;
- база данных учетных записей. Парольная система представляет собой “перед-ний край обороны” всей системы безопасности. Некоторые ее элементы( в частности реализую-щие интерфейс пользователя) могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику.
Слайд 11

Поэтому парольная система становиться одним из первых объектов атаки при вторжении

Поэтому парольная система становиться одним из первых объектов атаки при вторжении

злоумышленника в защищенную систему.
Типы угроз безопасности парольных систем.
1.Разглашение параметров учетной записи через :
Подбор в интерактивном режиме
Подсматривание
Преднамеренную передачу пароля ее владельцем другому лицу
Захват базы данных парольной системы с дальнейшей дешифрацией
Слайд 12

Перехват переданной по сети информации о пароле Хранение пароля в доступном

Перехват переданной по сети информации о пароле
Хранение пароля в доступном

месте
2. Вмешательство в функционирование компонентов парольной системы через
Внедрение программных закладок
Обнаружение и использование ошибок, допущенных на стадии разработки
Выведение из строя парольной системы
Слайд 13

Некоторые из перечисленных типов угроз связанны с наличием так называемого человеческого

Некоторые из перечисленных типов угроз связанны с наличием так называемого человеческого

фактора, проявляющегося в том, что пользователь может:
Выбрать пароль, который легко запомнить и также легко подобрать,
Записать пароль, который сложно запомнить, и положить запись в доступном месте,
Ввести пароль так, что его смогут увидеть посторонние,
Передать пароль другому лицу намеренно или под влиянием заблуждения
Слайд 14

Выбор паролей Для уменьшения влияния человеческого фактора при выборе и использовании

Выбор паролей
Для уменьшения влияния человеческого фактора при выборе и использовании

паролей необходимо выполнить ряд требований:
- установить оптимальную длину пароля;
- использовать в паролях различные группы символов;
- проверка и отбраковка паролей по словарю;
- установить максимальный и минимальный срок действия пароля;
- ведение журнала истории паролей;
- применять алгоритмы, бракующие пароли на основании данных журнала историй;
Слайд 15

- ограничение числа попыток ввода пароля; - поддержка режима принудительной смены

- ограничение числа попыток ввода пароля;
- поддержка режима принудительной смены пароля

пользователя;
- использование вопросо-ответного диалога при вводе неправильного пароля (для замедления цикла подбора);
- запрет на выбор пароля самим пользователем и автоматическая генерация паролей;
- принудительная смена пароля при первой реги-страции пользователя в системе (для защиты от неправомерных действий системного админи-стратора, имеющего доступ к паролю в момент создания учетной записи).
Слайд 16

Оценка стойкости парольных систем осущест-вляется по формуле: P = V*T/S, где

Оценка стойкости парольных систем осущест-вляется по формуле:
P = V*T/S, где


Здесь А - мощность алфавита паролей;
L - длина пароля;
S - мощность пространства паролей;
V - скорость подбора паролей;
T - срок действия пароля;
Р - вероятность подбора пароля в течение
его срока действия.

Слайд 17

ПРИМЕР: Пусть задано Р = 0.000001. Найти минимальную длину пароля, обеспечивающую

ПРИМЕР:
Пусть задано Р = 0.000001. Найти минимальную длину пароля, обеспечивающую его

стойкость в течение одной недели непрерывных попыток подобрать пароль. Пусть скорость интерактивного подбора паролей V = 10паролей/мин. Тогда в тече-ние недели можно подобрать:
10*60*24*7=100800 паролей.
Тогда из формулы 1 имеем:
S = 100800/0.000001 = 1.008*Е+11
Полученному значению S соответствуют пары:
А = 26, L = 8 и A = 36, L = 6.
Слайд 18

Хранение паролей Важным аспектом стойкости парольной системы, является способ хранения паролей

Хранение паролей
Важным аспектом стойкости парольной системы, является способ хранения паролей в

базе данных учетных записей. Варианты хранения паролей:
1) в открытом виде;
2) в виде сверток (хеширование);
3) зашифрованными в некотором ключе.
Особенности второго и третьего вариантов.
Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником.
Слайд 19

При выборе алгоритма хеширования необходимо: - гарантировать несовпадение значений сверток, полученных

При выборе алгоритма хеширования необходимо: - гарантировать несовпадение значений сверток, полученных

на основе различных паролей поль-зователей;
- предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые пароли, предусмотрев некоторое количество “случайной” информации.
Варианты шифрования базы данных учетных записей:
1) ключ генерируется программно и хранится в системе, обеспечивая возможность ее автома-тической перезагрузки;
Слайд 20

2) ключ генерируется программно и хранится на внешнем носителе, с которого

2) ключ генерируется программно и хранится на внешнем носителе, с которого

считывается при каждом запуске;
3) ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.
Наиболее безопасное хранение паролей обеспе-чивается при комбинации второго и третьего способов.
Стойкость парольной системы определяет ее способность противостоять атаке противника, а также зависит от криптографических свойств алгоритма шифрования или хеширования.
Слайд 21

Передача пароля по сети. Если передаваемая по сети в процессе аутентифика-ции

Передача пароля по сети.
Если передаваемая по сети в процессе аутентифика-ции

информация не защищена надлежащим образом, возникает угроза ее перехвата и использования для нарушения защиты парольной системы.
Многие компьютерные системы позволяют пере-ключать сетевой адаптер в режим прослушивания адресованного другим получателям сетевого трафика.
Основные виды защиты сетевого трафика:
- физическая защита сети;
оконечное шифрование;
шифрование пакетов.
Слайд 22

Способы передачи паролей по сети : 1) в открытом виде; (TELNET,

Способы передачи паролей по сети :
1) в открытом виде; (TELNET, FTP

и других)
2) зашифрованными;
3) в виде сверток;
4) без непосредственной передачи информации о пароле (“доказательство с нулевым разглашением”).
При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы.
Слайд 23

. - перехват и повторное использование инфор-мации; - перехват и восстановление

.

- перехват и повторное использование инфор-мации;
- перехват и восстановление паролей;
- модификация

информации с целью введения в заблуждение проверяющей стороны;
- имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя.
Схемы с нулевым разглашением впервые появи-лись в на рубеже 80-90-х годов. Идея: обеспечить возможность одному из пары субъектов доказать истинность некоторого утверждения второму, умал-чивая при этом о содержании самого утверждения.
Слайд 24

. Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности

.

Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных

обменов (итераций) между двумя участниками процедуры, по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного распознавания истинности (или ложности) утверждения.
Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая пещера АЛИ-БАБЫ.
Слайд 25

А В С D

А

В

С

D

Слайд 26

Пещера имеет один вход, путь от которого разветвляется в глубине пещеры

Пещера имеет один вход, путь от которого разветвляется в глубине

пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из од- ного коридора в другой в любом направлении. Одна итерация алгоритма состоит из последо- вательности шагов:
1. Проверяющий становится в точку А.
2. Доказывающий проходит пещеру и добира- ется до двери (оказывается в точке С или D). Проверяющий не видит, в какой из двух кори- доров тот свернул.
Слайд 27

3. Проверяющий приходит в точку В и в соот- ветствии со

3. Проверяющий приходит в точку В и в соот- ветствии со

своим выбором просит доказываю- щего выйти из определенного коридора.
4.Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.
Итерация повторяется столько раз, сколько требу-ется для распознания истинности утверждения «доказывающий владеет ключом от двери» с за-данной вероятностью. После i-той итерации веро-ятность того, что проверяющий попросит доказы-вающего выйти из того же коридора, в который вошел доказывающий, равна (1\2)i .
- Предыдущая
Мона Лиза
Следующая -
Предпринимательство в экономической структуре общества

Похожие презентации

Объектно-ориентированное программирование (ООП)
Блокчейн - способ защиты базы данных
Диаграмма классов. Тема 2.6.3
Алгоритм оформления стенда с помощью Microsoft Power Point 10
Программное обеспечение компьютера
Rational Unified Process
Моделирование геометрических объектов в программе QCAD
Design Theory Software Engineering Fundamentals (SEF): MS.NET
Анализ моделей в контексте потребностей вашей организации
Систематизация информации
Как бесплатно звонить с личного телефона. Корпоративный мессенджер
Разработка информационной системы по управлению логистикой для предприятия ООО Дорстекло
Электронные ресурсы научной библиотеки Челябинского государственного института культуры
Анализ и сравнение подходов к управлению сетями NGN
Массивтер. Екіөлшемді массивтер
Администрирование ИС Администрирование DNS
Программа «Paint» Создала руководитель объединения «Мой друг – компьютер» Львова Н.В. 2006
Интеллектуальная игра по информатике
Презентация "MSC.Mvision Appendix C" - скачать презентации по Информатике
Глобальные переменные, отладка кода, матрицы. Лекция 8
Байланыс каналдары мен жүйелері
Родительское собрание «Как компьютер сделать помощником в развитии детей»
Демонстрация слайд-шоу в Powerpoint
Локальные и глобальные сети
1С:подпись
Презентация "Руководство по установке Windows XP" - скачать презентации по Информатике
Ақпарат, оның мазмұны, түрлері мен қасиеттері
Вероятно - статистический подход к измерению информации
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть