- •Содержание
- •Умышленные угрозы информации и защита от них. Локальный компьютер
- •1. Группы информационных угроз
- •Физическое хищение компьютерных носителей информации
- •Побочные электромагнитные излучения
- •Несанкционированные действия с информацией на пк
- •2. Методы защиты. Общие принципы организации защиты.
- •3. Аутентификация пользователя при входе в систему
- •3.1. Ввод пароля с клавиатуры
- •3.2. Использование электронных ключей
- •3.3. Виды электронных ключей Дискета
- •Магнитная карта
- •Карты Proximity
- •Rfid-метки
- •Классификация rfid-меток
- •По рабочей частоте
- •По источнику питания
- •Пассивные
- •Активные
- •Полупассивные
- •По типу используемой памяти
- •Применение rfid-меток Транспорт
- •Документы, удостоверяющие личность
- •Системы контроля и управления доступом (скуд)
- •Смарт-карты
- •Размеры sim карт
- •Идентификаторы Рутокен
- •Электронные ключи eToken
- •3.4. Биометрические методы аутентификации
- •Принцип работы биометрических систем
- •Классификация биометрических систем
- •Сканеры отпечатков пальцев
- •Сканеры отпечатка ладони
- •Сканирование черт лица
- •Аутентификация по голосу
- •Сканирование сетчатки глаза
- •Верификация подписи
- •4. Модели доступа
- •4.1. Дискреционное управление доступом
- •4.2. Управление доступом на основе ролей
- •Возможности и применение
- •4.3. Мандатное управление доступом
- •Особенности применения модели
- •Пользователи и группы
- •Виды прав доступа
- •5. Криптографическая защита информации
- •5.1. Классификация систем шифрования
- •Потоковые шифры
- •Блочные шифры
- •Симметричные (одно-ключевые) криптоалгоритмы
- •Асимметричные (двух ключевые) криптосистемы.
- •Комбинированный метод
- •Комбинированный метод (пример):
- •5.2. Технологии цифровых подписей.
- •5.3. Распространение открытых ключей
- •Технология pgp
- •Технология pki
- •Удостоверяющий центр
- •Регистрационный центр
- •Репозиторий
- •Архив сертификатов
- •Конечные пользователи
- •Сертификат открытого ключа
- •Поля сертификата
- •Корневой сертификат
- •Хеширование паролей.
- •5.4. Криптоанализ
- •Надежность криптографических методов.
- •6. Стеганография
- •6.1. Понятие стеганографии
- •6.2. Методы сокрытия информации в компьютерной стеганографии
- •6.3. Компьютерные вирусы и стеганография
- •7. Гарантированное уничтожение информации
- •8. Методы воздействия на средства защиты информации
- •9. Дополнительные рекомендации.
3. Аутентификация пользователя при входе в систему
Идентификация – процесс определения объекта системой (процесс регистрации объекта в системе). Вводя логическое имя, пользователь заявляет о себе, как о лице, имеющем допуск в систему с определенными правами. Система проверяет наличие регистрационной записи, и затем, проводит процесс аутентификации.
Аутентификация – проверка системой подлинности заявлений пользователей о себе. В случае успешного завершения процесса аутентификации, возможности пользователя по отношению к защищаемым информационным ресурсам определяются его правами. Система принимает решение - можно ли разрешить пользователю доступ к системным ресурсам, и какие действия данного пользователя над этими ресурсами допустимы.
Авторизация – назначение соответствующих прав доступа к ресурсам системы сеансу пользователя. Доступ к защищаемым ресурсам осуществляется на основе значений определенных атрибутов этих ресурсов по отношению к конкретному пользователю.
Идентификация и Аутентификация могут производиться встроенными системными средствами. Однако, сегодня существуют программные и программно-аппаратные средства сторонних производителей, позволяющие производить идентификацию и аутентификацию пользователя, в том числе, практически сразу после включения питания.
В некоторых случаях, в зависимости от реализации функционала системы защиты, идентификация и аутентификация могут быть совмещены, с точки зрения пользователя, в одно действие.
Наиболее распространенные методы идентификации и аутентификации:
ввод пароля с клавиатуры;
использование электронных ключей;
биометрические методы.
3.1. Ввод пароля с клавиатуры
Пароль (фр. parole – слово) – это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Ввод пароля производится путем набора символов на алфавитно-цифровой клавиатуре компьютера. Символы, как правило, привязываются к кодовой таблице, использующейся в системе. Что позволяет вводить символы в разной кодировке (например, Рус/Lat), использовать верхний и нижний регистры, а так же клавиши знаков препинания.
Для усложнения пароля рекомендуется делать его длину не менее шести символов, а так же использовать в одном пароле символы разных регистров, цифры и знаки препинания. Чем сложнее пароль, тем сложнее будет осуществить его подбор злоумышленнику.
Минусы данного метода:
сложный пароль тяжело запомнить, и поэтому не редко он записывается в месте, доступном посторонним лицам;
при вводе пользователем в людном месте злоумышленник имеет возможность контроля вводимых символов.
Рекомендации: в качестве пароля выбирайте знакомые слова и фразы, которые вам легко запомнить, но вы редко употребляете их в разговоре.
3.2. Использование электронных ключей
В качестве альтернативы вводу пароля с клавиатуры, обычно используют в качестве средства аутентификации различные электронные носители информации: дискеты, ключи touch-memory, электронные карты, USB Flash-носители (eToken, ruToken), и т.п.
Электронные ключи являются контейнером для хранения аутентификационной информации пользователя, и позволяют скрыто вводить её в систему. Кроме того, пользователю уже не требуется запоминать пароль. Основная задача пользователя – обеспечить сохранность электронного ключа.
Электронные ключи можно подразделить на защищенные и не защищенные от несанкционированного копирования.
Рис. 3.2. Электронные ключи.
Незащищенные электронные ключи являются контейнерами для аутинтификационной информации, но требуют повышенного внимания к своей сохранности. Не имеют защиты от точного копирования хранимой информации. Более дешёвые в производстве.
Защищенные электронные ключи являются контейнерами для аутинтификационной информации, имеют дополнительную защиту в виде крипто-прцессора, встроенного в микроконтроллер ключа. При сохранении информации в памяти контейнера, она автоматически шифруется. При попытке несанкционированного доступа к информации, злоумышленник должен преодолеть защиту микроконтроллера, имеющего функцию аутентификации пользователя, либо, при обходе микроконтроллера, он получает в своё распоряжение зашифрованный массив данных. При работе с информацией, хранимой в памяти защищенного ключа, необходимо произвести аутентификацию пользователя, как правило – ввод пароля на доступ.
Данные решения актуальны в случае работы с информацией повышенной конфиденциальности, либо, в случае хранения в памяти ключа множества паролей, ключей шифрования, других персональных идентификаторов. В этом случае пользователю достаточно запомнить только один пароль – на доступ к электронному ключу. Более дороги в производстве.