Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Идентификация и аутентификация

Читайте также:
  1. Авторизация, аутентификация, идентификация и аудит
  2. Аутентификация на основе одноразовых паролей
  3. Выводы. Идентификация принятых проектных решений и реальных требований по предприятию
  4. Идентификация
  5. Идентификация
  6. ИДЕНТИФИКАЦИЯ
  7. Идентификация
  8. Идентификация
  9. Идентификация и анализ риска.

Идентификация - присвоение какому-либо объекту илисубъекту уникального имени или образа;

Аутентификация - установление подлинности объекта илисубъекта, т. е. проверка, является ли этот субъект (объект)тем, за кого он себя выдает.

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.

Что служит аутентификатором (то есть используется для подтверждения подлинности субъекта)? Субъект может подтвердить свою подлинность, предъявив: пароль, личный идентификационный номер, криптографический ключ, свои биометрические характеристики(голос, отпечатки пальцев, узор сетчатки глазаи т.п.)

2. Управление доступом (разграничениеправ пользователей и доступа к информационным ресурсам);

Механизмы контроля доступа осуществляют проверку полномочий объектов сети (программ и пользователей) на доступ к ее ресурсам. При доступе к ресурсу через соединение контроль выполняется как в точке инициализации обмена, так и в конечной точке, а также в промежуточных точках. Основой для реализации этих механизмов являются матрица прав доступа и различные варианты ее реализации. Мандатные списки включают метки безопасности, присвоенные объектам, которые дают право на использование ресурса. К другому типу относятся списки прав доступа, основанные на аутентификации объекта и последующей проверке его прав в специальных таблицах (базах контроля доступа), существующих для каждого ресурса.

3. Протоколирование и аудит .

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

Реализация протоколирования и аудита решает следующие задачи:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

· дата и время события;

· уникальный идентификатор пользователя – инициатора действия;

· тип события;

· результат действия (успех или неудача);

· источник запроса (например, имя терминала);

· имена затронутых объектов (например, открываемых или удаляемых файлов);

· описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

4. Шифрование ( криптографическая защита).

Криптография - тайнопись, специальная система изменения обычного письма, используемая с целью сделать текст понятным лишь ограниченному числу лиц, знающих эту систему.

Криптография необходима для реализации, по крайней мере, трех сервисов безопасности:

· шифрование;

· контроль целостности;

· а утентификация (этот сервис был рассмотрен нами ранее).

Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности

Шифрование может быть симметричным и асимметричным.

Симметричное - основывается на использовании одного и того же секретного ключа для шифрования и дешифрования.

Асимметричное - характеризуется тем, что для шифрования используется ключ, являющийся общедоступным, а для дешифрования – другой являющийся секретным. При этом знание общедоступного ключа не дает возможности определить секретный ключ. Для реализации механизма шифрования нужна организация специальной служб генерации ключей и их распределения между абонентами сети.

5. Контроль целостности. Механизмы обеспечения целостности применяются как к отдельным блокам данных, так и к информационным потокам. Целостность обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем с последующим сравнением контрольных криптографических сумм. Возможно и использование более простых методов типа нумерации блоков или их дополнения так называемым клеймом (меткой) времени.

Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий ("неотказуемость").

В основе криптографического контроля целостности лежат два понятия:

· хэш-функция;

· электронная подпись (ЭП) .

Хэш-функция – это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

Электронная подпись - реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе.

Механизмы электронной подписи используются для реализации служб аутентификации. Эти механизмы основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивай шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.

При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях X.509 вводятся понятия цифрового сертификата и удостоверяющего центра.

6. Экранирование ( установку межсетевых экранов)

Межсетевые экраны - файерволы (firewall), брандмауэры - являются программно-аппаратными средствами, которые представляют собой барьер, защищающий от несанкционированного вторжения во внутреннюю локальную сеть и обеспечивающий безопасный доступ к внешней сети. Межсетевые экраны являются барьерами на пути информационных потоков между внутренней информационной системой и внешними сетями для того, чтобы защитить данные локальной сети извне, от посягательств злоумышленников, стремящихся либо скопировать, изменить или стереть информацию, либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров.

Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем

7. Анализ защищенности.

Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник.

Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д

Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности

Системы анализа защищенности снабжены автообнаружением, помогающим, в частности, эффективно работать с протоколом сканирования.

8. Обеспечение отказоустойчивости

Рассматриваются два вида средств поддержания высокой доступности: обеспечение отказоустойчивости (нейтрализация отказов, живучесть) и обеспечение безопасного и быстрого восстановлени я после отказов (обслуживаемость).

Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:

Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п.

Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторый период (месяц, год) не превышали заранее заданных пределов

В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью

Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти".

Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.

9. Обеспечение безопасного восстановления.

Быстрое время восстановлени я (обслуживаемость) - минимизация времени простоя отказавших компонентов, а также отрицательного влияния ремонтных работ на эффективность информационных сервисов, то есть быстрое и безопасное восстановление после отказов).

10. Туннелирование.

Туннелирование следует рассматривать как самостоятельный сервис безопасности. Его суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". В качестве синонимов термина " туннелирование " могут использоваться " конвертование " и " обертывание ".

Туннелирование может применяться как на сетевом, так и на прикладном уровнях. Например, стандартизовано туннелирование для IP и двойное конвертование для почты X.400.

Комбинация туннелирования и шифрования (наряду с необходимой криптографической инфраструктурой) на выделенных шлюзах и экранирования на маршрутизаторах поставщиков сетевых услуг (для разделения пространств "своих" и "чужих" сетевых адресов в духе виртуальных локальных сетей) позволяет реализовать такое важное в современных условиях защитное средство, как виртуальные частные сети. Подобные сети, наложенные обычно поверх Internet, существенно дешевле и гораздо безопаснее, чем собственные сети организации, построенные на выделенных каналах.

11. Управление

Согласно стандарту X.700, управление подразделяется на:

· мониторинг компонентов;

· контроль (то есть выдачу и реализацию управляющих воздействий);

На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.



Дата добавления: 2014-12-15; просмотров: 58 | Поможем написать вашу работу | Нарушение авторских прав


lektsii.net - Лекции.Нет - 2014-2024 год. (0.009 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав