Презентация на тему: МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы

МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
.
.
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы
1/28
Средняя оценка: 4.8/5 (всего оценок: 89)
Код скопирован в буфер обмена
Скачать (114 Кб)
1

Первый слайд презентации

МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы нарушения конфиденциальности Защита машинных носителей информации (МНИ). Особенности: - последовательный либо прямой метод доступа; - различные физические принципы реализации; - различие объемов хранимой информации; - многообразие вариантов реализации фирмами. Задача злоумышленника: 1) выбор соответствующего данному носителю привода;

Изображение слайда
2

Слайд 2

2) запуск соответствующего комплекта программ (операционных средств, драйверов и т.п.); 3) осуществление (организация) считывания в па- мять КС содержимого носителей. Отсюда тактика защиты. Существуют носители (накопители) со встроенными средствами защиты, требующими специальных паролей. Парольные системы для защиты от НСД. Под НСД в руководящих документах понимают до-ступ к информации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств. НСД может быть случайным либо преднамеренным.

Изображение слайда
3

Слайд 3

Категории методов защиты от НСД: - организационные ( мероприятия и регламентирую-щие инструкции); - технологические (программно-аппаратные сред-ства идентификации, аутентификации и охранной сигнализации); - правовые (меры контроля за исполнением норма-тивных актов). Идентификация - присвоение пользователям иден-тификаторов и проверка предъявляемых идентифи-каторов по списку присвоенных. Аутентификация - проверка принадлежности поль-зователю предъявленного им идентификатора.

Изображение слайда
4

Слайд 4

Безопасность (стойкость) системы идентификации и аутентификации это степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. Методы аутентификации основаны на наличии у каждого пользователя: - индивидуального объекта заданного типа (про-пуск, магнитная карта и т.п.); - знаний некоторой информации (пароля), известного только ему и проверяющей стороне; - индивидуальных биометрических характеристик (тембра голоса, рисунка папилярных линий, структуры радужной оболочки глаза и т.п.).

Изображение слайда
5

Слайд 5

Если в процедуре аутентификации участвуют только две стороны, то это непосредственная аутентификация ( direct password authentication ). Если в этой процедуре участвует третья доверенная сторона, то ее называют сервером аутентификации, а метод называют с участием доверенной стороны ( trusted third party authentication ).

Изображение слайда
6

Слайд 6

Общие подходы к построению парольных систем. Наиболее распространенные методы аутентифика-ции основаны на применении многоразовых и одно-разовых паролей. Из-за своего широкого распро-странения и простоты реализации парольные систе-мы часто становятся мишенью атак злоумышлен-ников. Эти методы включают следующие разно-видности способов аутентификации: - по хранимой копии пароля или его свёртке ( plaintext- equivalent ) ; - по некоторому проверочному значению (verifier-based) ;

Изображение слайда
7

Слайд 7

Без непосредственной передачи информа-ции о пароле проверяющей стороне (zero- knowledge); С использованием пароля для получения криптографического ключа (cryptographic). Для более детального рассмотрения принципов построения парольных систем сформулируем несколько основных определений. Идентификатор пользователя – некоторое уникальное количество информации позволяющее различать индивидуальных пользователей парольной системы( проводить их идентификацию). Часто идентификаторы также наз. именем пользователя или именем учетной записи пользователя.

Изображение слайда
8

Слайд 8

Пароль пользователя – некоторое секретное кол-во информации известное только пользователю и парольной системе, которая может быть запомнена пользователем и предъявлена для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно. Учетная запись пользователя – совокупность иго идентификатора и иго пароля.

Изображение слайда
9

Слайд 9

База данных пользователей парольной системы содержит учетные записи всех пользователей данной парольной системы. Под парольной системой будем понимать про-граммно-аппаратный комплекс, реализующий си-стемы идентификации и аутентификации пользо-вателей АС на основе одноразовых или многора-зовых паролей. Как правило такой комплекс фун-кционирует совместно с подсистемами разграни-чения доступа и регистрации событий. В отдель-ных случаях парольная система может выполнять ряд дополнительных функций, в частности генерацию и распределение кратковременных (сеансов) криптографических ключей.

Изображение слайда
10

Слайд 10

Основными компонентами парольной системы являются : - интерфейс пользователя; - интерфейс администратора; - модуль сопряжения с другими подсистемами безопасности; - база данных учетных записей. Парольная система представляет собой “перед-ний край обороны” всей системы безопасности. Некоторые ее элементы( в частности реализую-щие интерфейс пользователя) могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику.

Изображение слайда
11

Слайд 11

Поэтому парольная система становиться одним из первых объектов атаки при вторжении злоумышленника в защищенную систему. Типы угроз безопасности парольных систем. 1.Разглашение параметров учетной записи через : Подбор в интерактивном режиме Подсматривание Преднамеренную передачу пароля ее владельцем другому лицу Захват базы данных парольной системы с дальнейшей дешифрацией

Изображение слайда
12

Слайд 12

Перехват переданной по сети информации о пароле Хранение пароля в доступном месте 2. Вмешательство в функционирование компонентов парольной системы через Внедрение программных закладок Обнаружение и использование ошибок, допущенных на стадии разработки Выведение из строя парольной системы

Изображение слайда
13

Слайд 13

Некоторые из перечисленных типов угроз связанны с наличием так называемого человеческого фактора, проявляющегося в том, что пользователь может: Выбрать пароль, который легко запомнить и также легко подобрать, Записать пароль, который сложно запомнить, и положить запись в доступном месте, Ввести пароль так, что его смогут увидеть посторонние, Передать пароль другому лицу намеренно или под влиянием заблуждения

Изображение слайда
14

Слайд 14

Выбор паролей Для уменьшения влияния человеческого фактора при выборе и использовании паролей необходимо выполнить ряд требований: - установить оптимальную длину пароля; - использовать в паролях различные группы символов; - проверка и отбраковка паролей по словарю; - установить максимальный и минимальный срок действия пароля; - ведение журнала истории паролей; - применять алгоритмы, бракующие пароли на основании данных журнала историй;

Изображение слайда
15

Слайд 15

- ограничение числа попыток ввода пароля; - поддержка режима принудительной смены пароля пользователя; - использование вопросо-ответного диалога при вводе неправильного пароля (для замедления цикла подбора); - запрет на выбор пароля самим пользователем и автоматическая генерация паролей; - принудительная смена пароля при первой реги-страции пользователя в системе (для защиты от неправомерных действий системного админи-стратора, имеющего доступ к паролю в момент создания учетной записи).

Изображение слайда
16

Слайд 16

Оценка стойкости парольных систем осущест-вляется по формуле: P = V*T/S, где Здесь А - мощность алфавита паролей; L - длина пароля; S - мощность пространства паролей; V - скорость подбора паролей; T - срок действия пароля; Р - вероятность подбора пароля в течение его срока действия.

Изображение слайда
17

Слайд 17

ПРИМЕР: Пусть задано Р = 0.000001. Найти минимальную длину пароля, обеспечивающую его стойкость в течение одной недели непрерывных попыток подобрать пароль. Пусть скорость интерактивного подбора паролей V = 10паролей/мин. Тогда в тече-ние недели можно подобрать: 10*60*24*7=100800 паролей. Тогда из формулы 1 имеем: S = 100800/0.000001 = 1.008*Е+11 Полученному значению S соответствуют пары: А = 26, L = 8 и A = 36, L = 6.

Изображение слайда
18

Слайд 18

Хранение паролей Важным аспектом стойкости парольной системы, является способ хранения паролей в базе данных учетных записей. Варианты хранения паролей : 1) в открытом виде ; 2) в виде сверток (хеширование); 3) зашифрованными в некотором ключе. Особенности второго и третьего вариантов. Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником.

Изображение слайда
19

Слайд 19

При выборе алгоритма хеширования необходимо: - гарантировать несовпадение значений сверток, полученных на основе различных паролей поль-зователей; - предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые пароли, предусмотрев некоторое количество “случайной” информации. Варианты шифрования базы данных учетных записей: 1) ключ генерируется программно и хранится в системе, обеспечивая возможность ее автома - тической перезагрузки;

Изображение слайда
20

Слайд 20

2) ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске; 3) ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске. Наиболее безопасное хранение паролей обеспе-чивается при комбинации второго и третьего способов. Стойкость парольной системы определяет ее способность противостоять атаке противника, а также зависит от криптографических свойств алгоритма шифрования или хеширования.

Изображение слайда
21

Слайд 21

Передача пароля по сети. Если передаваемая по сети в процессе аутентифика-ции информация не защищена надлежащим образом, возникает угроза ее перехвата и использования для нарушения защиты парольной системы. Многие компьютерные системы позволяют пере-ключать сетевой адаптер в режим прослушивания адресованного другим получателям сетевого трафика. Основные виды защиты сетевого трафика: - физическая защита сети; оконечное шифрование; шифрование пакетов.

Изображение слайда
22

Слайд 22

Способы передачи паролей по сети : 1) в открытом виде; ( TELNET, FTP и других) 2) зашифрованными; 3) в виде сверток; 4) без непосредственной передачи информации о пароле (“доказательство с нулевым разглашением”). При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы.

Изображение слайда
23

Слайд 23

- перехват и повторное использование инфор-мации; - перехват и восстановление паролей; - модификация информации с целью введения в заблуждение проверяющей стороны; - имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя. Схемы с нулевым разглашением впервые появи-лись в на рубеже 80-90-х годов. Идея : обеспечить возможность одному из пары субъектов доказать истинность некоторого утверждения второму, умал-чивая при этом о содержании самого утверждения.

Изображение слайда
24

Слайд 24

Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных обменов (итераций) между двумя участниками процедуры, по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного распознавания истинности (или ложности) утверждения. Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая пещера АЛИ-БАБЫ.

Изображение слайда
25

Слайд 25

А В С D

Изображение слайда
26

Слайд 26

Пещера имеет один вход, путь от которого разветвляется в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из од- ного коридора в другой в любом направлении. Одна итерация алгоритма состоит из последо- вательности шагов: 1. Проверяющий становится в точку А. 2. Доказывающий проходит пещеру и добира- ется до двери (оказывается в точке С или D ). Проверяющий не видит, в какой из двух кори- доров тот свернул.

Изображение слайда
27

Слайд 27

3. Проверяющий приходит в точку В и в соот- ветствии со своим выбором просит доказываю- щего выйти из определенного коридора. 4.Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора. Итерация повторяется столько раз, сколько требу-ется для распознания истинности утверждения «доказывающий владеет ключом от двери» с за-данной вероятностью. После i- той итерации веро-ятность того, что проверяющий попросит доказы-вающего выйти из того же коридора, в который вошел доказывающий, равна (1\2) i.

Изображение слайда
28

Последний слайд презентации: МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС 1.Защита от угрозы

Еще один способ повышения стойкости пароль-ных систем в сети - применение одноразовых ( one-time) паролей. Общий подход к их приме-нению основан на последовательном использо-вании хеш-функции для вычисления одноразо-вого пароля на основе предыдущего: Вначале пользователь получает упорядоченный список одноразовых паролей, последний из кото-рых также сохраняется в системе аутентифика-ции. При каждой регистрации пользователь вводит очередной пароль, а система вычисляет его свойства и сравнивает с хранимым у себя эталоном.

Изображение слайда