Защита информации презентация

Содержание

Ц е н н о с т ь и н ф о р м а ц и и Информация может представлять большую ценность, быть государственной или коммерческой тайной. Стоимость интеллектуальной

Слайд 1З А Щ И Т А ИНФОРМАЦИИ


Слайд 2Ц е н н о с т ь и н

ф о р м а ц и и

Информация может представлять большую ценность, быть государственной или коммерческой тайной.
Стоимость интеллектуальной собственности (результатов научных исследований, программ, фильмов и пр.) в мире составляет триллионы долларов в год, несанкционированное копирование которой снижает доходы компаний и авторов.
Поэтому необходима защита информации в процессе сбора, хранения, обработки и передачи.


Слайд 3Почему информация уязвима?
Усложнение методов и средств машинной обработки, использование Интернета делает

информацию уязвимой, чему способствуют:
возрастающие объемы данных;
накопление и хранение данных в ограниченных местах;
расширение круга пользователей, имеющих доступ к ресурсам, программам и данным;
недостаточный уровень защиты аппаратных и программных средств ПК и коммуникационных систем и т. п.


Слайд 4От чего защищают информацию?
Надежной считается система, обеспечивающая защиту

информации в течение продолжительного времени. Система должна быть такой, чтобы на ее взлом требовалось больше времени, чем то время, которое эта информация должна оставаться секретной. Никакая система не дает защиту 100%.

Слайд 5Резервное копирование …
… или дублирование (англ. backup), наиболее простой и универсальный способ

защиты информации от потерь. Если имеется резервная копия файла, (на магнитной ленте, диске и т. д.), то при порче или потере основного файла его можно будет восстановить.
Резервное копирование требует дополнительных устройств хранения информации, а значит материальных затрат. Применяется для наиболее ценной информации, потеря которой приведет к серьезным последствиям. Если вся информация на компьютере особо ценная устанавливают два одинаковых винчестера.


Слайд 6Т р е б о в а н и я

к с и с т е м е резервного копирования

Надежность хранения — необходимо отказоустойчивое оборудование систем хранения, дублирование информации и замена утерянной копии другой в случае уничтожения одной из копий.
Простота эксплуатации — автоматизация (минимизировать участие человека).
Быстрое внедрение -- простая установка и настройка программ, быстрое обучение пользователей.


Слайд 7П а р а м е т р ы резервного копирования


Ключевые параметры резервного копирования:
RPO (Recovery Point Objective ) -- определяет точку отката -- момент времени в прошлом на который будут восстановлены данные;
RTO (Recovery Time Objective) -- определяет время, необходимое для восстановления.



Слайд 8У с т р о й с т в о резервного копирования
Стример

-- ленточный накопитель, ЗУ на принципе магнитной записи на ленточном носителе с последовательным доступом к данным (аналогичен бытовому магнитофону)
Основное назначение: запись и воспроизведение информации, архивацияОсновное назначение: запись и воспроизведение информации, архивация и резервное копирование данных.


Слайд 9С т р и м е р
Достоинства: большая ёмкость;

стабильность работы; надёжность; низкое энергопотребление у ленточной библиотеки большого объёма, низкой стоимостью хранения данных в пересчете на гигабайт информации и широкие условия хранения информационного носителя;
Недостатки: низкая скорость произвольного доступа к данным из-за последовательного доступа (лента должна прокрутиться к нужному месту); сравнительно высокая стоимость накопителя (стримера).


Слайд 10К о м п ь ю т е р н ы

й в и р у с ...

… программа, самостоятельно создающая свои копии и внедряющая их в другие программы, в системные области дисковой памяти, распространяющаяся по каналам связи.
Цель вирусов - нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользователей.
Программа, внутри которой находится вирус, называется зараженной (инфицированной).


Слайд 11В и д ы в и р у с о

в

Файловые – заражают выполняемые модули с расширениями: .exe, .com, .bin, .ovl, .dll.
Вандалы – маскируются (по имени) под широко используемые и выполняют несанкционированные действия (стирание с диска).
Бутовые (загрузочные) – заражают диски.
Файлово-бутовые – заражает диски и файлы.
Макровирусы – заражают файлы документов, содержащие макросы.
Сетевые (сетевые черви)


Слайд 12В и д ы в и р у с о

в

Резидентные способны оставлять свои копии в ОЗУ, перехватывать некоторые события (обращение к файлам, дискам) и инициировать процедуры заражение.
Резидентные копии вирусов остаются активными до очередной перезагрузки, даже если на диске уничтожены зараженные файлы.
Часто от них нельзя избавиться восстановлением копий файлов или переформатирование диска.
Нерезидентные вирусы активны только в момент запуска зараженной программы и удаляются из памяти вместе с ней.


Слайд 13В и д ы в и р у с о

в

Стелс -- вирусы-невидимки, незаметны антивирусам, скрывают свое присутствие в системе одним из способов:
Вирус перехватывает команды чтения сектора, который заражен, и подставляет вместо незараженный оригинал.
Работает против антивирусов, которые напрямую читают сектора через порты контроллера диска. Такие вирусы при запуске любой программы восстанавливают зараженные сектора, а после окончания работы вновь заражают диск.


Слайд 14М е р о п р и я т и я

п о з а щ и т е о т в и р у с о в

Недопущение посторонних к компьютеру.
Использование надежного ПО.
Отслеживание любых изменений в работе ПК для более быстрого обнаружения вируса.
Размещение наиболее ценной информации на защищенных от записи дисках, тогда вирус не может приписать себя к файлам, и заражение защищенного диска невозможно.
Периодическая проверка жесткого диска и съемных носителей антивирусными программами.
Помнить - антивирусные программы быстро устаревают, и требуют обновления.


Слайд 15Виды антивирусных программ
Фаги – (сканеры) проверяют файлы, системные области,

ищут известные и неизвестные вирусы.
Для поиска известных вирусов используют маски (сигнатуры) – некоторый постоянный код, специфический для конкретного вируса. Если вирус не имеет постоянной маски, используют другие методы, например, перебор всех возможных вариантов кода вирусов.
Используются алгоритмы эвристического сканирования: анализ последовательности команд в проверяемом объекте, набор некоторой статистики, выдача решения (заражен, не заражен).


Слайд 16Виды антивирусных программ
Ревизоры – подсчитывают контрольные суммы (КС) для файлов на

диске и системных секторов. Получается КС путем суммирования по модулю два всех байтов файла. Любое изменение кода программы приводит к изменению КС. Эта сумма сохраняется в базе данных антивируса вместе с информацией о файле (размер, дата последнего изменения). При последующем запуске ревизоры сверяют данные базы и текущие.

Слайд 17Виды антивирусных программ
Мониторы - резидентные, перехватывают и сообщают о вирусоопасных ситуациях.


Вакцины -- подразделяются:
на сообщающие о заражении, записываются в конец файлов и при запуске файла каждый раз проверяют его на наличие изменений;
блокирующие заражение каким-либо типом вируса.
Обычно используются программные комплексы, включают мониторы, сканеры, ревизоры и планировщик, который нужен для координации работы разных компонентов

Слайд 18Мероприятия по защите от случайного удаления
Аккуратность и внимательность при работе.
Размещение наиболее

ценной информации на защищенных от записи дисках.
Своевременное удаление ненужных файлов и рациональное размещение файлов по каталогам.
Быстрое восстановление ошибочно удаленных файлов при помощи специальных программ.
При удалении файл с диска не стирается, просто помечается удаленным. Если ошибка быстро обнаружена, есть шанс восстановить удаленную информацию.

Слайд 19З а щ и т а от сбоев в работе устройств


проверка исправности оборудования (жесткого диска) спец. программами, которые обнаруживают и помечают, дефектные участки диска, и при записи не используются.
дефрагментация диска для рационального размещения файлов, ускорения работы и уменьшения его износа.


Слайд 20Ф р а г м е н т а ц и

я ф а й л о в

При записи на диск разные части файла могут оказаться в разных, удаленных друг от друга секторах, т.к. информация может быть записана только в свободные сектора. Чтобы объединить фрагменты файлов и, тем уменьшить износ диска и затраты времени на считывание, следует периодически производить оптимизацию (дефрагментацию) диска при помощи соответствующих программ.


Слайд 21И н ф о р м а ц и о н

н а я б е з о п а с н о с т ь …

.... процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность -- обеспечение доступа к информации только авторизованным пользователям.
Целостность -- обеспечение достоверности и полноты информации и методов ее обработки, т. е. избежание несанкционированной модификации информации;
Доступность -- обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.


Слайд 22Мероприятия от несанкционированного доступа:
идентификация и аутентификация пользователей;
мониторинг несанкционированных действий;
разграничение доступа;
криптографические методы

защиты;
защита при работе в сети.


Слайд 23Основные понятия информационной безопасности
Компьютерная система (КС) — организационно-техническая система, ее взаимосвязанные компоненты:
технические

средства обработки и передачи данных;
методы и алгоритмы обработки в виде ПО;
данные — информация на носителях в процессе обработки;
конечные пользователи — персонал и пользователи, использующие КС;
объект доступа, или объект, — любой элемент КС, доступ к которому можно произвольно ограничить (файлы, устройства, каналы);
субъект доступа, или субъект, — любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы).

Слайд 24Основные понятия информационной безопасности
Информационная безопасность — состояние КС, при котором она противостоит

дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для самой КС и внешней среды.
Конфиденциальность — свойство информации быть доступной ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших проверку и допущенных к ее использованию.
Целостность — свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи.
Достоверность — свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником.

Слайд 25Основные понятия информационной безопасности
Доступ к информации — возможность субъекта осуществлять определенные действия

с информацией.
Санкционированный доступ к информации — доступ по правилам разграничения доступа к информации.
Несанкционированный доступ (НСД) — доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (аппаратного и ПО), предоставляемых КС.
Правила разграничения доступа — регламентация прав доступа субъекта к определенному компоненту системы.
Угроза информационной безопасности КС — возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования.



Слайд 26Основные понятия информационной безопасности
Идентификация — получение от субъекта доступа к сведениям (имя,

учетный номер и т.д.), позволяющим выделить его из множества субъектов.
Аутентификация - получение от субъекта сведений (пароль, биометрические параметры и т.д.), подтверждающих, что идентифицируемый субъект является тем, за кого себя выдает.

Слайд 27Основные понятия информационной безопасности
Уязвимость КС — любая характеристика, которая может привести к

реализации угрозы.
Атака КС — действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации.
Безопасная, или защищенная, КС — КС, снабженная средствами защиты для противодействия угрозам.
Комплекс средств защиты — совокупность аппаратного и ПО, обеспечивающих информационную безопасность.
Политика безопасности — совокупность норм и правил, регламентирующих работу средств защиты от заданного множества угроз.

Слайд 28Модели разграничения доступа
Дискреционная — способ разграничения доступа субъектов к объектам,

при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту. При реализации представляет собой матрицу, строками которой являются субъекты, а столбцами — объекты; элементы матрицы характеризуют набор прав доступа.
Полномочная (мандатная) — способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.

Слайд 29Классификация угроз
По природе возникновения: объективные природные явления, не зависящие от

человека; субъективные, вызванные деятельностью человека.
По степени преднамеренности: ошибки конечного пользователя, персонала; преднамеренного действия, для получения НСД к информации.
По степени зависимости от активности КС: проявляются независимо от активности КС (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения).

Слайд 30Классификация угроз
4. По степени воздействия на КС: пассивные угрозы (сбор данных

путем выведывания или подсматривания за работой пользователей); активные угрозы (внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы КС).
5. По способу доступа к ресурсам КС: получение паролей, прав доступа при халатности персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, при загрузке посторонней операционной защиты со сменного носителя; использование недокументированных возможностей ОС.


Слайд 31Классификация угроз
По текущему расположению информации в КС: внешние ЗУ; ОП; сети

связи; монитор, другое отображающее устройство (скрытая съемка работы принтеров, графопостроителей и т.д.).
АБСОЛЮТНО НАДЕЖНЫХ СИСТЕМ ЗАЩИТЫ НЕ СУЩЕСТВУЕТ. Любая система защиты увеличивает время доступа к информации, поэтому построение защищенных КС не ставит целью надежно защититься от всех классов угроз. Уровень системы защиты — компромисс между убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания КС и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

Слайд 32Юридические основы информационной безопасности
Распространение КС и сетей в госучреждениях, важность

сохранения конфиденциальности государственной и частной информации заставили принять законы, регламентирующие защиту КС и сетей.
Конституция гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; право свободно искать, получать, передавать, производить и распространять информацию любым законным способом; гарантирует право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.

Слайд 33Юридические основы информационной безопасности
Уголовный кодекс РФ предусматривает наказания за преступления, связанные

с конфиденциальностью информации.
Закон «О государственной тайне» определяет гостайну как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. В нем описаны средства защиты информации, к которым относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих гостайну.

Слайд 34Методы реализации угроз
Непосредственное обращение к объектам доступа. Попытки войти в

систему, используя подсмотренный пароль или получить доступ к объектам (файлам, сетевым портам и др.), надеясь на ошибки в политике безопасности.
Создание программных и технических средств, которые обращаются к объектам доступа. При этом используется файл паролей и программы, осуществляющие их перебор для расшифровки; программы, просматривающие содержимое жестких дисков, для получения информации о незащищенных каталогах и файлах, имена таких файлов фиксируются; использует в сети со связью по модему программы, выполняющие автодозвон и фиксирующие номера ответивших узлов, а затем программы, прослушивающие сетевые порты для определения открытого порта; в локальной сети применяет программы перехвата и сохранения всего трафика сети.

Слайд 35Методы реализации угроз
Модификация средств защиты. Получив права доступа к подсистеме защиты,

подменяются некоторые файлы, чтобы изменить реакции подсистемы на права доступа к объектам.
Внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС. При разработке или модернизации технических средств КС, внедряется аппаратура, изменяются программы, в ПЗУ КС, которые выполняют некоторые функции НСД к информации (сбор сведений о паролях или считывание, сохранение и передача данных, оставшихся в ОП после завершения приложения); используются недостатки охраны КС и подключаются доп.устройства, (клавиатурные шпионы, перехватывающие пароли и информацию и, сохраняющие в собственной памяти или передающие по радиоканалу).

Слайд 36Приемы атак на локальные и удаленные КС
1. Сканирование файловой системы. Производится попытка

просмотреть файловую систему и прочесть, скопировать или удалить файлы. Если доступ к файлу закрыт, сканирование продолжается. При большой файловой системе обнаружится хотя бы одна ошибка администратора. Атака проводится специальной программой в автоматическом режиме.
2. Кража ключевой информации. Пароль можно подсмотреть или снять видеокамерой. Некоторые программы входа в КС удаленного сервера допускают набор пароля в командной строке (отображается на экране) или используют для входа пакетные файлы. Кража такого файла компрометирует пароль.

Слайд 37Приемы атак на локальные и удаленные КС
3. Сборка мусора. Удаляемая информация не

удаляется физически, а помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. Сборка мусора может осуществляться и из памяти. Программа, запускаемая злоумышленником, выделяет себе всю допустимо возможную память и читает из нее информацию, выделяя заранее определенные ключевые слова.
4. Превышение полномочий. Используя ошибки в системном ПО и/или политики безопасности, пользователь пытается получить превышающие полномочия. Может также войти в систему под именем другого пользователя или заменить динамическую библиотеку, отвечающую за идентификацию пользователя.

Слайд 38Приемы атак на локальные и удаленные КС
5. Программные закладки. Программы, выполняющие хотя

бы одно из действий:
внесение произвольных искажений в коды программ, находящихся в ОП (программная закладка 1-го типа);
перенос фрагментов информации из одних областей ОП или внешней памяти в другие (прогр. закладка 2-го типа);
искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка 3-го типа).
6. Жадные программы. Преднамеренно захватывают значительную часть ресурсов КС, из-за чего другие программы работают медленнее или не работают вовсе. Запуск такой программы иногда приводит к краху ОС.


Слайд 39Приемы атак на локальные и удаленные КС
7. Атаки на отказ в обслуживании

(deny-of-service — DoS). Распространены в компьютерных сетях и сводятся к выведению из строя объекта.
Классифицируются по объекту воздействия:
• перегрузка пропускной способности сети — автоматическая генерация, возможно, из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла;
• перегрузка процессора — посылка вычислительных заданий или запросов, обработка которых превышает возможности процессора узла;
• занятие возможных портов — соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт.

Слайд 40Приемы атак на локальные и удаленные КС
Обнаруживаются и устраняются администратором, выдающим запрет

на прием пакетов от источника. Если атака идет с множества узлов, на которые предварительно внедряется вирус, тогда администратор не может вмешаться.
Вирус активизируется в определенное время, производя DoS-атаку. Такой тип атаки называют - DDoS (Distributed DoS).


Слайд 41Приемы атак на локальные и удаленные КС
Атаки маскировкой. Общее название класса сетевых

атак, когда атакующий выдает себя за другого пользователя. Если существенные права получают процессы, инициируемые доверенными хостами (т.е. пакеты с адресом доверенного источника пропускаются без применения к ним ограничивающих правил), то достаточно указать доверенный адрес отправителя, и он будет пропущен.
Атаки на маршрутизацию. Для достижения узла жертвы изменяется маршрут доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты — маршрутизаторы.


Слайд 42Приемы атак на локальные и удаленные КС
9. Атаки на маршрутизацию. Для достижения

узла жертвы измененяется маршрут доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты — маршрутизаторы.

Слайд 43Приемы атак на локальные и удаленные КС
9. Атаки на маршрутизацию. Для достижения

узла жертвы измененяется маршрут доставки пакета. Каждый путь может иметь свои права доступа, узел может по-разному реагировать на пакеты, поступившие различными путями. Поэтому интерес злоумышленника распространяется не только на сам атакуемый узел, но и на промежуточные пункты — маршрутизаторы.

Слайд 44Приемы атак на локальные и удаленные КС
10. Прослушивание сети (sniffing), различают:
межсегментный

сниффинг - устройство подслушивания размещается у входа (выхода) взаимодействующих узлов или у одного из транзитных узлов. Защита - средства шифрования;
внутрисегментный - прослушивание в равноранговой сети с общей шиной (Ethernet), для прослушивания используется одна из КС сети. Программа-сниффер, переводит режим Ethernet-карты в «неразборчивый», когда карта принимает все, проходящие по сети пакеты, а не только свои.
Для борьбы используется сниффер-детектор. Принцип работы - формирование пакета с некорректным сетевым адресом, который должен быть проигнорирован всеми узлами сети. КС, принявшую такой пакет, проверяется на сниффер.

Слайд 45Противодействия нарушению конфиденциальности информации
При эксплуатации КС основная задача защиты информации - предотвращение

НСД к аппаратным и программным средствам и контроль целостности этих средств с помощью комплекса мероприятий:
• идентификация и аутентификация пользователей;
• мониторинг несанкционированных действий — аудит;
• разграничение доступа к КС;
• криптографические методы сокрытия информации;
• защита КС при работе в сети.


Слайд 46Противодействия нарушению конфиденциальности информации
При создании защищенных КС используют:
фрагментарный подход - последовательное включение

в КС пакетов защиты от отдельных классов угроз.
Пример. КС снабжается антивирусным пакетом, системами шифрования файлов и регистрации действий пользователей и пр. Недостаток: внедряемые пакеты могут конфликтовать, т. к. произведены разными фирмами. При отключении компонентов защиты остальные продолжают работать, но надежность снижается.
комплексный подход - введение функций защиты в КС при проектировании архитектуры аппаратного и системного ПО. Возможно появления новых классов угроз, поэтому нужно предусмотреть замену модулей, отвечающие за безопасность.

Слайд 47Противодействия нарушению конфиденциальности информации
Надежная защита КС невозможна без постоянного административного контроля работы

КС:
контроль корректности функционирования КС и ее защиты;
регулярный просмотр журналов регистрации событий;
организация и поддержание адекватной политики безопасности;
инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д.;
регулярное создание и обновление резервных копий программ и данных;
контроль изменений конфигурационных данных и политики безопасности отдельных пользователей, чтобы вовремя выявить взлом защиты КС.

Слайд 48Методы разграничения доступа
При организации доступа субъектов к объектам выполняются действия:
идентификация и

аутентификация субъекта доступа;
проверка прав доступа субъекта к объекту;
ведение журнала учета действий субъекта.
При входе в КС, субъект должен быть идентифицирован и аутентифицирован. Эти операции обычно выполняются вместе: пользователь сначала сообщает сведения, которые выделяют его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает.

Слайд 49Методы разграничения доступа
Данные, идентифицирующие пользователя, не засекречены, но хранят их в

файле, доступном только администратору. Для аутентификации субъекта чаще используются атрибутивные идентификаторы, которые делятся на категории:
пароли;
съемные носители информации;
электронные жетоны;
пластиковые карты;
механические ключи.

Слайд 50Методы разграничения доступа
Пароль - комбинация символов, известная только владельцу пароля или,

возможно, администратору системы безопасности.
Пароль вводится со штатной клавиатуры после включения питания, но возможен ввод с пульта управления или специального устройства.
Для парольной защиты нужно выполнять рекомендации:
1. Пароль необходимо запоминать, а не записывать.
2. Длина пароля должна быть не менее девяти символов.
3. Пароли должны периодически меняться.


Слайд 51Методы разграничения доступа
В КС фиксируется время успешного получения доступа. Неверный ввод

пароля должен статистически обрабатываться и сообщаться администратору.
Пароли хранятся в КС и доступ к ним должен быть затруднен, что достигается способами:
Пароли хранятся в специальном ЗУ, запись в которое осуществляется в специальном режиме;
Пароли шифруются - криптографическое преобразование.
6. При вводе пароля не выдавать сведений на экран, чтобы затруднить подсчет введенных символов.



Слайд 52Методы разграничения доступа
Не использовать в качестве паролей имена, фамилии, дни рождения

и географические или иные названия. Рекомендуется при вводе пароля менять регистры, использовать специальные символы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.
Аппаратура КС поддерживает ввод пароля до начала загрузки ОС. Пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки любых программных средств. Такой пароль эффективное средство, если злоумышленник не имеет доступа к аппаратуре КС, т.к. отключение внутреннего питания сбрасывает этот пароль.

Слайд 53Методы разграничения доступа
Съемный носитель, содержащий идентификационную информацию — имя пользователя и

его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.
Для идентификации и аутентификации часто используется стандартный гибкий диск или флэш-память. Достоинства - не требуется дополнительных аппаратных средств, кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.

Слайд 54Методы разграничения доступа
Специальные переносные электронные устройства, подключаемые к стандартным входам КС:
электронный

жетон-генератор — прибор, вырабатывающий псевдослучайную символьную последовательность, меняющуюся примерно раз в минуту синхронно со сменой такого же слова в КС. Для однократного входа в систему.
жетон, имеющий клавиатуру и монитор. При идентификации КС выдает символьную последовательность (случайную), которая набирается на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль. Недостаток - возможность потери или хищения.

Слайд 55Методы разграничения доступа
Биометрический - использует стабильные биометрические показатели пользователя (отпечатки пальцев,

рисунок хрусталика глаза, ритм работы на клавиатуре и др.). Для снятия отпечатков пальцев или рисунка хрусталика требуется оборудование, устанавливаемое на КС высших уровней защиты.

Слайд 56Модели разграничения доступа
Дискреционная модель (избирательное разграничение доступа), характеризуется набором правил:
для

любого объекта существует владелец;
владелец может произвольно ограничивать доступ субъектов к данному объекту;
для каждой тройки субъект-объект-метод доступ определен однозначно;
существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Определяет права доступа - матрица, где строки - субъекты, а столбцы — объекты. В каждой ячейке - набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для ОС - десятки мегабайт.

Слайд 57Модели разграничения доступа
Полномочная (мандатная) модель характеризуется:
• каждый объект имеет гриф

секретности. Чем выше его числовое значение, тем секретнее объект;
• каждый субъект доступа имеет уровень допуска.
Допуск субъекта к объекту разрешен только тогда, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта.
Достоинство: нет необходимости хранить большие объемы информации о разграничении доступа. Каждый субъект хранит только значение своего уровня доступа, а каждый объект — значение своего грифа секретности.
Пример. Windows XP, поддерживает обе модели разграничения доступа.

Слайд 58Методы ограничения доступа
Каждый объект КС имеет некоторые операции, которые над ним

может производить субъект доступа, и которые могут быть разрешены или запрещены данному субъекту или множеству субъектов.
Возможность доступа выясняется на уровне ОС КС и определяется архитектурой ОС и политикой безопасности.
Для описания методов и средств разграничения доступа субъектов к объектам введем понятия:
Метод доступа к объекту — операция, определенная для данного объекта. Ограничение доступа к объекту связано именно с ограничением возможных методов доступа

Слайд 59Методы ограничения доступа
Владелец объекта — субъект, которому принадлежит (создан им) объект

и который несет ответственность за конфиденциальность содержащейся в нем информации, а также за доступ к объекту.
Право доступа к объекту — право на доступ к объекту по одному или группе методов доступа.
Разграничение доступа — совокупность правил, определяющая для каждой тройки субъект—объект—метод наличие или отсутствие права доступа по указанному методу.

Слайд 60Методы мониторинга несанкционированных действий
Политика безопасности предполагает контроль за работой КС и

ее компонентов, он заключается в фиксировании и анализе событий в специальных журналах - журналах аудита.
Периодически журнал просматривается администратором ОС или специальным пользователем – аудитором. Если обнаружится успешная атака, то выясняется, когда и как она была проведена.
К подсистеме аудита предъявляются требования:
Только сама КС может добавлять записи в журнал аудита.
Ни один субъект доступа, в том числе и сама КС, не может редактировать или удалять записи в журнале.
Журнал просматривается только аудиторами, имеющие соответствующую привилегию.

Слайд 61Методы мониторинга несанкционированных действий
Только аудиторы очищают журнал. При этом обязательно вносится

запись о времени и имени пользователя, очистившего журнал. Должна поддерживаться страховая копия журнала, создаваемая перед очисткой. При переполнении журнала ОС прекращает работу и дальнейшая работа до очистки журнала выполняется только аудитором.
Для ограничения доступа применяются средства защиты, предотвращающие доступ администратора и его привилегии по изменению содержимого любого файла. Страховую копию сохранять на CD, исключающих изменение данных.
Для надежной защиты ОС регистрируются события:
попытки входа/выхода пользователей из системы;
попытки изменения списка пользователей;
попытки изменения политики безопасности, в том числе и политики аудита

Слайд 62Криптографические методы
Наиболее эффективные средства защиты информации в КС, а при передаче

по протяженным линиям связи являются единственным реальным средством предотвращения НСД.
Метод шифрования характеризуется показателями:
надежность криптографического закрытия информации, его определяет стойкость - минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Т. е. стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.
трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

Слайд 63Требования к криптографическому закрытию информации
Требования к криптографическому закрытию информации:
Сложность и

стойкость закрытия данных должны выбираться в зависимости от объема и степени секретности.
Надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в случае, когда злоумышленнику становится известен метод шифрования.
Метод закрытия, набор используемых ключей и механизм их распределения не должны быть слишком сложными.
Выполнение процедур прямого и обратного преобразований должно быть формальным. Они не должны зависеть от длины сообщений.
Ошибки, возникающие при преобразования, не должны распространяться по всему тексту.
Вносимая процедурами защиты избыточность должна быть минимальной.

Слайд 64Шифрование заменой (подстановка)
Символы шифруемого текста заменяются другими символами, взятыми из одного (моноалфавитная

подстановка) или нескольких алфавитов (полиалфавитная).
Простейший метод - прямая замена символов шифруемого сообщения другими буквами того же или другого алфавита.

Шифр имеет низкую стойкость. Зашифрованный текст имеет статистические характеристики исходного.


Слайд 65Шифрование заменой (подстановка)
Используя частотный словарь появления символов языка, на котором написано сообщение,

и подбирая по частотам появления символы в зашифрованном сообщении, можно восстановить таблицу замены. Требуется лишь достаточно длинный зашифрованный текст, чтобы получить достоверные оценки частот появления символов. Простую замену используют, когда шифруемое сообщение достаточно коротко.
Полиалфавитные подстановки повышает стойкость шифра. Для замены символов используются несколько алфавитов, смена алфавитов проводится последовательно и циклически: 1-ый символ заменяется соответствующим символом 1-го алфавита, 2-ой - из 2-го алфавита и т.д., пока не будут исчерпаны все алфавиты. Затем алфавиты повторяются.

Слайд 66Методы шифрования, использующие ключи
Предполагают знание ключа при шифровании и дешифровании. Главное

- безопасная передача ключа, который обычно тоже шифруется. Учитывая короткую длину фразы, содержащей ключ, стойкость шифра ключа значительно выше, чем у основного текста.
Системы с открытым ключом. Наиболее перспективные. Для шифрования нужен один ключ, а для дешифрования — другой. 1-ый ключ НЕ секретный, можно опубликовать для всех пользователей системы, которые шифруют данные. Для дешифроки получатель использует 2-ой ключ, СЕКРЕТНЫЙ. Ключ дешифрования не может определяться из ключа шифрования.

Слайд 67Методы шифрования, использующие ключи
Наиболее развитый метод защиты с открытым ключом -

алгоритм RSA.
Методы, использующие для шифрования и дешифрования один и тот же ключ, называются симметричными.
Методы с открытым ключом называются асимметричными методами.


Слайд 68Использование хэш-функций
Функции хэширования используются для шифрования паролей пользователей КС и при

создании электронной подписи. Они отображают сообщение любой длины в строку фиксированного размера. Особенность - не существует функции, которая по сжатому отображению восстановила бы исходное сообщение, — это односторонняя хэш-функция.
Получив файл, с паролями, преобразованные хэш-функцией, злоумышленник не может получить по ним пароли, а должен перебирать парольные комбинации символов, применять к ним хэш-функцию и проверять на соответствие полученной строки и строки из файла хэшированных паролей. Неизвестна и длина пароля, по которому хэш-функцией получено отображение.


Слайд 69Электронная цифровая подпись
При обмене электронными документами важным является установление авторства, подлинности

и целостности информации в полученном документе. Эти задачи решает цифровая подпись, сопровождающая электронный документ. Функционально она аналогична обычной рукописной подписи и обладает ее основными достоинствами:
удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
не дает лицу, подписавшему текст, отказаться от обязательств, связанных с подписанным текстом;
гарантирует целостность подписанного текста.


Слайд 70Электронная цифровая подпись
Электронная цифровая подпись - небольшое количество дополнительной информации, передаваемой

с документом. Обычно цифровая подпись шифруется с применением методов открытого ключа и связывает содержимое документа, самой подписи и пары ключей. Изменение хотя бы одного из этих элементов делает невозможным подтверждение подлинности цифровой подписи.
На этапе формирования цифровой подписи генерируются два ключа: секретный и открытый. Открытый ключ рассылается всем абонентам, которым направляется документ. Подпись, добавляемая к документу, содержит параметры отправителя: дату подписи, информацию об отправителе письма и имя открытого ключа.

Слайд 71Электронная цифровая подпись
С помощью хэш-функции, примененной ко всему документу, вычисляется небольшое

число, характеризующее весь текст в целом. Это число шифруется закрытым ключом и является электронной цифровой подписью. Получателю пересылается сам документ в открытом виде и электронная подпись.
При проверке цифровая подпись расшифровывается открытым ключом, известным получателю. К полученному открытому документу применяется преобразование хэш-функцией. Результат ее работы сравнивается с присланной электронной подписью. Если оба числа совпадают, то полученный документ — подлинный.

Слайд 72Электронная цифровая подпись
Очевидно, что любое несанкционированное действие по внесению изменений в

документ приведет к изменению значения, вычисляемого хэш-функцией по открытому документу, но подменить зашифрованную секретным ключом электронную подпись злоумышленнику будет очень трудно.


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика