- •Иб(Информационная Безопасность) Лекция №1
- •Лекция №2 Основные методы обеспечения иб
- •Угрозы иб
- •Построение систем защиты от угроз нарушения конфиденциальности информации
- •Организационные меры и методы обеспечения физической безопасности
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Преимущества и недостатки парольной системы
- •Угрозы безопасности парольной системы
- •Рекомендации по практической реализации парольных систем
- •Лекция №3 Оценка стойкости парольных систем
- •Методы хранения и передачи паролей
- •Разграничение доступа
- •Лекция №4 Криптографическое преобразование информации
- •Лекция №6
- •Des(Data Encryption Standard)
- •Лекция №7 Алгоритмы с открытыми ключами
- •Алгоритм открытых рюкзаков(укладки ранца)
- •Сверх возрастающие рюкзаки
- •Лекция №8 Сравнение симметричных и ассиметричных систем
- •Методы защиты внешнего периметра
- •Межсетевое экранирование
- •Лекция №9 Системы обнаружения вторжений
- •Протоколирование и аудит
- •Лекция №10 Построение системы защиты от угроз нарушения целостности информации
- •Однонаправленные хэш функции
- •Лекция № 11
- •Идея функции сжатия
- •Применение
- •Коды проверки подлинности сообщений(mac(Message Authentication Code))
- •Лекция №12 Электронные подписи(Digital Signature)(не полная лекция)
- •Подпись документа с помощью криптографии с открытым ключом
- •Подпись документа с помощью ассиметричных алгоритмов и однонаправленных хэш функций
- •Управление открытыми ключами
- •Структура сертификатов(в России)
- •Хранение закрытого ключа
Лекция №3 Оценка стойкости парольных систем
A – мощность алфавита параметров. Количество букв, из которых можно составить пароль.
L – длинна пароля.
S=A^L – количество паролей длинной L, которые можно составить зи алфавита A.
V – средняя скорость подбора паролей.
T – максимальный срок действия пароля.
P – вероятность подбора пароля за определенный промежуток времени.
P = (V*T)/S = (V*T)/(A^L)
Обычно средняя скорость подбора пароля V и время его действия в системе T считается известными величинами. В этом случае, задав максимальную вероятность подбора V, за время его действия, можно вычислить требуемую мощность пространства паролей.
S = A^L = (V*T)/P
Уменьшение скорости подбора паролей V уменьшает вероятность подбора пароля. Из этого в частности следует, что если подбор паролей осуществляется путем вычисления ХЭШ функций, то большую стойкость парольной системы обеспечит применение медленной для вычисления ХЭШ функции.
Методы хранения и передачи паролей
В открытом виде. Не рекомендуемые вид хранения и передачи, даже с учетом наличия других механизмов защиты.
В виде соответствующих ХЭШ значений. Данный механизм удобен для проверки паролей, так как ХЭШ значения практически однозначно связанны с паролем, но представляет малый интерес для злоумышленника.
В зашифрованном виде. Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться как на одном из постоянных элементов системы, так и на съемном носителе.
Наиболее удобным и часто используемым является хранение паролей в виде ХЭШ значений. Алгоритм проверки паролей следующий:
При регистрации нового пользователя в системе или смене пароля у уже существующего пользователя от этого пароля вычисляется значение однонаправленной ХЭШ функции, которая затем заносится в базу(H = h(M)-> в базу).
При попытке входа пользователя в систему рассчитывается ХЭШ значение от пароля, который он ввел(H’ = h(M’)), затем полученное значение сравнивается с тем, которое находится в базе. Если эти два значения равны, то пароль введен верно и пользователь авторизуется в системе(H = H’ – пароль верный).
Разграничение доступа
Под разграничением доступа принято понимать установление полномочий субъектов для последующего контроля санкционированного использования ресурсов(объектов), доступных в системе. Существует два основных вида разграничения доступа:
Дискреционная. Д – разграничение доступа между именованными объектами и именованными субъектами в системе. На практике такое разграничение чаще всего реализовывается с помощью матрицы прав доступа.
Мандатная. М – обычно реализуется, как разграничение доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен, при этом все ресурсы АС должны быть классифицированы в соответствии с этими же уровнями секретности.
В данной модели выполняются следующие правила:
Простое правило безопасности(Simple Security). Субъект с уровнем секретности X(s) может читать информацию с объекта с уровнем секретности X(0) только в том случае, если X(0) не превосходит X(s). Называется: No Read Up.
Дополнительное свойство(*-property). Субъект с уровнем секретности X(s) может записывать данные в объект с уровнем секретности X(0) только в том случае, когда X(s) не превосходит X(0).Называется: No Write Down.
Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем:
Если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет владелец этого ресурса, то в случае мандатного разграничения уровень секретности задаются извне системы. Мандатное разграничение понимают, как принудительное, оно является более строгим.