Как классифицируются угрозы преодоления паролевой защиты кратко

Обновлено: 05.07.2024

Презентация на тему: " Лекция 4. Парольные системы для защиты от несанкционированного доступа к информации Учебные вопросы: 1.Общие подходы к построению парольных систем. 2.Выбор." — Транскрипт:

1 Лекция 4. Парольные системы для защиты от несанкционированного доступа к информации Учебные вопросы: 1. Общие подходы к построению парольных систем. 2. Выбор паролей. 3. Хранение и передача паролей по сети.

3 Под несанкционированным доступом к информации (НСД) согласно руководящим документам Гостехкомиссии будем понимать доступ к ин- формации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств, предоставляемых СВТ или АС. НСД может носить случайный или преднамеренный характер.

4 Можно выделить несколько обобщенных категорий методов защиты от НСД, в частности: организационные; технологические; правовые.

5 К первой категории относятся меры и мероприятия, регламентируемые внутренними инструкциями организации, эксплуатирующей информационную систему. Пример такой защиты - присвоение грифов секретности документам и материалам, хранящимся в отдельном помещении, и контроль доступа к ним сотрудников. Вторую категорию составляют механизмы защиты, реализуемые на базе программно-аппаратных средств, например, систем идентификации и аутентификации или охранной сигнализации. Третья категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования нормативной базы, регулирующей вопросы защиты информации.

6 Идентификация - это присвоение пользователям идентификаторов (понятие идентификатора будет определено ниже) и проверка предъявляемых идентификаторов по списку присвоенных. Аутентификация - это проверка принадлежности пользователю предъявленного им идентификатора. Часто аутентификацию также называют подтверждением или проверкой подлинности. Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя.

7 Различают три группы методов аутентификации, основанных на наличии у каждого пользователя: индивидуального объекта заданного типа; знаний некоторой известной только ему и проверяющей стороне информации; индивидуальных биометрических характеристик.

8 К первой группе относятся методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

9 Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.

10 Третью группу составляют методы аутентификации, основанные на применении оборудования для измерения и сравнения с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков пальцев, структуры радужной оболочки глаза и др. Такие средства позволяют с высокой точностью аутентифицировать обладателя конкретного биометрического признака, причем "подделать" биометрические параметры практически невозможно.

11 Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, такая процедура называется непосредственной аутентификацией (direct password authentication). Если же в процессе аутентификации участвуют не только эти стороны, но и другие, вспомогательные, говорят об аутентификации с участием доверенной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбитром (arbitrator).

12 Наиболее распространенные методы аутентификации основаны на применении многоразовых или одноразовых паролей. Эти методы включают следующие разновидности способов аутентификации: по хранимой копии пароля или его свёртке (plaintext-equivalent); по некоторому проверочному значению (verifier-based);' без непосредственной передачи информации о пароле проверяющей стороне (zero-knowledge); с использованием пароля для получения криптографического ключа (cryptographic).

13 В первую разновидность способов входят системы аутентификации, предполагающие наличие у обеих сторон копии пароля или его свертки. Для организации таких систем требуется создать и поддерживать базу данных, содержащую пароли или сверки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого пользователя.

14 Способы, составляющие вторую разновидность, обеспечивают более высокую степень безопасности парольной системы, так как проверочные значения, хотя они и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.

15 Аутентификация без предоставления проверяющей стороне какой бы то ни было информации о пароле обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность даже в том случае, если нарушена работа проверяющей стороны (например, в программу регистрации в системе внедрен "троянский конь").

16 Идентификатор пользователя некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя. Пароль пользователя - некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.

17 Учетная запись пользователя - совокупность его идентификатора и его пароля. База данных пользователей парольной системы содержит учетные записи всех пользователей данной парольной системы. Под парольной системой будем понимать программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей. Как правило, такой комплекс функционирует совместно с подсистемами разграничения доступа и регистрации событий.

18 Основными компонентами парольной системы являются: интерфейс пользователя; интерфейс администратора; модуль сопряжения с другими подсистемами безопасности; база данных учетных записей.

19 Типы угроз безопасности парольных систем: 1. Разглашение параметров учетной записи через: подбор в интерактивном режиме; подсматривание; преднамеренную передачу пароля его владельцем другому лицу; захват базы данных парольной системы (если пароли не хранятся в базе в открытом виде, для их восстановления может потребоваться подбор или дешифрование); перехват переданной по сети информации о пароле; хранение пароля в доступном месте.

20 Типы угроз безопасности парольных систем: 2. Вмешательство в функционирование компонентов парольной системы через: внедрение программных закладок; обнаружение и использование ошибок, допущенных на стадии разработки; выведение из строя парольной системы.

21 Некоторые из перечисленных типов угроз связаны с наличием так называемого человеческого фактора, проявляющегося в том, что пользователь может: выбрать пароль, который легко запомнить и также легко подобрать; записать пароль, который сложно запомнить, и положить запись в доступном месте; ввести пароль так, что его смогут увидеть посторонние; передать пароль другому лицу намеренно или под влиянием заблуждения.

23 Установление минимальной длины пароля - Усложняет задачу злоумышленника при попытке подсмотреть пароль или подобрать пароль методом "тотального опробования" Использование в пароле различных групп символов - Усложняет задачу злоумышленника при попытке подобрать пароль методом "тотального опробования" Проверка и отбраковка пароля по словарю - Усложняет задачу злоумышленника при попытке подобрать пароль по словарю

24 Установление максимального срока действия пароля - Усложняет задачу злоумышленника по подбору паролей методом тотального опробования Установление минимального срока действия пароля - Препятствует попыткам пользователя заменить пароль на старый после его смены по предыдущему требованию Ограничение числа попыток ввода пароля - Препятствует интерактивному подбору паролей злоумышленником

25 Поддержка режима принудительной смены пароля пользователя - Обеспечивает эффективность требования, ограничивающего максимальный срок действия пароля Использование задержки при вводе неправильного пароля - Препятствует интерактивному подбору паролей злоумышленником Запрет на выбор пароля самим пользователем и автоматическая генерация паролей - Исключает возможность подобрать пароль по словарю Принудительная смена пароля при первой регистрации пользователя в системе - Защищает от неправомерных действий системного администратора, имеющего доступ к паролю в момент создания учетной записи

26 1. Мощность алфавита паролей А 2. Длина пароля LМогут варьироваться для обеспечения заданного значения S(S=A L ) 3. Мощность пространства паролей S - Вычисляется на основе заданных значений Р, Т или V 4. Скорость подбора паролей V 5. Срок действия пароля Т - Определяется исходя из заданной вероятности Р, или полагается заданным для дальнейшего определения S 6. Вероятность подбора пароля в течение его срока действия P Выбирается заранее для дальнейшего определения S или Т

27 Параметры S, V, Т и Р связаны соотношением P=V*T/S

29 Возможны следующие варианты хранения паролей: в открытом виде; в виде свёрток (хеширование); зашифрованными на некотором ключе.

30 Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником. Следует предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые пароли.

31 При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. возможные варианты: ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки; ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске; ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.

32 При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы: перехват и повторное использование информации; перехват и восстановление паролей; модификация передаваемой информации с целью введения в заблуждение проверяющей стороны; имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя.

33 Схемы аутентификации "с нулевым знанием" или "с нулевым разглашением" означает, что первый субъект ("доказывающий") может убедить второго ("проверяющего"), что знает определенный пароль, в действительности не передавая тому никакой информации о самом пароле.

34 Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных обменов (итераций) между двумя участниками процедуры, по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного распознавания истинности (или ложности) утверждения.

35 Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая пещера Али-Бабы. Пещера имеет один вход путь от которого разветвляется в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из одного коридора в другой в любом направлении.

36 Одна итерация алгоритма состоит из последовательности шагов: 1. Проверяющий становится в точку А. 2. Доказывающий проходит в пещеру и добирается до двери (оказывается в точке С или D). Проверяющий не видит, в какой из двух коридоров тот свернул. 3. Проверяющий приходит в точку В и в соответствии со своим выбором просит доказывающего выйти из определенного коридора. 4. Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.

37 Итерация.повторяется столько раз, сколько требуется для распознавания истинности утверждения "доказывающий владеет ключом от двери" с заданной вероятностью. После i-й итерации вероятность того, что проверяющий попросит доказывающего выйти из того же коридора, в который вошел доказывающий, равна (1/2) i.

Обобщенная классификация основных угроз парольной защите:



Данная классификация вводится как в соответствии со статистикой известных угроз, так и в соответствии с потенциально возможными угрозами. Кроме того, при построении данной классификации учитывался анализ принципов работы механизмов идентификации и аутентификации.

Наиболее очевидными явными угрозами являются физические явные угрозы — хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съем пароля при вводе (с клавиатуры, либо с монитора). Кроме того, при использовании длинных сложных паролей пользователи подчас записывают свой пароль, что также является объектом физического хищения.

К техническим явным угрозам можно отнести подбор пароля – либо автоматизированный (вручную пользователем), либо автоматический, предполагающий запуск пользователем специальной программы подбора паролей. Кроме того, для сравнения вводимого и эталонного значений пароля, эталонное значение пароля должно храниться на защищаемом объекте (либо на сервере в сети). Это эталонное значение без соблюдения соответствующих мер по хранению паролей (хеширование, разграничение доступа к области памяти или реестра, где хранятся пароли), может быть похищено злоумышленником.

Наиболее опасными являются скрытые угрозы, например:

« модификация учетных данных на защищаемом объекте.

Первая группа скрытых угроз. Пароль должен быть каким-либо образом введен в систему — с клавиатуры, со встроенного или дополнительного устройства ввода, из сети (по каналу связи). При этом злоумышленником может быть установлена соответствующая программа, позволяющая перехватывать поступающую на защищаемый объект информацию. Развитые подобные программы позволяют автоматически фильтровать перехватываемую информацию по определенным признакам - в том числе, с целью обнаружения паролей. Примером таких программ могут служить сниферы клавиатуры и канала связи. Например, снифер клавиатуры позволяет запоминать все последовательности нажатий кнопок на клавиатуре (здесь пароль вводится в явном виде), а затем фильтровать события по типам приложений.

Второй тип скрытых угроз предполагает возможность отключить механизм парольной защиты злоумышленником, например, загрузить систему с внешнего носителя (дисковода или CD-ROM). Если механизм парольной защиты представляет собой некий процесс (в добавочной системе защиты), то выполнение данного процесса можно остановить средствами системного монитора, либо монитора приложений.

Третья группа скрытых угроз заключается в модификации учетных данных на защищаемом объекте. Это осуществляется либо путем их замены, либо путем сброса в исходное состояние настроек механизма защиты. Примером может служить известная программная атака на BIOS - сброс настроек BIOS в исходное состояние посредством изменения контрольных сумм BIOS.

Выводы: 1. Каким бы надежным ни был механизм парольной защиты, он сам по себе в отдельности, без применения иных механизмов защиты, не может обеспечить сколько-нибудь высокого уровня безопасности защищаемого объекта.

2. Невозможно сравнивать между собою альтернативные подходы к реализации механизма защиты (в частности, механизма парольной защиты), так как можно оценивать лишь уровень защищенности, обеспечиваемый всей системой защиты в целом, то есть обеспечиваемый совокупностью механизмов защиты (с учетом их реализации), комплексированных в системе.

Лекционное занятие 10.docx

Если говорить о проблемах компьютерной безопасности, то просматриваются несколько аспектов, а именно: информационная безопасность, безопасность самого компьютера и организация безопасной работы человека с компьютерной техникой.

Важно уметь не только работать на компьютере, но и защитить ваши документы от чужих глаз.

Абсолютной защиты быть не может. Бытует такое мнение: установил защиту и можно ни о чем не беспокоиться. Полностью защищенный компьютер — это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако использовать его нельзя.

Первой угрозой безопасности информации можно считать некомпетентность пользователей.

Одна из проблем подобного рода — это так называемые слабые пароли. Пользователи для лучшего запоминания выбирают легко угадываемые пароли. Причем проконтролировать сложность пароля невозможно.

Чем шире развивается Интернет, тем больше возможностей для нарушения безопасности наших компьютеров, даже если мы и не храним в них сведения, содержащие государственную или коммерческую тайну. Нам угрожают хулиганствующие хакеры, рассылающие вирусы, чтобы просто позабавиться; бесконечные любители пожить за чужой счет; нам угрожают наша беспечность (ну что стоит раз в день запустить антивирус!) и беспринципность (как же отказаться от дешевого пиратского ПО, возможно, зараженного вирусами?).

Безопасность в информационной среде

Любая технология на каком-то этапе своего развития приходит к тому, что соблюдение норм безопасности становится одним из важнейших требований. И лучшая защита от нападения — не допускать нападения. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.

С точки зрения компьютерной безопасности каждое предприятие обладает своим собственным корпоративным богатством — информационным. Его нельзя спрятать, оно должно активно работать. Средства информационной безопасности должны обеспечивать содержание информации в состоянии, которое описывается тремя категориями требований: доступность, целостность и конфиденциальность. Основные составляющие информационной безопасности сформулированы в Европейских критериях, принятых ведущими странами Европы:

• доступность информации обеспечение готовности системы к обслуживанию поступающих к ней запросов;

• целостность информации — обеспечение существования информации в неискаженном виде;

• конфиденциальность информации — обеспечение доступа к информации только авторизованному кругу субъектов.

Классификация средств защиты

Классификацию мер защиты можно представить в виде трех уровней. Законодательный уровень. В Уголовном кодексе РФ имеется глава 28. Преступления в сфере компьютерной информации. Она содержит три следующих статьи:

· статья 272. Неправомерный доступ к компьютерной информации;

· статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

· статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Административный и процедурный уровни. На административном и процедурном уровнях формируются политика безопасности и комплекс процедур, определяющих действия персонала в штатных и критических ситуациях. Этот уровень зафиксирован в руководящих документах, выпущенных Гостехкомиссией РФ и ФАПСИ.

Программно-технический уровень . К этому уровню относятся программные и аппаратные средства, которые составляют технику информационной безопасности. К ним относятся и идентификация пользователей, и управление доступом, и криптография, и экранирование, и многое другое.

И если законодательный и административный уровни защиты не зависят от конкретного пользователя компьютерной техники, то программно-технический уровень защиты информации каждый пользователь может и должен организовать на своем компьютере.

Программно-технический уровень защиты

Первое, что обычно делает пользователь персонального компьютера -ставит два пароля: один пароль в настройках BIOS и другой - на заставку экрана. Защита на уровне BIOS будет требовать ввод пароля при загрузке компьютера, а защита на заставке экрана перекроет доступ к информации при прошествии определенного, вами заданного, времени бездействия компьютера. Установка пароля на уровне BIOS - достаточно тонкий процесс, требующий определенных навыков работы с настройками компьютера, поэтому желательно его устанавливать с коллегой, имеющим достаточный опыт такой деятельности. Пароль на заставку экрана поставить не так сложно, и его может поставить сам пользователь.

После установки паролей можно считать, что первый уровень защиты вы сделали, и информационная защита обеспечена.

Защита жесткого диска (винчестера)

Любую часть компьютерной системы можно заменить на новую, но утратив данные, записанные на жестком диске, вы будете вынуждены воссоздать их заново. На это могут уйти месяцы, а то и годы. Гораздо проще заранее организовать защиту содержимого жесткого диска. Начинать следует с создания аварийного загрузочного диска.

Резервное копирование данных

Другой враг нашей информации — сбои самого компьютера.

Даже при самом строгом соблюдении мер профилактики нельзя быть абсолютно застрахованным от потери данных, хранящихся на жестком диске. Рано или поздно что-нибудь случается, и восстановить все в прежнем виде можно будет только в том случае, если у вас имеется копия содержимого жесткого диска.

Коварство мусорной корзины

При удалении информации она не исчезает бесследно, а попадает сначала в Корзину, если только документ не находился на дискете. Это ежедневно спасает многих небрежных пользователей, случайно удаливших документ, поскольку документы из Корзины можно восстанавливать.

Считается, что после принудительной очистки Корзины документы теряются безвозвратно, но это не совсем так. Физические данные с жесткого диска никуда не исчезают и могут быть легко восстановлены специальными программами вплоть до того момента, пока на то же место винчестера не будет записана другая информация.

Чтобы быть точно уверенным, что ваши данные уничтожены навсегда, систематически проводите дефрагментацию жесткого диска. Программа дефрагментации Defrag входит в состав служебных программ и перемещает данные на диске таким образом, чтобы файлы и свободное пространство размещались оптимально.

Эта процедура может занять от нескольких минут до получаса и более в зависимости от степени фрагментации диска. Желательно проводить дефрагментацию не реже одного раза в месяц, а при большом количестве операций по удалению файлов — еженедельно.

Установка паролей на документ

Известно, что любое приложение MS Office позволяет закрыть любой документ паролем, и многие успешно пользуются этим проверенным средством.

Полезные советы. Как защитить данные

• Установите пароли на BIOS и на экранную заставку.

• Исключите доступ посторонних лиц к вашему компьютеру.

• Создайте аварийную загрузочную дискету.

• Систематически делайте резервное копирование данных.

• Регулярно очищайте Корзину с удаленными файлами.

• Устанавливайте пароли на файлы с важной информацией.

• При установке пароля не используйте ваше имя, фамилию, телефон.

• Проводите архивацию файлов.

• После удаления большого количества файлов, но не реже одного раза в месяц, производите дефрагментацию жесткого диска.

Говоря о безопасности информации, мы сознательно глубоко не затрагивали проблему компьютерных вирусов, и могло сложиться мнение, что такая проблема не актуальна. Ничего подобного! Борьба с вирусами – это несомненно часть информационной безопасности, просто мимоходом говорить о такой важной проблеме неправильно. Борьба с вирусами – это тема отдельного разговора.

Антивирусные средства защиты информации

Компьютерный вирус – это программа, нарушающая нормальную работу других программ и компьютерной техники. Она обладает способностью самовоспроизведения, распространения, внедрения в другие программы. Действия вируса зависят от фантазии, квалификации и нравственных принципов его создателя.

Некоторые компьютерные вирусы совершенно безвредны, однако многие из них способны нанести серьезный ущерб вашей информации.

Мир помнит несколько случаев массового заражения компьютеров. Так, в 1987 г. Было целых три таких эпидемии. Так называемый Пакистанский вирус только в США заразил более 18 тыс. компьютеров; Лехайский вирус в течение нескольких дней уничтожил содержимое несколько сотен личных дискет и дискет библиотеки вычислительного центра одноименного университета США, заразив около 4 тыс. ПК, а в конце того же года в Иерусалимском университете был обнаружен вирус, который за короткое время распространился по всему цивилизационному миру, заразив только в США порядка 3 тыс. ПК.

В настоящее время насчитывается уже порядка 20 тыс. различных вирусов и ежемесячно на волю вырывается до трехсот новых экземпляров. В России издана уникальная вирусная энциклопедия, содержащая описание 26 тыс. компьютерных вирусов и даже демонстрацию эффектов производимых ими.

Компьютерные вирусы могут заразить только себе подобных, то есть программы, поэтому программы надо защищать.

Действия большинства вирусов не ограничивается только размножением или безобидными шутками. Вирусы могут разрушать изображение на экране, выводить на экране неприличные надписи, замедлять работу компьютера, исполнять различные мелодии, без разрешения удалять файлы и каталоги, уничтожая информацию.

Компьютерные вирусы переходят от одного компьютера к другому, изменяя имеющиеся файлы и дописывая в них свой код. При запуске зараженной программы или при открытии поврежденного файла данных вирусы загружаются в системную память компьютера, откуда пытается поразить другие программы и файлы.

Виды компьютерных вирусов

Чтобы успешно бороться с вирусами, надо их знать. Рассмотрим наиболее распространенные типы вирусов, с которыми вы в любой момент можете встретиться.

Макровирусы . Эти вирусы распространяются зараженными файлами данных и учиняют разгром, используя механизм макросов программы-хозяина. Они распространяются значительно быстрее любых других компьютерных вирусов, т.к. поражаемые ими файлы данных используются наиболее часто. Хакеры используют языки программирования таких популярных программ, как Word и Excel, чтобы искажать написание слов, изменять содержание документов и даже удалять файлы жестких дисков.

Файловые вирусы. Они внедряются в исполняемые файлы делают свое черное дело, когда вы запускаете зараженную программу.

Логической бомбой называют программу (или ее отдельные модули), которая при выполнении условий, определенных ее создателем, осуществляет несанкционированные действия, например при наступлении определенной даты или, скажем, появлении или исчезновении какой-либо записи в базе данных происходит разрушение программ или БД.

Известен случай, когда программист, разработавший систему автоматизации бухгалтерского учета, заложил в нее логическую бомбу, и, когда из ведомости на получение зарплаты исчезла его фамилия, специальная программа-бомба уничтожила всю систему.

Полиморфные вирусы. Как предсказывает само название, каждый раз, когда такой вирус заражает систему, он меняет обличие, дабы избежать выявления антивирусными программами. Новые изощренные полиморфные вирусы значительно труднее обнаружить и куда сложнее нейтрализовать, поскольку при заражении каждого нового файла они изменяют свои характеристики.

Вирусы многостороннего действия. Хитроумные гибриды, одновременно с файлами поражающие загрузочные секторы или главную загрузочную запись.

Организация защиты от компьютерных вирусов

Компьютерные вирусы представляют реальную угрозу безопасности вашего компьютера, и, как водится, лучший способ лечения – это профилактика заболевания.

Что должна делать антивирусная программа?

· Проверять системные области на загрузочном диске при включении компьютера.

· Проверять файлы на установленных в дисковод сменных носителях.

· Предоставлять возможность выбора графика периодичности проверки жесткого диска.

· Автоматически проверять загружаемые файлы.

· Проверять исполняемые файлы перед их запуском.

· Обеспечивать возможность обновления версии через Интернет.

Учитывая многообразие путей распространения вирусов, не стоит рассчитывать на то, что вы сможете обойтись без специальной антивирусной программы. Как правило, такую программу можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы непосредственно при загрузке файлов или копировании со сменного носителя. Проверка в фоновом режиме – более надежный способ защиты (контроль ведется постоянно), требующий, однако, увеличенного объема памяти и повышенной производительности системы.

Можно установить на компьютере антивирусный монитор (сторож) – резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту (программе, файлу), сторож проверяет его на наличие вируса. Таким образом, он позволяет обнаружить вирус до момента реального заражения системы.

Советы по организации антивирусной защиты. Ниже приведенные советы помогут вам избежать неприятностей, связанных с вирусным заражением компьютера.

1) Если хотите избежать затрат и потерь, сразу предусмотрите приобретение и установку комплексной антивирусной программно-аппаратной защиты для вашей компьютерной системы. Если таковая пока не установлена, не забывайте регулярно проверять свой компьютер свежими версиями антивирусных программ и установите программу-ревизор диска (например, ADinf), которая будет отслеживать все изменения, происходящие на вашем компьютере, и вовремя сигнализировать о вирусной опасности.

2) Не разрешайте посторонним работать на вашем компьютере, по крайней мере, без вашего разрешения.

3) Возьмите за строгое правило обязательно проверять все диски, которые вы используете на своем компьютере.

4) Соблюдайте осторожность, обмениваясь файлами с другими пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или приложенных к электронным посланиям. Поэтому лучше сразу проверять все входящие файлы (документы, программы) на наличие вируса.

5) Делайте резервные копии своих данных. Это поможет восстановить информацию в случае воздействия вируса, сбоя в системе или выхода из строя жесткого диска.

6) Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются только в тот момент, когда вы открываете или загружаете информационный файл. Таким образом, вирусы могут долгое время незаметно храниться на жестком диске в зараженных программах и файлах данных, приложениях к непрочитанным электронным письмам и сжатых файлах.

Контрольные вопросы:

1. Каковы функции паролевой защиты?

2. Как классифицируются угрозы преодоления паролевой защиты?

3. Каковы способы хранения и ввода пароля?

4. Какие основные способы усиления паролевой защиты вы знаете?

5. Что такое компьютерный вирус?

6. По каким признакам классифицируют компьютерные вирусы?

7. Каковы пути проникновения вирусов в компьютер и признаки заражения компьютерным вирусом?

2. Как классифицируются угрозы преодоления паролевой защиты?

3. Каковы способы хранения и ввода пароля?

4. Какие основные способы усиления паролевой защиты вы знаете?

5. Что такое компьютерный вирус?

6. По каким признакам классифицируют компьютерные вирусы?

7. Каковы пути проникновения вирусов в компьютер и признаки заражения компьютерным вирусом?

8. Какие законы регулируют сферу информационных технологий?

9. Перечислите меры эргономической организации рабочего компьютерного места.

4.2 Ознакомление с рекомендуемыми нормативными документами, Интернет-ресурсами по учебной дисциплины


Перечень учебных изданий, интернет-ресурсов, дополнительной литературы

Основные источники:

Дополнительные источники:

Процедура опознавания с использованием простого пароля может быть представлена в виде следующей последовательности действий:

- пользователь посылает запрос на доступ к компьютерной системе и вводит свой идентификатор;

- система запрашивает пароль;

- пользователь вводит пароль;

- система сравнивает полученный пароль с паролем пользователя, хранящимся в базе эталонных данных системы защиты, и разрешает доступ, если пароли совпадают; в противном случае пользователь к ресурсам компьютерной системы не допускается.

Поскольку пользователь может допустить ошибку при вводе пароля, то системой должно быть предусмотрено допустимое количество повторений для ввода пароля.

В базе эталонных данных пароли, как и другую информацию, никогда не следует хранить в явной форме, а только зашифрованными. При этом можно использовать метод как обратимого, так и необратимого шифрования.

Согласно методу обратимого шифрования, эталонный пароль при занесении в базу эталонных данных зашифровывается по ключу, совпадающему с этим эталонным паролем, а введенный после идентификации пароль пользователя для сравнения с эталонным также зашифровывается по ключу, совпадающему с этим введенным паролем. Таким образом, при сравнении эталонный и введенный пароли находятся в зашифрованном виде и будут совпадать только в случае, если исходный введенный пароль совпадет с исходным. При несовпадении исходного введенного пароля с исходным эталонным исходный введенный пароль будет зашифрован по-другому, так как ключ шифрования отличается от ключа, которым зашифрован эталонный пароль, и после зашифрования не совпадет с зашифрованным эталонным паролем.

Можно выделить следующие основные способы повышения стойкости системы защиты на этапе аутентификации:

- повышение степени не тривиальности пароля;

- увеличение длины последовательности символов пароля;

- увеличение времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля;

- повышение ограничений на минимальное и максимальное время действительности пароля.

Методы проверки подлинности на основе динамически меняющегося пароля обеспечивают большую безопасность, так как частота смены паролей в них максимальна - пароль для каждого пользователя меняется ежедневно или через несколько дней. При этом каждый следующий пароль по отношению к предыдущему изменяется по правилам, зависящим от используемого метода проверки подлинности.

Существуют следующие методы парольной защиты, основанные на использовании динамически меняющегося пароля:

- методы модификации схемы простых паролей;

- методы идентификации и установления подлинности субъектов и различных объектов;

Наиболее эффективными из данных методов являются функциональные.

Методы модификации схемы простых паролей. К методам модификации схемы простых паролей относят случайную выборку символов пароля и одноразовое использование паролей. При использовании первого метода каждому пользователю выделяется достаточно длинный пароль, причем каждый раз для опознавания используется не весь пароль, а только некоторая его часть. В процессе проверки подлинности система запрашивает у пользователя группу символов под заданным порядковым номерам. Количество символов и их порядковые номера для запроса определяются с помощью датчика псевдослучайных чисел. При одноразовом использовании паролей каждому пользователю выделяется список паролей. В процессе запроса номер пароля, который необходимо ввести, выбирается последовательно по списку или по схеме случайной выборки. Недостатком методов модификации схемы простых паролей является необходимость запоминания пользователями длинных паролей или их списков. Запись паролей на бумагу приводит к появлению риска потери или хищения носителей информации с записанными на них паролями.

Методы идентификации и установления подлинности субъектов и различных объектов. При обмене информацией рекомендуется в любом случае предусмотреть взаимную проверку подлинности полномочий объекта или субъекта. Если обмен информацией производится по сети, то процедура должна выполняться обязательно. Для этого необходимо, чтобы каждому из объектов и субъектов присваивалось уникальное имя. Каждый из объектов (субъектов) должен хранить в своей памяти (недоступной для посторонних лиц) список, содержащий имена объектов (субъектов), с которыми будут производить процессы обмена защищаемыми данными.

Метод "запрос-ответ". При использовании метода "запрос-ответ" в информационной системе заблаговременно создается и особо защищается массив вопросов, включающий в себя как вопросы общего характера, так и персональные вопросы, относящиеся к конкретному пользователю, например, вопросы, касающиеся известных только пользователю случаев из его жизни. Для подтверждения подлинности пользователя система последовательно задает ему ряд случайно выбранных вопросов, на которые он должен дать ответ. Опознание считается положительным, если пользователь правильно ответил на все вопросы. Основным требованием к вопросам в данном методе аутентификации является уникальность, подразумевающая, что правильные ответы на вопросы знают только пользователи, для которых эти вопросы предназначены.

Функциональные методы. Среди функциональных методов наиболее распространенными является метод функционального преобразования пароля. Метод функционального преобразования основан на использовании некоторой функции F, которая должна удовлетворяет установленным требованиям.

Алгоритмы создания одноразовых паролей обычно используют случайные числа. Это необходимо, потому что иначе было бы легко предсказать последующие пароли на основе знания предыдущих. Подходы к созданию одноразовых паролей различны:

· Использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определённом порядке).

· Основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени)

Реализация одноразовых паролей:

Синхронизированные по времени - одноразовые пароли обычно связаны с физическими аппаратными токенами (например, каждому пользователю выдаётся персональный токен, который генерирует одноразовый пароль). Внутри токена встроены точные часы, которые синхронизированы с часами на сервере. В этих OTP-системах время является важной частью алгоритма создания пароля, так как генерация нового пароля основывается на текущем времени, а не на предыдущем пароле или секретном ключе.

Запрос -использование одноразовых паролей с запросом требует от пользователя обеспечивать синхронизированные по времени запросы, чтобы была выполнена проверка подлинности. Это может быть сделано путём ввода значения в сам токен. Чтобы избежать появления дубликатов, обычно включается дополнительный счётчик, так что если случится получение двух одинаковых запросов, то это всё равно приведёт к появлению разных одноразовых паролей. Однако вычисления обычно не включают предыдущий одноразовый пароль, так как это приведёт к синхронизации задач.

Одноразовый пароль на мобильном телефоне - По сравнению с аппаратной реализацией токена, которая требует, чтобы пользователь имел с собой устройство-токен, токен на мобильном телефоне существенно снижает затраты и предлагает беспрецедентный уровень удобства. Это решение также уменьшает материально-технические требования, так как нет необходимости выдавать отдельное устройство каждому пользователю. Мобильные токены, такие, как FiveBarGate, FireID или PROTECTIMUS SMART дополнительно поддерживают некоторое число токенов в течение одной установки приложения, позволяя пользователю аутентифицироваться на нескольких ресурсах с одного устройства. Этот вариант также предусматривает специфические приложения для разных моделей телефонов пользователя. Токены в мобильных телефонах также существенно более безопасны, чем одноразовые пароли по SMS, так как SMS отправляются по сети GSM в текстовом формате с возможностью перехвата.

Читайте также: