Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Методология построения систем защиты информации в АС

Содержание

2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.);3) осуществление (организация) считывания в па- мять КС содержимого носителей.Отсюда тактика защиты. Существуют носители (накопители) со встроенными средствами защиты, требующими специальных паролей.Парольные системы для защиты от НСД.Под
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС1.Защита от угрозы нарушения конфиденциальностиЗащита машинных 2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.);3) осуществление (организация) Категории методов защиты от НСД:- организационные ( мероприятия и регламентирую-щие инструкции);- технологические Безопасность (стойкость) системы идентификации и аутентификации это степень обеспечиваемых ею гарантий того, Если в процедуре  аутентификации участвуют только две стороны, то это непосредственная Общие подходы к построению парольных систем.  Наиболее распространенные методы аутентифика-ции основаны Без непосредственной передачи информа-ции о пароле проверяющей стороне (zero- knowledge);С использованием пароля Пароль пользователя – некоторое секретное кол-во информации известное только пользователю и База данных пользователей парольной системы содержит учетные записи всех пользователей данной Основными компонентами парольной системы являются:  - интерфейс пользователя; - интерфейс Поэтому парольная система становиться одним из первых объектов атаки при вторжении злоумышленника Перехват переданной по сети информации о пароле Хранение пароля в доступном месте2. Некоторые из перечисленных типов угроз связанны с наличием так называемого человеческого фактора, Выбор паролей  Для уменьшения влияния человеческого фактора при выборе и использовании - ограничение числа попыток ввода пароля;- поддержка режима принудительной смены пароля пользователя;- Оценка стойкости парольных систем осущест-вляется по формуле: ПРИМЕР:Пусть задано Р = 0.000001. Найти минимальную длину пароля, обеспечивающую его стойкость Хранение паролейВажным аспектом стойкости парольной системы, является способ хранения паролей в базе При выборе алгоритма хеширования необходимо: - гарантировать несовпадение значений сверток, полученных на 2) ключ генерируется программно и хранится на внешнем носителе, с которого считывается Передача пароля по сети. Если передаваемая по сети в процессе аутентифика-ции информация Способы передачи паролей по сети :1) в открытом виде; (TELNET, FTP и .- перехват и повторное использование инфор-мации;- перехват и восстановление паролей;- модификация информации .Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных обменов АВСD Пещера имеет один вход, путь от которого разветвляется в глубине пещеры 3. Проверяющий приходит в точку В и в соот- ветствии со своим Еще один способ повышения стойкости пароль-ных систем в сети - применение одноразовых
Слайды презентации

Слайд 2 2) запуск соответствующего комплекта программ (операционных средств, драйверов

2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.);3) осуществление

и т.п.);
3) осуществление (организация) считывания в па- мять КС

содержимого носителей.
Отсюда тактика защиты. Существуют носители (накопители) со встроенными средствами защиты, требующими специальных паролей.

Парольные системы для защиты от НСД.
Под НСД в руководящих документах понимают до-ступ к информации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств. НСД может быть случайным либо преднамеренным.

Слайд 3 Категории методов защиты от НСД:
- организационные ( мероприятия

Категории методов защиты от НСД:- организационные ( мероприятия и регламентирую-щие инструкции);-

и регламентирую-щие инструкции);
- технологические (программно-аппаратные сред-ства идентификации, аутентификации и

охранной сигнализации);
- правовые (меры контроля за исполнением норма-тивных актов).
Идентификация - присвоение пользователям иден-тификаторов и проверка предъявляемых идентифи-каторов по списку присвоенных.
Аутентификация - проверка принадлежности поль-зователю предъявленного им идентификатора.

Слайд 4 Безопасность (стойкость) системы идентификации и аутентификации это степень

Безопасность (стойкость) системы идентификации и аутентификации это степень обеспечиваемых ею гарантий

обеспечиваемых ею гарантий того, что злоумышленник не способен пройти

аутентификацию от имени другого пользователя.
Методы аутентификации основаны на наличии у каждого пользователя:
- индивидуального объекта заданного типа (про-пуск, магнитная карта и т.п.);
- знаний некоторой информации (пароля), известного только ему и проверяющей стороне;
- индивидуальных биометрических характеристик (тембра голоса, рисунка папилярных линий, структуры радужной оболочки глаза и т.п.).


Слайд 5

Если в процедуре аутентификации участвуют только две

Если в процедуре аутентификации участвуют только две стороны, то это непосредственная

стороны, то это непосредственная
аутентификация (direct password authentication).

Если в

этой процедуре участвует третья доверенная сторона, то ее называют сервером аутентификации, а метод называют с участием доверенной стороны (trusted third party authentication).


Слайд 6 Общие подходы к построению парольных систем.
Наиболее

Общие подходы к построению парольных систем. Наиболее распространенные методы аутентифика-ции основаны

распространенные методы аутентифика-ции основаны на применении многоразовых и одно-разовых

паролей. Из-за своего широкого распро-странения и простоты реализации парольные систе-мы часто становятся мишенью атак злоумышлен-ников. Эти методы включают следующие разно-видности способов аутентификации:
- по хранимой копии пароля или его свёртке (plaintext- equivalent);
- по некоторому проверочному значению (verifier-based) ;

Слайд 7 Без непосредственной передачи информа-ции о пароле проверяющей стороне

Без непосредственной передачи информа-ции о пароле проверяющей стороне (zero- knowledge);С использованием

(zero- knowledge);
С использованием пароля для получения криптографического ключа (cryptographic).

Для более детального рассмотрения принципов построения парольных систем сформулируем несколько основных определений.
Идентификатор пользователя – некоторое уникальное количество информации позволяющее различать индивидуальных пользователей парольной системы( проводить их идентификацию). Часто идентификаторы также наз. именем пользователя или именем учетной записи пользователя .



Слайд 8 Пароль пользователя – некоторое секретное кол-во информации

Пароль пользователя – некоторое секретное кол-во информации известное только пользователю

известное только пользователю и парольной системе, которая может быть

запомнена пользователем и предъявлена для прохождения процедуры
аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.
Учетная запись пользователя – совокупность иго идентификатора и иго пароля.

Слайд 9 База данных пользователей парольной системы содержит учетные

База данных пользователей парольной системы содержит учетные записи всех пользователей

записи всех пользователей данной парольной системы.
Под парольной

системой будем понимать про-граммно-аппаратный комплекс, реализующий си-стемы идентификации и аутентификации пользо-вателей АС на основе одноразовых или многора-зовых паролей. Как правило такой комплекс фун-кционирует совместно с подсистемами разграни-чения доступа и регистрации событий. В отдель-ных случаях парольная система может выполнять ряд дополнительных функций, в частности генерацию и распределение кратковременных (сеансов) криптографических ключей.


Слайд 10 Основными компонентами парольной системы являются:
-

Основными компонентами парольной системы являются: - интерфейс пользователя; - интерфейс

интерфейс пользователя;
- интерфейс администратора;
- модуль сопряжения с

другими подсистемами безопасности;
- база данных учетных записей. Парольная система представляет собой “перед-ний край обороны” всей системы безопасности. Некоторые ее элементы( в частности реализую-щие интерфейс пользователя) могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику.

Слайд 11 Поэтому парольная система становиться одним из первых объектов

Поэтому парольная система становиться одним из первых объектов атаки при вторжении

атаки при вторжении злоумышленника в защищенную систему.
Типы угроз безопасности

парольных систем.
1.Разглашение параметров учетной записи через :
Подбор в интерактивном режиме
Подсматривание
Преднамеренную передачу пароля ее владельцем другому лицу
Захват базы данных парольной системы с дальнейшей дешифрацией

Слайд 12 Перехват переданной по сети информации о пароле
Хранение

Перехват переданной по сети информации о пароле Хранение пароля в доступном

пароля в доступном месте

2. Вмешательство в функционирование компонентов парольной

системы через
Внедрение программных закладок
Обнаружение и использование ошибок, допущенных на стадии разработки
Выведение из строя парольной системы






Слайд 13 Некоторые из перечисленных типов угроз связанны с наличием

Некоторые из перечисленных типов угроз связанны с наличием так называемого человеческого

так называемого человеческого фактора, проявляющегося в том, что пользователь

может:
Выбрать пароль, который легко запомнить и также легко подобрать,
Записать пароль, который сложно запомнить, и положить запись в доступном месте,
Ввести пароль так, что его смогут увидеть посторонние,
Передать пароль другому лицу намеренно или под влиянием заблуждения





Слайд 14 Выбор паролей
Для уменьшения влияния человеческого фактора

Выбор паролей Для уменьшения влияния человеческого фактора при выборе и использовании

при выборе и использовании паролей необходимо выполнить ряд требований:

- установить оптимальную длину пароля;
- использовать в паролях различные группы символов;
- проверка и отбраковка паролей по словарю;
- установить максимальный и минимальный срок действия пароля;
- ведение журнала истории паролей;
- применять алгоритмы, бракующие пароли на основании данных журнала историй;


Слайд 15 - ограничение числа попыток ввода пароля;
- поддержка режима

- ограничение числа попыток ввода пароля;- поддержка режима принудительной смены пароля

принудительной смены пароля пользователя;
- использование вопросо-ответного диалога при вводе

неправильного пароля (для замедления цикла подбора);
- запрет на выбор пароля самим пользователем и автоматическая генерация паролей;
- принудительная смена пароля при первой реги-страции пользователя в системе (для защиты от неправомерных действий системного админи-стратора, имеющего доступ к паролю в момент создания учетной записи).

Слайд 16 Оценка стойкости парольных систем осущест-вляется по формуле:

Оценка стойкости парольных систем осущест-вляется по формуле:    P

P = V*T/S, где


Здесь А - мощность алфавита паролей;
L - длина пароля;
S - мощность пространства паролей;
V - скорость подбора паролей;
T - срок действия пароля;
Р - вероятность подбора пароля в течение
его срока действия.


Слайд 17 ПРИМЕР:
Пусть задано Р = 0.000001. Найти минимальную длину

ПРИМЕР:Пусть задано Р = 0.000001. Найти минимальную длину пароля, обеспечивающую его

пароля, обеспечивающую его стойкость в течение одной недели непрерывных

попыток подобрать пароль. Пусть скорость интерактивного подбора паролей V = 10паролей/мин. Тогда в тече-ние недели можно подобрать:
10*60*24*7=100800 паролей.
Тогда из формулы 1 имеем:
S = 100800/0.000001 = 1.008*Е+11
Полученному значению S соответствуют пары:
А = 26, L = 8 и A = 36, L = 6.

Слайд 18 Хранение паролей
Важным аспектом стойкости парольной системы, является способ

Хранение паролейВажным аспектом стойкости парольной системы, является способ хранения паролей в

хранения паролей в базе данных учетных записей. Варианты хранения

паролей:
1) в открытом виде;
2) в виде сверток (хеширование);
3) зашифрованными в некотором ключе.
Особенности второго и третьего вариантов.
Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником.

Слайд 19 При выборе алгоритма хеширования необходимо: - гарантировать несовпадение

При выборе алгоритма хеширования необходимо: - гарантировать несовпадение значений сверток, полученных

значений сверток, полученных на основе различных паролей поль-зователей;
-

предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые пароли, предусмотрев некоторое количество “случайной” информации.
Варианты шифрования базы данных учетных записей:
1) ключ генерируется программно и хранится в системе, обеспечивая возможность ее автома-тической перезагрузки;

Слайд 20 2) ключ генерируется программно и хранится на внешнем

2) ключ генерируется программно и хранится на внешнем носителе, с которого

носителе, с которого считывается при каждом запуске;
3) ключ генерируется

на основе выбранного администратором пароля, который вводится в систему при каждом запуске.
Наиболее безопасное хранение паролей обеспе-чивается при комбинации второго и третьего способов.
Стойкость парольной системы определяет ее способность противостоять атаке противника, а также зависит от криптографических свойств алгоритма шифрования или хеширования.

Слайд 21 Передача пароля по сети.
Если передаваемая по сети

Передача пароля по сети. Если передаваемая по сети в процессе аутентифика-ции

в процессе аутентифика-ции информация не защищена надлежащим образом, возникает

угроза ее перехвата и использования для нарушения защиты парольной системы.
Многие компьютерные системы позволяют пере-ключать сетевой адаптер в режим прослушивания адресованного другим получателям сетевого трафика.
Основные виды защиты сетевого трафика:
- физическая защита сети;
оконечное шифрование;
шифрование пакетов.

Слайд 22 Способы передачи паролей по сети :
1) в открытом

Способы передачи паролей по сети :1) в открытом виде; (TELNET, FTP

виде; (TELNET, FTP и других)
2) зашифрованными;
3) в виде сверток;
4)

без непосредственной передачи информации о пароле (“доказательство с нулевым разглашением”).
При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы.










Слайд 23 .
- перехват и повторное использование инфор-мации;
- перехват и

.- перехват и повторное использование инфор-мации;- перехват и восстановление паролей;- модификация

восстановление паролей;
- модификация информации с целью введения в заблуждение

проверяющей стороны;
- имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя.
Схемы с нулевым разглашением впервые появи-лись в на рубеже 80-90-х годов. Идея: обеспечить возможность одному из пары субъектов доказать истинность некоторого утверждения второму, умал-чивая при этом о содержании самого утверждения.


Слайд 24 .
Общая схема процедуры аутентификации с нулевым разглашением состоит

.Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных

из последовательности информационных обменов (итераций) между двумя участниками процедуры,

по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного распознавания истинности (или ложности) утверждения.
Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая пещера АЛИ-БАБЫ.


Слайд 25
А

В
С
D


АВСD

Слайд 26 Пещера имеет один вход, путь от которого

Пещера имеет один вход, путь от которого разветвляется в глубине

разветвляется в глубине пещеры на два коридора, сходящихся затем

в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из од- ного коридора в другой в любом направлении. Одна итерация алгоритма состоит из последо- вательности шагов:
1. Проверяющий становится в точку А.
2. Доказывающий проходит пещеру и добира- ется до двери (оказывается в точке С или D). Проверяющий не видит, в какой из двух кори- доров тот свернул.

Слайд 27 3. Проверяющий приходит в точку В и в

3. Проверяющий приходит в точку В и в соот- ветствии со

соот- ветствии со своим выбором просит доказываю- щего выйти

из определенного коридора.
4.Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.
Итерация повторяется столько раз, сколько требу-ется для распознания истинности утверждения «доказывающий владеет ключом от двери» с за-данной вероятностью. После i-той итерации веро-ятность того, что проверяющий попросит доказы-вающего выйти из того же коридора, в который вошел доказывающий, равна (1\2)i .


  • Имя файла: metodologiya-postroeniya-sistem-zashchity-informatsii-v-as.pptx
  • Количество просмотров: 114
  • Количество скачиваний: 0