Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Управление доступом в компьютерных системах. Система безопасности сетевых операционных систем

Содержание

План:9.1. Система безопасности СОС семейства Windows 9.1.1. Подсистема шифрования Windows Server 20xx 9.1.2. Аутентификация Windows Server 20xx 9.1.3. Сертификация Windows Server 20xx9.2. Система безопасности СОС семейства *nix 9.2.1. Ключевые аспекты безопасности 9.2.2. Слабые места и проблемы защиты 9.2.3. Средства безопасности 9.3. Система
МДК.02.01. Раздел 2. Управление доступом в компьютерных системах$9. Система безопасности сетевых операционных систем План:9.1. Система безопасности СОС семейства Windows	9.1.1. Подсистема шифрования Windows Server 20xx	9.1.2. Аутентификация 9.1.1. Подсистема шифрования Windows ServerПреимущества использования ассиметричного шифрования:1. Независимым разработчикам ПО - Схема поддержки ассиметричного шифрования1 - Библиотека Crypto API – является основой архитектуры Модель распределенной безопасности1. Прямой доверенный путь между рабочими станциями, сервером и контроллером 9.1.2. Аутентификация Windows Server Протокол Kerberos (RFS IS10) – позволяет выполнять одну Области применения протокола Kerberos:Аутентификация в Active DirectoryПри организации удаленного доступаЗащищенное обновление адресов Безопасность IP. Протокол IPSec (IPSecurity)ПБ IP гарантирует защиту трафика от: НСД; перехвата, Возможности системы при использовании IPSec (IPSecurity)Выбор протокола защитыРешить какой алгоритм использовать для Сертификаты с открытым ключом – средство идентификации пользователей в незащищенных сетях и 9.1.3. Сертификация Windows Server Виды центров сертификацииЦС предприятия – требует наличия Active 9.2.1. Ключевые аспекты безопасностиПроблемы модели безопасности Linux:- Ориентация на удобство применения, но Фильтрация пакетов (брандмауэр или утилита iptables)Ненужные службы (файлы /etc/inetd.conf или /etc/xinetd.d для 9.2.2. Слабые места и проблемы защиты1. Плохое управление паролями файлы /etc/passwd и 3. Скрытые пароли файла /etc/passwd – открыт для чтения, имеет 7 полей, 9.2.3. Средства безопасности1. Система Syslog – запись журнальной информации о процессах ядра Инструментальные средства защиты1. Команда nmap - сканер сетевых протоколов (способна проверять «по-хакерски» 9. Программа COPS – система проверки компьютеров и паролей, содержит утилиты, осуществляющие 13. Пакет SSH – использует криптографическую аутентификацию для подтверждения личности и шифрует 9.3. Безопсность мобильных ОССостояние на 2011 год.• Android • Apple iPhoneOS• Maemo/MeeGo• Угрозы и атаки на смартфонахМодель угрозы ИБ на смартфоне: злоумышленник публикует вредоносную Угрозы и атаки на смартфонахПоследствияУхудшение обслуживанияУгроза ресурсам (перепрограммирование флэшпамяти, выяснение содержимого карты 9.4.1. Знакомство с SQL Server 9.4.2. Типы безопасности SQL ServerСредства безопасности включают в себя мониторинг и управление Типы безопасности:1. Стандартная: SQL Server полностью отвечает за установку и поддержку бюджетов Уровни бюджетов пользователя в SQL Server.1 уровень: идентификатор пользователя или вход в 9.4.3. Роли и права доступаВарианты подключения к серверу:Use Windows authentication – подключение Операции управления пользователями Стандартные роли сервераСтандартные роли базы данных Роль Public – роль на уровне БД (приписаны все пользователи зарегистрированные в Права доступа – права, дающие возможность доступа к объекту: выборка данных, добавление Представления – ограничивают данные доступные пользователям.Хранимые процедуры – используются для обеспечения уровня 9.4.4. Дополнительные меры безопасности1. Определение работника ответственного за безопасность2. Организация физической безопасности3.
Слайды презентации

Слайд 2 План:
9.1. Система безопасности СОС семейства Windows
9.1.1. Подсистема шифрования

План:9.1. Система безопасности СОС семейства Windows	9.1.1. Подсистема шифрования Windows Server 20xx	9.1.2.

Windows Server 20xx
9.1.2. Аутентификация Windows Server 20xx
9.1.3. Сертификация Windows

Server 20xx

9.2. Система безопасности СОС семейства *nix
9.2.1. Ключевые аспекты безопасности
9.2.2. Слабые места и проблемы защиты
9.2.3. Средства безопасности

9.3. Система безопасности мобильных ОС - доклады

9.4. Система безопасности SQL Server
9.4.1. Знакомство с SQL Server
9.4.2. Типы безопасности SQL Server
9.4.3. Роли и права доступа
9.4.4. Дополнительные меры безопасности

Слайд 3 9.1.1. Подсистема шифрования Windows Server
Преимущества использования ассиметричного шифрования:
1.

9.1.1. Подсистема шифрования Windows ServerПреимущества использования ассиметричного шифрования:1. Независимым разработчикам ПО

Независимым разработчикам ПО - возможность применять технологию общего ключа
2.

Предприятиям – возможность создания и поддержки эффективной защищенной вычислительной среды

Microsoft Certificate Services – служба сертификатов.
Позволяет создавать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов, интегрированы в Active Directory.

Схема поддержки ассиметричного шифрования


Слайд 4 Схема поддержки ассиметричного шифрования

1 - Библиотека Crypto API

Схема поддержки ассиметричного шифрования1 - Библиотека Crypto API – является основой

– является основой архитектуры поддержки прикладных программ шифрования информации

с открытым ключом, которая позволяет работать со всеми устанавливаемыми поставщиками услуг шифрования (Cryptographic Service Providers, CSP) – 2, реализуемые программно или аппаратно.
Услугами служб шифрования пользуются службы управления сертификатами – 3.
4 – защищенный канал поддерживает сетевую аутентификацию и шифрование в соответствии со стандартами TLS и SSL.
Служба – 5 - предназначена для проверки и подписи объектов и используется при получении информации через Интернет



Слайд 5 Модель распределенной безопасности

1. Прямой доверенный путь между рабочими

Модель распределенной безопасности1. Прямой доверенный путь между рабочими станциями, сервером и

станциями, сервером и контроллером домена, устанавливается службой Net Logon.
Имеется

возможность установки защищенного канала с другими доменами

2. Перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют описание безопасности этого клиента
3. Ядро Windows поддерживает объектно – ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа. Ядро проверяет разрешения при каждой попытке доступа к объекту.


Слайд 6 9.1.2. Аутентификация Windows Server
Протокол Kerberos (RFS IS10)

9.1.2. Аутентификация Windows Server Протокол Kerberos (RFS IS10) – позволяет выполнять

– позволяет выполнять одну регистрацию в системе при организации

доступа ко всем ресурсам сети и обеспечивает:
взаимную аутентификацию
ускоренную аутентификацию
транзитное доверие на аутентификацию.

Протокол Kerberos реализован в виде поставщика безопасности, доступ к которому осуществляется с применением интерфейса поддержки поставщика безопасности SSPI (Security Support Provider Interface)

Центр распределения ключей Kerberos (KDC, Kerberos Key Distribution Center) – устанавливается на каждый контроллер домена

Слайд 7 Области применения протокола Kerberos:

Аутентификация в Active Directory
При организации

Области применения протокола Kerberos:Аутентификация в Active DirectoryПри организации удаленного доступаЗащищенное обновление

удаленного доступа
Защищенное обновление адресов DNS
Служба печати
Взаимная аутентификация IPSec

–хостов
Запросы резервирования для службы качества обслуживания
Аутентификация интрасети в IIS (Internet Information Services)
Аутентификация запросов сертификата открытого ключа
Удаленное управление сервером и рабочими станциями


Слайд 8 Безопасность IP. Протокол IPSec (IPSecurity)
ПБ IP гарантирует защиту

Безопасность IP. Протокол IPSec (IPSecurity)ПБ IP гарантирует защиту трафика от: НСД;

трафика от: НСД; перехвата, просмотра и копирования; модификации данных

во время пути по сети
Преимущества безопасности IP:
Централизованное администрирование ПБ
Прозрачность безопасности IP
Гибкость конфигурирования ПБ
Туннелирование
Усиленная служба аутентификации
Поддержка ключей большой длины, динамический повторный обмен ими
Безопасная связь для частных пользователей внутри домена, между доверенными доменами
Взаимодействие с другими платформами и продуктами за счет открытости стандарта IPSec
Установка безопасной связи с компьютерами не являющимися частью домена за счет ассиметричного шифрования
Взаимодействие с другими механизмами защиты
Не мешает другим службам

Слайд 9 Возможности системы при использовании IPSec (IPSecurity)

Выбор протокола защиты
Решить

Возможности системы при использовании IPSec (IPSecurity)Выбор протокола защитыРешить какой алгоритм использовать

какой алгоритм использовать для служб
Устанавливать и поддерживать криптографические ключи

IPSec может защищать пути между компьютерами, между шлюзами, между шлюзами и компьютерами

Слайд 10 Сертификаты с открытым ключом – средство идентификации пользователей

Сертификаты с открытым ключом – средство идентификации пользователей в незащищенных сетях

в незащищенных сетях и предоставляют информацию, необходимую для проведения

защищенных частных коммуникаций.
Задачи решаемые сертификатами:
Аутентификация
- пользователя для защищенного веб-узла по протоколам TLS, SSL
- сервера по протоколу TLS
- регистрация в домене
Конфиденциальность (с помощью протоколов TLS, SMIME, IP Security)
Шифрование
Цифровые подписи

Слайд 11 9.1.3. Сертификация Windows Server
Виды центров сертификации

ЦС предприятия

9.1.3. Сертификация Windows Server Виды центров сертификацииЦС предприятия – требует наличия

– требует наличия Active Directory, для проверки идентификационной информации

запрашивающего сертификат, публикует списки отозванных сертификатов в Active Directory.

Изолированный (автономный) ЦС – не зависит от Active Directory. Запрос сертификата только в веб-страниц.

Слайд 12 9.2.1. Ключевые аспекты безопасности
Проблемы модели безопасности Linux:
- Ориентация

9.2.1. Ключевые аспекты безопасностиПроблемы модели безопасности Linux:- Ориентация на удобство применения,

на удобство применения, но не предполагает простой защиты
- Всего

2 варианта статуса пользователя (не обладающий привилегиями и суперпользователь)
- Разрабатывается большим сообществом программистов (разная квалификация, отношение к работе и т.д.) – может быть компенсировано открытым исходным кодом.
Слабые места защиты:
Человеческий фактор
Ошибки в программах
Частичная безопасность – по умолчанию (полная Б настраивается)

Слайд 13 Фильтрация пакетов (брандмауэр или утилита iptables)
Ненужные службы (файлы

Фильтрация пакетов (брандмауэр или утилита iptables)Ненужные службы (файлы /etc/inetd.conf или /etc/xinetd.d

/etc/inetd.conf или /etc/xinetd.d для Red Hat)
Программные «заплаты»
Резервные копии
Пароли
Бдительность

(состояние сетевых соединений, таблиц процессов)

Слайд 14 9.2.2. Слабые места и проблемы защиты
1. Плохое управление

9.2.2. Слабые места и проблемы защиты1. Плохое управление паролями файлы /etc/passwd

паролями
файлы /etc/passwd и /etc/shadow - содержат данные

об учетных записях пользователей и их правах).
доступ к /etc/passwd /etc/group – читают все, запись root; /etc/shadow – недоступен рядовым пользователям.

2. Модули PAM – подключаемые модули аутентификации (программы аутентификации отдает аутентификацию модулю, которые можно добавлять, удалять и перенастраивать в любое время)
Настройка через каталог /etc/pam.d:
тип_модуля: auth (право группового доступа), account (действия не связанные с аутентификацией), session (действия после доступа к службе), password (ввод пароля)
управляющий_флаг: required (положительный результат), requisite, sufficient, optional (результат работы модуля не существенен)
путь_к_модулю:
аргумент:

Слайд 15 3. Скрытые пароли
файла /etc/passwd – открыт для

3. Скрытые пароли файла /etc/passwd – открыт для чтения, имеет 7

чтения, имеет 7 полей, 2-е – зашифрованный пароль пользователя.

/etc/shadow - файл скрытых паролей, доступен только суперпользователю

4. Групповые и совместно используемые учетные записи – не рекомендуется применять
Контроль предоставления прав суперпользователя – утилита sudo.

Слайд 16 9.2.3. Средства безопасности
1. Система Syslog – запись журнальной

9.2.3. Средства безопасности1. Система Syslog – запись журнальной информации о процессах

информации о процессах ядра и польз-их процессах в файл

с его дальнейшей рассылкой
2. Защищенные терминалы (регистрация root только с определенных терминалов)
3. Отключение служб (демонов) rshd и rlogin, читающих файлы .rhosts и hosts.equiv (компьютеры – эквивалентные, что позволяет осуществлять вход и копирование файлов без пароля)
4. Отключение демонов: rexeced – выполняющий удаленное выполнение команд; tftpd – реализующий протокол TFTP; fingerd – выводящий отчет о заданном пользователе.
5. NIS – сетевая информационная служба – система распространения БД, используемая для рассылок файлов /etc/group, /etc/passwd, /etc/hosts, рекомендуется не использовать повседневно
6. Команда showmounte – информация о том, какие файловые системы экспортируются и кому, необходимо задавать список управления доступом для каждой ФС.
7. Программа sendmail - сетевая система, компоненты которой выполняются с правами суперпользователя, наиболее уязвима для злоумышленников, рекомендуется использовать последнюю версию

Слайд 17 Инструментальные средства защиты
1. Команда nmap - сканер сетевых

Инструментальные средства защиты1. Команда nmap - сканер сетевых протоколов (способна проверять

протоколов (способна проверять «по-хакерски» - не устанавливая реального соединения)
2.

Утилита ncliff – отслеживает изменения в состоянии портов и известных узлов
3. SAINT – интегрированный пакет для безопасного администрирования сети, ищет наиболее распространенные случаи неправильного конфигурирования и проверяет наличие известных ошибок.
4. Nessus – сетевой сканер, ничему не доверяющий
5. Утилита crack – поиск ненадежных паролей
6. Программа tcpd – защита Интернет служб
7. Утилита tripwire – контролирует права доступа и контрольные суммы важных системных файлов, обнаруживая замененные, поврежденные или подделанные файлы.
8. TCT – набор утилит, помогающих анализировать систему после проникновения нарушителя

Слайд 18 9. Программа COPS – система проверки компьютеров и

9. Программа COPS – система проверки компьютеров и паролей, содержит утилиты,

паролей, содержит утилиты, осуществляющие мониторинг компонентов подсистемы защиты
Компоненты проверки:
Права

доступа к файлам, каталогам и устройствам;
Содержимое файлов /etc/group, /etc/passwd
Содержимое сценариев запуска системы
Возможность записи в начальные каталоги
10. Kerberos – система аутентификации
11. PGP – криптографические утилиты, ориентированные на обеспечение безопасности электронной почты
12. OPIE – универсальные одноразовые пароли

Слайд 19 13. Пакет SSH – использует криптографическую аутентификацию для

13. Пакет SSH – использует криптографическую аутентификацию для подтверждения личности и

подтверждения личности и шифрует любые соединения
Содержит:
Демон sshd –

аутентификация пользователей 3 способами:
- Метод А. Автоматический доступ без проверки пароля если имя удаленного компьютера с которого регистрируется пользователь указано в файлах -/.rhosts, -/.shosts, /etc/hosts.equiv или /etc/shosts.equiv
- Метод Б. в дополнение к методу А применяется шифрование с открытым ключом для проверки адреса удаленного компьютера
- Метод В. Шифрование для идентификации самого пользователя
- Метод Г. Простой ввод регистрационного пароля (наиболее удобен для повседневного использования)

Слайд 20 9.3. Безопсность мобильных ОС
Состояние на 2011 год.
• Android

9.3. Безопсность мобильных ОССостояние на 2011 год.• Android • Apple iPhoneOS•


• Apple iPhoneOS
• Maemo/MeeGo
• Microsoft Windows Mobile
• Palm webOS

RIM BlackBerry OS
• Samsung Bada OS
• Symbian OS

Слайд 21 Угрозы и атаки на смартфонах
Модель угрозы ИБ на

Угрозы и атаки на смартфонахМодель угрозы ИБ на смартфоне: злоумышленник публикует

смартфоне:
злоумышленник публикует вредоносную программу под видом легитиной в

магазине приложений или на каком-либо сайте.
пользователь загружает вирус на свой смартфон, который может содержать большой объем уязвимых данных.
вирус пытается взять под свой контроль ресурсы смартфона, собирает данные, переадресовывает аппарат на вредоносные сайты или пользуется платными сервисами без ведома абонента.

Данная модель угроз заставляет рассматривать смартфон с трех точек зрения (уровней):
уровень приложений: все приложения смартфона — на­при­мер, клиенты социальных сетей, а также ПО для работы с электронной почтой, обмена SMS и средства синхрониза­ции данных;
коммуникационный уровень: сеть мобильной связи, Wi-Fi, Bluetooth, порты Micro USB и слоты MicroSD; вредоносные программы могут распространяться по любому из этих каналов;
уровень ресурсов: флэш-память, камера, микрофон и датчики смартфона; поскольку смартфоны могут содержать уязвимые данные, вирус пытается взять под контроль его ресурсы и манипулировать поступающими от них данными.

Слайд 22 Угрозы и атаки на смартфонах
Последствия
Ухудшение обслуживания
Угроза ресурсам (перепрограммирование

Угрозы и атаки на смартфонахПоследствияУхудшение обслуживанияУгроза ресурсам (перепрограммирование флэшпамяти, выяснение содержимого

флэшпамяти, выяснение содержимого карты памяти MicroSD, раскрыть местонахождение пользователя

по GPS, включение камеры или микрофон аппарата когда передается информация со смартфона на компьютер по сети Wi-Fi или Bluetooth.
Вирус с полным контролем над смартфоном, - эффективное устройство для шпионажа.
Вредоносные программы
Вирусы (игры, заплаты безопасности или другое ПО).
Трояны (запись разговоров или перехват мгновенных сообщений, регистрация местонахождение с помощью GPS или передают посторонним детализацию вызовов и другие приватные сведения)
SMS-трояны (в фоновом режиме и отправляют SMS-сообщения на платные номера)
Шпионские программы собирают информацию о пользователях без их ведома.

Слайд 23 9.4.1. Знакомство с SQL Server

9.4.1. Знакомство с SQL Server

Слайд 24 9.4.2. Типы безопасности SQL Server
Средства безопасности включают в

9.4.2. Типы безопасности SQL ServerСредства безопасности включают в себя мониторинг и

себя мониторинг и управление корпоративными БД в соответствии с

указаниями менеджеров компании.

Стратегия безопасности разрабатывается для ограничения наборов данных, доступных работникам для просмотра, и времени доступа к информации.

Модель безопасности SQL Server.
1 уровень: вход в систему и разграничение прав доступа пользователя
2 уровень: представления и хранимые процедуры
3 уровень: внешняя безопасность

Слайд 25 Типы безопасности:
1. Стандартная: SQL Server полностью отвечает за

Типы безопасности:1. Стандартная: SQL Server полностью отвечает за установку и поддержку

установку и поддержку бюджетов пользователей и серверов, выполняет аутентификацию

пользователя и наложение ограничений, связанных с паролем и входом в систему.
Применяется, когда компьютер Windows Server не используется для выполнения функций файлового сервера и в случае, когда подключение к серверу производится с помощью нескольких различных протоколов.
2. Интегрированная: за управление доступом пользователей отвечает операционная система Windows с помощью списка контроля доступа (Access Control List,ACL), что обеспечивает доступ с единым паролем ко всем ресурсам домена Windows. При присоединении к SQL Server решение о предоставлении доступа принимается на основании, атрибутов бюджета пользователя в системе Windows.
3. Смешанная: SQL проверяет установил ли пользователь доверительное соединение с Windows, если соединение не найдено, то SQL исполняет собственную проверку.

Слайд 26 Уровни бюджетов пользователя в SQL Server.
1 уровень: идентификатор

Уровни бюджетов пользователя в SQL Server.1 уровень: идентификатор пользователя или вход

пользователя или вход в систему
2 уровень: пользователь БД


SYSUSERS таблица

для хранения объекты-пользователи (для каждой БД)

Стандартные идентификаторы:

SA приписан к роли sysadmin – абсолютные права
Administrators – доступ к серверам членам административной группы Windows

Слайд 27 9.4.3. Роли и права доступа
Варианты подключения к серверу:

Use

9.4.3. Роли и права доступаВарианты подключения к серверу:Use Windows authentication –

Windows authentication – подключение под именем пользователя Windows
Use SQL

authentication – подключение под именем SQL Server

Роль – именованный набор прав в рамках сервера или конкретной БД.
Для конкретной БД – неограниченное число ролей.
Для каждой БД роль создается заново.
Модель БД (Model database).


Слайд 28 Операции управления пользователями

Операции управления пользователями

Слайд 29 Стандартные роли сервера
Стандартные роли базы данных

Стандартные роли сервераСтандартные роли базы данных

Слайд 30 Роль Public – роль на уровне БД (приписаны

Роль Public – роль на уровне БД (приписаны все пользователи зарегистрированные

все пользователи зарегистрированные в БД, автоматически попадают все пользователи

и группы Windows)
Удалить роль нельзя.
Имеет минимальный набор прав: просмотр содержимого таблиц, выполнение ограниченного числа хранимых процедур для получения информации из БД master и пользовательских БД.

Роль для приложения – исключает неавторизованный доступ к данным вне рамок приложения.
Особенности:
Для нее не определены члены, запускается только из приложения и дает набор прав только на время работы приложения
Для активизации роль приложение должно передать серверу пароль
До выхода из приложения пользователь имеет только права данной роли

Слайд 31 Права доступа – права, дающие возможность доступа к

Права доступа – права, дающие возможность доступа к объекту: выборка данных,

объекту: выборка данных, добавление новых строк, обновление данных и

т.д.

Владелец объекта может самостоятельно принимать решение о предоставлении прав доступа конкретным пользователям

Типы прав доступа:
Право на выполнение инструкций SQL (statement permission) – набор прав на выполнение выражений
Право на работу с объектами (object permission) – определяет набор прав пользователя при работе с данными или выполнении хранимых процедур
Предопределенные права (predefined permission) – определяют набор действий для пользователей включенных в определенные стандартные роли или владельцам объектов БД

Слайд 32 Представления – ограничивают данные доступные пользователям.

Хранимые процедуры –

Представления – ограничивают данные доступные пользователям.Хранимые процедуры – используются для обеспечения

используются для обеспечения уровня безопасности, полностью скрывающего информацию, доступную

пользователю или деловым процессам, происходящим при манипулировании данными.



  • Имя файла: upravlenie-dostupom-v-kompyuternyh-sistemah-sistema-bezopasnosti-setevyh-operatsionnyh-sistem.pptx
  • Количество просмотров: 133
  • Количество скачиваний: 0