КОНЬЯКОВ.ру

Разработка и поддержка веб-сайтов на 1C-Bitrix. E-commerce компетенции. Опыт с 2007 года.

Category: Полезные заметки(Страница 3 из 15)

83 Определить минимальное количество ключей, необходимое для обеспечения безопасной связи при ассиметричной системе шифрования и связи «каждый с каждым»

Скачать ZIP архив | Скачать RAR архив

1 В ассиметричных криптосистемах решена сложная проблема распределения ключей между пользователямИ, т.к. каждй пользователь может сгенерировать свою пару ключей сам, а открытые ключи пользователей могут свободно публиковаться и распростратяться по сетевым коммуникациям 2 Исчезает квадратичная зависимость числа ключей от числа пользователей. В системе из N пользователей используется 2N ключей.

Не зависит от топологии сети!

При N = 7; 2N = 2 * 7 = 14 (в независимости от топологии)

78 Оценка эффективности системы защиты информации

Скачать ZIP архив | Скачать RAR архив

Анализ существующих подходов. При оценке эффективности СКЗИ важнейшим критерием считается криптостойсость, т.к. способность противостоять атакам криптоаналитика. Требования к криптосистемам:

  • минимальный объем используемой ключевой информации
  • минимальная сложность реализации
  • стоимость
  • высокое быстродействие

Эффективность криптографических средств защиты предлагается оценивать с использованием математического аппарата теории массового обслуживания и теории катастроф на основе вероятностно-временной группы показателей:

  • среднее время безопасного функционирования защищаемой системы
  • время безопасного функционирования защищаемой системы с вероятностью НСД не выше заданной
  • экономическая эффективность созданной системы защиты информации

Однако согласно фундаментальному допущению Кирхгоффа стойкость криптосистемы должна основываться не на секретности алгоритмов шифрования и дешифрования, а на секретности некоторого значения, которое называется ее ключом.

Три основных класса методов анализа криптопротоколов:

  • дедуктивные методы, основанные на автоматическом доказательстве теорем, связанных со свойствами исследуемого криптопротокола
  • методы анализа состояний, моделирующие криптопротокол в виде конечного автомата
  • методы статического анализа, объектом исследования в которых являются потоки данных и управления.

77 Реализация комплекса мероприятий по созданию механизмов защиты информации

Скачать ZIP архив | Скачать RAR архив

Цель мероприятий в области ИБ — защитить интересы субьектов информ.отношний.

3 основных аспекта ИБ (КЦД):

  • Конфиденциальность
  • Целостность
  • Доступность

Успех в области ИБ может принести только комплексный подход:

  • законодательный (правовые акты, стандарты, руководства)
  • административный
  • процедурный
  • программно-технический

Законодательный, административный, процедурный: Оранжевая книга, рекомендации Х.800, Критерии Оценки Безопасности ИТ, ISO 15408 «Общие критерии». Политика безопасности отражающая подход организации к защите своих информ.активов. Разработка политики и программы безопасности начинается с анализа рисков, — ознакомление с наиболее распространенными угрозами. Главные угрозы — человеческий фактор. Потом — кражи и подлоги и внешние атаки.

В разработке Политики безопасности помогает британский BS 7799 : 1995, предлагающий типовой каркас.

ИБ во многом зависит от исполнения:

  • поддержка пользователей
  • поддержка ПО
  • конфигурац.управление
  • резервное копирование
  • управление носителями
  • документирование
  • регламентные работы

Заранее продуманная реакция на нарушения режима безопасности

  • локализация инцидента и уменьшение наносимого вреда
  • выявление нарушение (жёсткая кара :) )
  • предупреждение повторных нарушений

Программно технические меры

  • превентивные, препятствие нарушениям ИБ

  • меры обнаружения нарушений

  • локализующие, сужающие зону воздействия нарушений

  • меры по выявлению нарушителя

  • меры восстановления режима безопасности

  • неприрывность защиты

  • следование стандартам

  • использование апробированных решений

  • минимизация привелегий

  • разделение обязанностей

  • эшелонированность обороны

  • разнообразие защитных средств

Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом.

76 Сервер аутентификации Kerberos

Скачать ZIP архив | Скачать RAR архив

Kerberos — является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.

Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:

  • сервер аутентификации (AS)
  • сервер выдачи разрешений (tgs).

Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.

Kerberos в windows: 1 ключ пользователя генерируется на базе его пароля 2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.

Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.

3 метода аутентификации: 1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ. 2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль. 3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы

Нередко комбинирование методов. Двухфакторная аутентификация.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Парольные системы аутентификации: 1 задание минимальной длины 2 установка требования использования различных букв и цифр 3 периодическая проверка админом на стойкость 4 установка макс и мин сроков жизни пароля 5 ограничение числа неудачных попыток ввода пароля 6 ведение журнала истории паролей

  • является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.

Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:

  • сервер аутентификации (AS)
  • сервер выдачи разрешений (tgs).

Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.

Kerberos в windows: 1 ключ пользователя генерируется на базе его пароля 2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.

Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.

3 метода аутентификации: 1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ. 2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль. 3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы

Нередко комбинирование методов. Двухфакторная аутентификация.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Парольные системы аутентификации: 1 задание минимальной длины 2 установка требования использования различных букв и цифр 3 периодическая проверка админом на стойкость 4 установка макс и мин сроков жизни пароля 5 ограничение числа неудачных попыток ввода пароля 6 ведение журнала истории паролей

73 Основные типы средств несанкционированного доступа и способы противодействия им

Скачать ZIP архив | Скачать RAR архив

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот кто предпринимает такую попытку, злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационых систем (возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется вомзожность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Угрозы можно классифицировать по нескольким критериям:

  • по аспекту ИБ (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь
  • по компонентам ИС, на которые угрозы налелены (данные, программы, аппаратура, инфраструктура)
  • по способу осуществления (случайные, преднамеренные, действия природного, техногенного характера)
  • по расположению источника угроз (внутри, вне рассматриваемой ИС)

Наиболее распространенные угрозы доступности

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются НЕпреднамеренные ошибки штатных пользователей, операторов, сисадминов, и других сотрудников обслуживающих ИС.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

Угрозы доступности:

  • отказ пользователей
  • внутренний отказ ИС
  • отказ поддерживающей инфраструктуры

Программные атаки на доступность SYN-наводнение Вредоносное ПО (вирусы, черви, трояны)

Угрозы целостности кражи, подлоги ввод неверных данных изменение данных

Основные угрозы конфиденциальности

  • перехват данных
  • кража оборудования
  • злоупотребление полномочиями

ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения» Программный вирус — это исполняемый или интерпретируемый программный код, обладающий свойством несанционированного распространения и самовоспроизвдения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить ПО и/или данные , хранящиеся в автоматизированных системах.

© 2007–2025, konyakov.ru