Информация по предмету Компьютеры, программирование
-
- 721.
Засоби зв'язку комп'ютеризованих систем
Другое Компьютеры, программирование За типом застосовуваного сигналу мережі зв'язку підрозділяються на аналогові і цифрові. В аналогових мережах використовується безперервний сигнал. Особливістю його є те, що два сигнали можуть відрізнятися один від одного як завгодно мало. У цифрових мережах використовується сигнал, що складається з різних елементів. Такими елементами є 1 і 0. Одиниця звичайно відбивається імпульсом або відрізком гармонійного коливання з визначеною амплітудою. Нуль позначається відсутністю переданої напруги. Сукупність 1 і 0 складає повідомлення - кодову комбінацію. За способом здійснення з'єднання мережі підрозділяються на мережі з комутацією каналів, комутацією повідомлень і комутацією пакетів. У мережах з комутацією каналів з'єднання абонентів здійснюється за типом автоматичної телефонної станції. Основний їхній недолік - це великий час входження в зв'язок через зайнятість каналів або викликаючого абонента. Обмін інформацією в мережах з комутацією повідомлень здійснюється за типом передачі телеграм. Відправник складає текст повідомлення, вказує адресу, категорію терміновості і таємності і це повідомлення записується в запам'ятовуючий пристрій (ЗП). При звільненні каналу повідомлення автоматично передається на наступний проміжний вузол або безпосередньо абоненту. На проміжному вузлі повідомлення також записується в ЗП і при звільненні наступної ділянки передається далі. Перевагою таких мереж є відсутність відмови в прийманні повідомлення. Недолік полягає в порівняно великому часі затримки повідомлення за рахунок його збереження в ЗП. Тому такі мережі не використовують для передачі інформації, що вимагає доставки в реальному часі. У мережах з комутацією пакетів обмін інформацією здійснюється також у мережах з комутацією повідомлень. Однак повідомлення поділяється на короткі пакети, що швидко знаходять собі маршрут до адресата. У результаті час затримки пакетів буде меншим.
- 721.
Засоби зв'язку комп'ютеризованих систем
-
- 722.
Захист программного забезпечення
Другое Компьютеры, программирование Нові технології захисту оригінальних продуктів корпорація Microsoft включила в операційну систему Windows 2000 і пакет Office 2000. На всі ліцензійні компакт-диски, що містять операційну систему, наноситься голографічне зображення на лицьовій стороні. «При повороті диска під певним кутом до джерела світла на голограмі проявляється назва продукту і спеціфічеcкіе для цього продукту графічні символи, що займають всю поверхню диска від мережевого отвори до зовнішнього краю ... на системні блоки комп'ютерів, які придбаваються з встановленою операційною системою Windows 2000, на помітному місці повинна наклеюватися нова етикетка з «сертифікатом автентичності (Certificate of Authenticity, COA). На етикетці повинно бути голографічне зображення мідної плетеними нитки зі словами «Microsoft» і «Genuine», а також з назвою продукту і його унікальним номером. При повороті етикетки колір емблеми Microsoft змінюється з золотистого на сріблястий і навпаки. Роздрібні версії Windows 2000 будуть поставлятися в коробках з аналогічними сертифікатами автентичності ». Для захисту від незаконних установок пакету Office 2000 корпорація Microsoft також використовує суцільні голограми на компакт-дисках, що містять даний програмний продукт, а також спеціальну програму моніторингу через Internet, яка здатна запобігати нелегальну установку пакету Office 2000 (Майстер реєстрації - Registration Wizard).
- 722.
Захист программного забезпечення
-
- 723.
Захищені протоколи
Другое Компьютеры, программирование Одна з основних причин успіху віддалених атак на розподілені обчислювальні мережі полягає у використанні мережних протоколів обміну, які не можуть надійно ідентифікувати віддалені обєкти, захистити зєднання та дані, що передаються по ньому. Тому цілком природньо, що в процесі функціонування Internet були створені різні захищені мережні протоколи, що використовують криптографію як з закритим, так і з відкритим ключем. Класична криптографія з симетричними криптоалгоритмами передбачає наявність у передавальної та приймаючої сторін симетричних (однакових) ключів для шифрування та дешифрування повідомлень. Ці ключі заздалегідь мають бути розподілені між скінченною кількістю абонентів, що в криптографії називається стандартною проблемою статичного розподілу ключів. Очевидно, що застосування класичної криптографії з симетричними ключами є можливим лише на обмеженій множині обєктів. У мережі Internet для всіх її користувачів вирішити проблему статичного розподілу ключів не є можливим. Однак, одним з перших захищених протоколів обміну в Internet був протокол Kerberos, заснований саме на статичному розподілі ключів для скінченної кількості абонентів. Для того, щоб дати можливість захиститися усій множині користувачів мережі Internet, а не обмеженій її підмножині, необхідно використовувати ключі, що динамічно виробляються в процесі створення віртуального зєднання, застосовуючи криптографію з відкритим ключем. Розглянемо основні на сьогоднішній день підходи і протоколи, що забезпечують захист зєднання.
- 723.
Захищені протоколи
-
- 724.
Защита баз данных. Access 2000
Другое Компьютеры, программирование РазрешениеОбъектРазрешённые действияОткрытие/запуск (Open/Run)База данных, форма, отчет, макросОткрытие базы данных, формы или отчета, запуск макроса. (Любой пользователь может выполнять процедуры в модулях.)Монопольный доступ (Open Exclusive)База данныхОткрытие базы данных для монопольного доступа. Без этого разрешения пользователь не может открыть базу данных и отключить других пользователейЧтение макета (Read Design)Таблица, запрос, форма, отчет, макрос, модульПросмотр объектов в режиме конструктора. Если для таблицы или запроса предоставлен любой тип доступа к данным, автоматически дается разрешение на чтение макета, поскольку оно необходимо для корректного открытия набора записейИзменение макета (Modify Design)Таблица, запрос, форма, отчет, макрос, модульПросмотр и изменение макета объектов. Если в приложении используется программа Visual Basic, изменяющая макеты запросов во время выполнения, вы должны предоставить разрешение на изменение макета всем пользователям этих запросовАдминистратора (Administer)База данных, таблица, запрос форма, отчет, макрос, модульПредоставление разрешений на доступ к объекту, даже если пользователь или группа не является владельцем объектаЧтение данных (Read Data) Таблица, запросПросмотр данных таблицы. Также дает разрешение на чтение макета. В случае запроса пользователь должен иметь разрешение так же на чтение данных для всех используемых в нем таблиц или запросовОбновление данных (Update Data)Таблица, запросОбновление данных таблицы или запроса. Кроме того, предоставляет разрешения на чтение данных и макета. В случае запрос пользователь должен иметь также разрешение на обновление данных для всех таблиц, изменяемых с его помощью.Вставка данных (Insert Data)Таблица, запросВставка данных в таблицу или запрос. Кроме того, предоставляет разрешения на чтение данных и макета. В случае запроса пользователь должен дополнительно иметь разрешение на вставку данных для всех таблиц или запросов, изменяемых с его помощьюУдаление данных (Delete Data)Таблица, запросУдаление данных из таблицы или запроса. Кроме того, предоставляет разрешения на чтение данных и макета. В случае запрос пользователь должен дополнительно иметь разрешение на удаление данных для всех таблиц, изменяемых с его помощью
- 724.
Защита баз данных. Access 2000
-
- 725.
Защита информации в Internet
Другое Компьютеры, программирование В данной работе мною были рассмотрены проблемы защиты информации в глобальной сети Internet. Проблема эта была и остается актуальной по сей день, так как никто еще не может гарантировать на сто процентов того, что ваша информация будет защищена или в ваш компьютер не попадет вирус. Актуальность этой проблемы подтверждает еще и то, что ей посвещено огромное количество страниц в Internet. Однако большая часть информации идет на английском языке, что затрудняет работу с ней. Разумеется в данной работе рассмотрена лишь часть проблемы (не рассмотрена, например, защита информации при помощи брандмауэров(сетевых экранов)). Проведенные исследования показывают, что разработано множество способов защиты информации: разграничение доступа, защита при помощи паролей, шифрование данных и.т.п. Однако, несмотря на все это, до сих пор мы то и дело слышим о взломах хакерами различных серверов и компьютерных систем. Это говорит о том, что проблема защиты информации еще не решена и на ее решение будет потрачено множество сил и времени.
- 725.
Защита информации в Internet
-
- 726.
Защита информации в глобальной сети
Другое Компьютеры, программирование Kerberos имеет структуру типа клиент/сервер и состоит из клиентских частей, установленных на все машины сети (рабочие станции пользователей и серверы), и Kerberos-сервера (или серверов), располагающегося на каком-либо (не обязательно выделенном) компьютере.Kerberos-сервер, в свою очередь, делится на две равноправные части: сервер идентификации (authentication server) и сервер выдачи разрешений (ticket granting server). Следует отметить, что существует и третий сервер Kerberos, который, однако, не участвует в идентификации пользователей, а предназначен для административных целей. Область действия Kerberos (realm) распространяется на тот участок сети, все пользователи которого зарегистрированы под своими именами и паролями в базе Kerberos-сервера и где все серверы обладают общим кодовым ключом с идентификационной частью Kerberos. Эта область не обязательно должна быть участком локальной сети, поскольку Kerberos не накладывает ограничения на тип используемых коммуникаций. Упрощенно модель работы Kerberos можно описать следующим образом. Пользователь (Kerberos-клиент), желая получить доступ к ресурсу сети, направляет запрос идентификационному серверу Kerberos. Последний идентифицирует пользователя с помощью его имени и пароля и выдает разрешение на доступ к серверу выдачи разрешений, который, в свою очередь, дает “добро” на использование необходимых ресурсов сети. Однако данная модель не отвечает на вопрос о надежности защиты информации, поскольку, с одной стороны, пользователь не может посылать идентификационному серверу свой пароль по сети, а с другой разрешение на доступ к обслуживанию в сети не может быть послано пользователю в виде обычного сообщения. В обоих случаях информация может быть перехвачена и использована для несанкционированного доступа в сеть. Для того, чтобы избежать подобных неприятностей Kerberos применяет сложную систему многократного шифрования при передаче любой управляющей информации в сети. Доступ пользователей к сетевым серверам, файлам, приложениям, принтерам и т.д. осуществляется по следующей схеме. Клиент (под которым в дальнейшем будет пониматься клиентская часть Kerberos, установленная на рабочей станции пользователя) направляет запрос идентификационному серверу на выдачу “разрешения на получение разрешения” (ticket-granting ticket), которое даст возможность обратиться к серверу выдачи разрешений. Идентификационный сервер адресуется к базе данных, хранящей информацию о всех пользователях, и на основании содержащегося в запросе имени пользователя определяет его пароль. Затем клиенту отсылается “разрешение на получение разрешения” и специальный код сеанса (session key), которые шифруются с помощью пароля пользователя как ключа. При получении этой информации пользователь на его рабочей станции должен ввести свой пароль, и если он совпадает с хранящимися в базе Kerberos-сервера, “разрешение на получение разрешения” и код сеанса будут успешно расшифрованы. Таким образом решается проблема с защитой пароля в данном случае он не передается по сети. После того как клиент зарегистрировался с помощью идентификационного сервера Kerberos, он отправляет запрос серверу выдачи разрешений на получение доступа к требуемым ресурсам сети. Этот запрос (или “разрешение на получение разрешения”) содержит имя пользователя, его сетевой адрес, отметку времени, срок жизни этого разрешения и код сеанса.“Разрешение на получение разрешения” зашифровывается два раза: сначала с помощью специального кода, который известен только идентификационному серверу и серверу выдачи разрешений, а затем, как уже было сказано, с помощью пароля пользователя. Это предотвращает не только возможность использования этого разрешения при его перехвате, но и делает его недоступным самому пользователю. Для того чтобы сервер выдачи разрешений дал клиенту доступ к требуемым ресурсам, недостаточно только “разрешения на получение разрешения”. Вместе с ним клиент посылает так называемый аутентикатор (authenticator), зашифровываемый с помощью кода сеанса и содержащий имя пользователя, его сетевой адрес и еще одну отметку времени. Сервер выдачи разрешений расшифровывает полученное от клиента “разрешение на получение разрешения”, проверяет, не истек ли срок его “годности”, а затем сравнивает имя пользователя и его сетевой адрес, находящиеся в разрешении, с данными, которые указаны в заголовке пакета пришедшего сообщения. Однако на этом проверки не заканчиваются. Сервер выдачи разрешений расшифровывает аутентикатор с помощью кода сеанса и еще раз сравнивает имя пользователя и его сетевой адрес с предыдущими двумя значениями, и только в случае положительного результата может быть уверен наконец, что клиент именно тот, за кого себя выдает. Поскольку аутентикатор используется для идентификации клиента всего один раз и только в течение определенного периода времени, становится практически невозможным одновременный перехват “разрешения на получение разрешения” и аутентикатора для последующих попыток несанкционированного доступа к ресурсам сети. Каждый раз, при необходимости доступа к серверу сети, клиент посылает “разрешение на получение разрешения” многоразового использования и новый аутентикатор. После успешной идентификации клиента в качестве источника запроса сервер выдачи разрешений отсылает пользователю разрешение на доступ к ресурсам сети (которое может использоваться многократно в течение некоторого периода времени) и новый код сеанса. Это разрешение зашифровано с помощью кода, известного только серверу выдачи разрешений и серверу, к которому требует доступа клиент, и содержит внутри себя копию нового кода сеанса. Все сообщение (разрешение и новый код сеанса) зашифровано с помощью старого кода сеанса, поэтому расшифровать его может только клиент. После расшифровки клиент посылает целевому серверу, ресурсы которого нужны пользователю, разрешение на доступ и аутентикатор, зашифрованные с помощью нового кода сеанса. Для обеспечения еще более высокого уровня защиты, клиент, в свою очередь, может потребовать идентификации целевого сервера, чтобы обезопаситься от возможного перехвата информации, дающей право на доступ к ресурсам сети. В этом случае он требует от сервера высылки значения отметки времени, увеличенного на единицу и зашифрованного с помощью кода сеанса. Сервер извлекает копию кода сеанса, хранящуюся внутри разрешения на доступ к серверу, использует его для расшифровки аутентикатора, прибавляет к отметке времени единицу, зашифровывает полученную информацию с помощью кода сеанса и отсылает ее клиенту. Расшифровка этого сообщения позволяет клиенту идентифицировать сервер. Использование в качестве кода отметки времени обеспечивает уверенность в том, что пришедший клиенту ответ от сервера не является повтором ответа на какой-либо предыдущий запрос. Теперь клиент и сервер готовы к передаче необходимой информации с должной степенью защиты. Клиент обращается с запросами к целевому серверу, используя полученное разрешение. Последующие сообщения зашифровываются с помощью кода сеанса. Более сложной является ситуация, когда клиенту необходимо дать серверу право пользоваться какими-либо ресурсами от его имени. В качестве примера можно привести ситуацию, когда клиент посылает запрос серверу печати, которому затем необходимо получить доступ к файлам пользователя, расположенным на файл-сервере. Кроме того, при входе в удаленную систему пользователю необходимо, чтобы все идентификационные процедуры выполнялись так же, как и с локальной машины. Эта проблема решается установкой специальных флагов в “разрешении на получение разрешения” (дающих одноразовое разрешение на доступ к серверу от имени клиента для первого примера и обеспечивающих постоянную работу в этом режиме для второго). Поскольку, как было сказано выше, разрешения строго привязаны к сетевому адресу обладающей ими станции, то при наличии подобных флагов сервер выдачи разрешений должен указать в разрешении сетевой адрес того сервера, которому передаются полномочия на действия от имени клиента. Следует отметить также, что для всех описанных выше процедур идентификации необходимо обеспечить доступ к базе данных Kerberos только для чтения. Но иногда требуется изменять базу, например, в случае изменения ключей или добавления новых пользователей. Тогда используется третий сервер Kerberos административный (Kerberos Administration Server). Не вдаваясь в подробности его работы, следует отметить, что его реализации могут сильно отличаться (так, возможно ведение нескольких копий базы одновременно).
- 726.
Защита информации в глобальной сети
-
- 727.
Защита информации в корпоративных информационных системах
Другое Компьютеры, программирование
- 727.
Защита информации в корпоративных информационных системах
-
- 728.
Защита информации в локальных сетях
Другое Компьютеры, программирование - В.Галатенко, Информационная безопасность, «Открытые системы», № 4, 1995.
- В.Галатенко, Информационная безопасность, «Открытые системы», № 5, 1995.
- В.Галатенко, Информационная безопасность, «Открытые системы», № 6, 1995.
- Федеральный закон «Об информации, информатизации и защите информации».
- Президент Российской Федерации. Указ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
- В.Гайкович, А.Першин, Безопасность электронных банковских систем. - Москва, «Единая Европа», 1994.
- В.Галатенко, Информационная безопасность, «Открытые системы», № 1, 1996.
- В.Галатенко, Информационная безопасность, «Открытые системы», № 2, 1996.
- В.Левин, Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 1994.
- Д.Сяо, Д.Кэрр, С.Медник, «Защита ЭВМ», - Москва, 1989.
- В.Уолкер, Я.Блейк, «Безопасность ЭВМ и организация их защиты», - Москва, 1991.
- Л.Хофман, «Современные методы защиты информации», - Москва, 1995.
- «Зарубежная радиоэлектроника», № 12, 1989 г.
- П.Зегжда, «Теория и практика. Обеспечение информационной безопасности». - Москва, 1996.
- Гостехкомиссия России. «Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения», - Москва, 1992.
- Журналы "Защита информации" №№ 1-8 изд. КОНФИДЕНТ, С-Пб.
- Пособие фирмы KNOWLIDGE EXPRESS, INK. "Специальная защита, объектов. Организация проведения поисковых мероприятий".
- Каталог фирмы KNOWLEDGE EXPRESS, INK. "Специальная техника систем
безопасности и защиты ". - Хисамов Ф.Г. «Теоретические и организационные-технические основы обеспечения информационной безопасности в системе специальной связи вооруженных сил России», Москва, Академия МВД РФ,-1997 г.
- 728.
Защита информации в локальных сетях
-
- 729.
Защита информации в экономических информационных системах (ЭИС)
Другое Компьютеры, программирование Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет проникновения в ЭВМ, которые с достаточной степенью надежности могут быть предотвращены (например, все данные хранятся только в зашифрованном виде), но и за счет побочных электромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также проникновения в каналы связи. Все без исключения электронные устройства, блоки и узлы ЭВМ в той или иной мере излучают побочные сигналы, причем они могут быть достаточно мощными и распространяться на расстояния от нескольких метров до нескольких километров. Наибольшую опасность представляет получение «противником» информации о ключах. Восстановив ключ, можно предпринять успешные действия по завладению зашифрованными данными, которые, как правило, оберегаются менее серьезно, чем соответствующая открытая информация. С этой точки зрения выгодно отличаются именно аппаратные и программно-аппаратные средства защиты от несанкционированного доступа, для которых побочные сигналы о ключевой информации существенно ниже, чем для чисто программных реализаций.
- 729.
Защита информации в экономических информационных системах (ЭИС)
-
- 730.
Защита информации от несанкционированного доступа методом криптопреобразования ГОСТ
Другое Компьютеры, программирование Таблица 1. Перечень файлов.№Функция модуля
- Универсальный базовый цикл ГОСТаgost$.asm
- Функция за- и расшифрования данных в режиме простой заменыsimple$.asm
- Функция за- и расшифрования данных в режиме гаммированияgamma$.asm
- Функция зашифрования данных в режиме гаммирования с обратной связьюgammale$.asm
- Функция расшифрования данных в режиме гаммирования с обратной связьюgammald$.asm
- Функция вычисления имитовставки для массива данныхimito$.asm
- Функция построения расширенного ключаexpkey$.asm
- Функция построения расширенной (1Кбайт) формы таблицы замен из обычной формы (128 байт)Expcht.asm
- Функция проверки, является ли процессор, на котором исполняется приложение, 32-битовым.expkey$.asm
- Заголовочный файл для использования криптографических функций в программах на языке СиGost.hКомплект модулей включает функции для основных режимов шифрования, а также две вспомогательные функции, предназначенные для построения расширенных соответственно ключа и таблицы замен. Ниже изложены принципы построения программных модулей.
- Все функции шифрования и вычисления имитовставки обрабатывают (т.е. шифруют или вычисляют имитовставку) области с размером, кратным восьми. Длина обрабатываемой области при вызове упомянутых функций задается в восьмибайтных блоках. В реальных ситуациях это не приводит к неудобству по следующим причинам:
- 730.
Защита информации от несанкционированного доступа методом криптопреобразования ГОСТ
- при шифровании простой заменой размер шифруемой области обязан быть кратным восьми байтам;
- при шифровании гаммированием (с или без обратной связи) массива данных с размером, не кратным восьми, будет также шифроваться и «мусор», содержащийся в последнем восьмибайтовом блоке за пределами значащих данных, однако его содержимое не оказывает никакого влияния на значащие данные и может не приниматься во внимание;
- при вычислении имитовставки для массивов данных их размер должен быть приведен к значению, кратному восьми, добавлением какого-либо фиксированного кода (обычно нулевых битов).
- Криптографические функции шифрования и вычисления имитовставки позволяют выполнять обработку массивов данных по частям. Это означает, что при вызове соответствующей функции один раз для некоторой области данных и при нескольких вызовах этой же самой функции для последовательных фрагментов этой же области (естественно их размер должен быть кратным восьми байтам, см. предыдущее замечание) будет получен один и тот же результат. Это позволяет обрабатывать данные порциями, используя буфер размером всего 8 байтов.
- Для за- и расшифрования массива данных в режиме простой замены используется одна и та же функция. Выбор одной из двух указанных операций осуществляется заданием соответствующего расширенного ключа. Порядок следования элементов ключа должен быть взаимно обратным для указанных операций.
- Для за- и расшифрования блока данных в режиме гаммирования используется одна и та же функция, поскольку в данном режиме зашифрование и расшифрование данных идентичны. Функция, реализующая шифрование гаммированием не осуществляет начальное преобразование синхропосылки (см. схему алгоритма на рис.5, блок 1), это необходимо выполнить с помощью явного вызова функции шифрования в режиме простой замены для синхропосылки, это плата за возможность шифровать массив по частям.
- Ради универсальности кода все указатели на области обрабатываемых данных сделаны дальними. Если сделать свой код для каждой модели памяти, возможно, будет достигнута некоторая ненулевая (но очень маленькая!) экономия памяти и времени выполнения, но по моему мнению, эта игра не стоит свеч.
-
- 731.
Защита информации. Основные методы защиты и их реализация
Другое Компьютеры, программирование Начиная с восьмидесятых годов компьютеры начали активно внедряться в нашу жизнь. Люди стали доверять им важнейшую информацию, попадание которой в чужие руки грозило тяжелыми последствиями. Однако информация оказалась незащищенной и остро стал вопрос о ее защите. Тогда появился целый круг специалистов по защите информации. В первую очередь программисты обратили свое внимание на такую науку как криптография. Еще Цезарь использовал шифрование сообщений, чтобы в случае случайного попадания к врагам те не могли прочитать их. Этот способ был принят за основу и назвали моно алфавитной подстановкой букв. То есть когда одна буква при помощи ключа однозначно заменялась на другую. Реализовать этот метод в программе было не так сложно, однако шифр легко вскрывался при помощи частотного анализа, то есть подсчитывалось сколько раз повторялся символ, а затем сопоставлялось с общими данными, в которых говорится, что самая часто повторяющаяся буква A, на втором месте - O и так далее. Во времена Цезаря проделать такую работу было очень сложно, однако сегодня при помощи того же компьютера шифр легко вскрывается. Поэтому разработчики пошли дальше: появились метод перестановки(текст делится на несколько частей, а затем эти части перестанавливаются в некотором порядке), метод много алфавитной подстановки и другие. В результате системы шифровки и дешифровки сообщений стали все сложнее и сложнее. И каждый раз хакерам удается распознать шифр и прочитать сообщение. С другой стороны появились “умные” вирусы, которые внимательно следили за процессом шифровки и пытались найти шифровальный ключ, а также вмешивались в работу программы. В результате сегодня шифровальные системы представляют сабой сложнейшие программные комплексы, которые шифруют сообщения последовательно несколькими методами, вводят дополнительную информацию в файл для того чтобы сбить с толку хакера, в процессе выполнения постоянно контролируют память компьютера и пытаются самостоятельно бороться от программ составленных хакерами. Создание такого комплекса требует от программиста великолепных знаний математики, особенности языка программирования, сильных и слабых сторон компьютера. Сегодня существуют программы, которые позволяют найти шифровальный ключ в памяти компьютера во время выполнения программы, поэтому необходимо представить этот ключ в виде некоторого уравнения, чтобы не было возможности найти его путем сканирования памяти компьютера. В результате шифровальные программы становятся все более громоздкими и медленными, в то время как современный пользователь требует чтобы информацию, полученную в зашифрованном виде, можно было немедленно дешифровать и использовать в своих целях, так как сегодня секунды решают все, при этом прочитать зашифрованное сообщение может только законный владелец информации. До 80-х годов основным заказчиком таких программ была армия и разведка, которые предъявляли высокие требования: шифр должен был быть таким что реально расшифровать его можно было лишь через несколько десятилетий, когда информация потеряет свою секретность, при этом не делался большой акцент на быстродействие программ. После 80-х появились новые заказчики - фирмы, банки, частные предприятия, которые предъявляли уже другие требования: слишком сложные и следовательно слишком медленные системы не требовались, однако программы должны были быть быстрыми, чтобы оперативно реагировать на сложившуюся ситуацию. Для частных фирм и предприятий не нужны такие методы шифрования, которые возможно лишь раскрыть через несколько десятилетий. Защита информации подразумевается лишь на период ее актуальности, который не превышает двух-трех лет. Сегодня появилось множество заказчиков на системы шифрования информации, однако выпуск таких программ большим тиражом не представляется возможным, так как это грозит потерей программой своей уникальной системы шифровки. Поэтому такие программы выходят в свет лишь в единичных экземплярах, так как некий пользователь сможет при помощи той же программы, с помощью которой информацию зашифровали, дешифровать и использовать ее в своих целях. Поэтому при создании программы-шифровщика нужно выполнить несколько требований: во-первых, программа должна быть универсальной, то есть была возможность пользователю самому создавать новые методы шифровки и использовать их для защиты своей программы; во-вторых, программа должна быть защищена от копирования, чтобы законный пользователь не смог раздавать установочный пакет программы всем своим друзьям и знакомым, и в тоже время злоумышленник не смог бы в тайне от пользователя скопировать себе эту программу; в-третьих, система должна сама сопротивляться действиям “умных” программ и вирусов, при этом должен быть постоянный контроль действий компьютера, так как современные методы шифровки информации очень гибкие, то есть малейшие изменения в зашифрованном тексте ведут к потере информации, что нежелательно для пользователя. Кроме того, сегодня все фирмы хранят информацию записанную в Word, Excel и других редакторах подобного рода, то есть файл хранящий записи не является текстовым: в нем записана информация в виде комбинации значков псевдографики, а такую информацию так же нужно защищать, поэтому необходимо создавать программы-шифровщики с учетом того, что информация, которую нужно защитить, не всегда представляет собой текст.
- 731.
Защита информации. Основные методы защиты и их реализация
-
- 732.
Защита информации: цифровая подпись
Другое Компьютеры, программирование В целом система переписки при использовании асимметричного шифрования выглядит следующим образом. Для каждого из N абонентов, ведущих переписку, выбрана своя пара ключей: "открытый" Ej и "закрытый" Dj, где j номер абонента. Все открытые ключи известны всем пользователям сети, каждый закрытый ключ, наоборот, хранится только у того абонента, которому он принадлежит. Если абонент, скажем под номером 7, собирается передать информацию абоненту под номером 9, он шифрует данные ключом шифрования E9 и отправляет ее абоненту 9. Несмотря на то, что все пользователи сети знают ключ E9 и, возможно, имеют доступ к каналу, по которому идет зашифрованное послание, они не могут прочесть исходный текст, так как процедура шифрования необратима по открытому ключу. И только абонент №9, получив послание, производит над ним преобразование с помощью известного только ему ключа D9 и восстанавливает текст послания. Заметьте, что если сообщение нужно отправить в противоположном направлении (от абонента 9 к абоненту 7), то нужно будет использовать уже другую пару ключей (для шифрования ключ E7, а для дешифрования ключ D7).
- 732.
Защита информации: цифровая подпись
-
- 733.
Защита маршрутизатора средствами CISCO IOS
Другое Компьютеры, программирование Cisco IOS software Identity Enhancements - новые функции IOS обеспечивают надежную идентификацию устройств и пользователей, участвующих в обмене информацией по защищенным каналам. Поддержка инфраструктуры PKI и интеграция с функциями AAA на серверах, маршрутизаторах и концентраторах доступа облегчают идентификацию в распределенной сети с использованием цифровых сертификатов и подписей. Secure RSA private key предотвращает использование украденных маршрутизаторов - в случае попытки вскрытия пароля приватные ключи маршрутизатора уничтожаются. N-tier CA Chaining позволяет отследить цепочку доверенных сертификатов, начиная с ближайшего и заканчивая центральным (root) certificate authority. Authentication Proxy проверяет права пользователя перед тем как выпустить пользователя за пределы сети. Secure ARP - связывает MAC и IP-адреса устройств, не позволяя подменить одно из устройств в процессе передачи данных. Поддержка 802.1X требует авторизации пользователя перед тем как пустить его трафик в сеть.
- 733.
Защита маршрутизатора средствами CISCO IOS
-
- 734.
Защита программ от компьютерных вирусов
Другое Компьютеры, программирование При контроле загрузочных секторов программа использует меры, позволяющие ей обнаруживать так называемые вирусыневидимки. Такие вирусы контролируют обращение к функциям и прерываниям ДОС, а также к прерыванию $13 BIOS и при попытке чтения зараженного вирусом участка диска «подсовывают» программе сохраненную вирусом копию незараженного участка. Единственным способом обнаружения таких вирусов является непосредственное обращение к контроллеру диска или прямой вызов прерывания $13в постоянной памяти BIOS. Поскольку BIOS обычно учитывает особенности конкретного контроллера диска, второй путь будет более простым, однако для его реализации необходимо каким-то образом определить начало в BIOS программы, обрабатывающей прерывание $13 (сразу после загрузки ДОС вектор $13 перехватывается программами 1ВМ10.СОМ и показывает на резидентную в оперативной памяти часть ДОС). Для определения «чистого» вектора $13 в программе используется мультиплексное прерывание $2F, которое для подфункции $13 возвращает в регистрах DS'.DX требуемый адрес. Поскольку при этом прежнее содержимое регистров DS'.DX автоматически помещается в вектор $13, это прерывание необходимо вызывать дважды подряд с промежуточным запоминанием регистров DS'.DX в стеке (см. процедуру BuildArch в программе ANTIVIR). В ходе контроля загрузочных секторов программа переназначает обычно пустующий вектор $62 так, чтобы он указывал на вход в обработчик $13, и использует затем этот вектор для скрытого от вируса чтения секторов жесткого диска. К сожалению этот прием нельзя использовать для контроля архивных файлов, так как в последнее время широкое распространение получили программы динамического сжатия/раскрытия информации (самыми популярными из таких программ являются Double Space и Stacker). Контроль динамически сжатых дисков непосредственным чтением секторов невозможен, так как в этом случае отключается не только возможный вирус, но и резидентная программадеархиватор. В результате не удается найти начальный сектор защищаемого файла и проверить PSP программы.
- 734.
Защита программ от компьютерных вирусов
-
- 735.
Защита сервера DNS - Настройка безопасности
Другое Компьютеры, программирование Из соображений безопасности рекомендуется запускать все сетевые сервисы в так называемом chroot-окружении. Сейчас поясню, что это такое. Создается файловая система, повторяющая структуру корневой файловой системы, но на этой файловой системе будут только те файлы, которые необходимы для запуска нашего сетевого сервиса. Взломав сетевой сервис и получив доступ к корневой файловой системе, злоумышленник не сможет повредить всей системе в целом, поскольку он получит доступ только к файлам, которые принадлежат данному сетевому сервису. Одни сетевые сервисы могут работать в chroot-окружении, а другие - нет. Сервис BIND как раз относится к первой группе. Теперь разберемся, как все это организовывается. Вам не нужно создавать отдельный раздел на диске для каждого сетевого сервиса: нужно только создать каталог, например, root-dns, в который вы скопируете все файлы, необходимые для запуска сервера DNS. Потом, при запуске сервиса, будет выполнена команда chroot для этого сервиса, которая подменит файловую систему. А так как в каталоге root-dns, который станет каталогом /, имеются все необходимые файлы для работы bind, то для сервиса запуск и работа в chroot-окружении будет совершенно прозрачным.
- 735.
Защита сервера DNS - Настройка безопасности
-
- 736.
Защита телефонных сетей от злоумышленников. Борьба с телефонным пиратством
Другое Компьютеры, программирование В настоящее время на рынке продуктов системы на базе личных ключей наиболее распространены. Например, многие системы запрос-ответ основаны на использовании личных ключей. Тем не менее, системы на основе открытых ключей завоевывают все большую популярность, поскольку такая система предлагает возможное решение по обеспечению конфиденциальности коммерческих операций в Internet. Почему? Дело в том, что основная цель систем на базе открытых ключей заключена в обеспечении конфиденциальности переговоров между двумя собеседниками в большой группе пользователей. Для этого надо просто воспользоваться открытым ключом адресата для кодирования предназначенных ему сообщений. Никто другой не сможет прочесть закодированные таким способом сообщения. По отношению к Internet это означает следующее. Частные лица и компании получают личные ключи. Доступ же к соответствующим открытым ключам открывается для всех желающих. Решив, например, приобрести товары, рекламируемые какой-либо компанией в Web, покупатель может закодировать номер своей кредитной карточки с помощью открытого ключа компании и отправить это сообщение по указанному адресу. Для декодирования данных необходимо лишь знание личного ключа компании. Проблема тут только в том, что покупатель должен знать открытый ключ компании.
- 736.
Защита телефонных сетей от злоумышленников. Борьба с телефонным пиратством
-
- 737.
Защита электронной почты в Internet
Другое Компьютеры, программирование Итак, рекомендуемые меры и средства для защиты электронной переписки:
- Сильные средства аутентификации, например, технология двухфакторной аутентификации.
- Эффективное построение и администрирование сети. Речь идет о построении коммутируемой инфраструктуры, мерах контроля доступа и фильтрации исходящего трафика, закрытии «дыр» в программном обеспечении с помощью модулей- «заплаток» и регулярном его обновлении, установке антивирусных программ и многом ином.
- Криптографию, основанную на сильных криптоалгоритмах (Симметричные - RC4, RC5, CAST, DES, AES, оптимальная длина ключа которых = 128 разрядов, ассиметричные - RSA, Diffie-Hellman и El-Gamal, оптимальная длина которых 2048 разряда.
- Если криптографический алгоритм, используемый в системе достаточно стоек, а генератор случайных чисел, используемый для создания ключей, никуда не годится, любой достаточно опытный криптоаналитик в первую очередь обратит своё внимание именно на него.
- Если удалось улучшить генератор, но ячейки компьютера не защищены, после того как в них побывал сгенерированный ключ, грош цена такой безопасности.
- Следует учитывать, что большинство сбоев в обеспечении информационной безопасности происходит не из-за найденных слабостей в криптографических алгоритмах и протоколах, а из-за вопиющих оплошностей в их реализации.
- Данная мера, которая в основном используется для усиления защиты электронных коммерческих операций, может быть реализована и для защиты обычной e-mail. Это построение многоуровневой эшелонированной системы обороны, которая заключается в реализации защиты на нескольких уровнях модели OSI. Например, если какие-то приложения Web имеют встроенные протоколы защиты данных (для e-mail это могут быть PGP или S/MIME), использование IPSec позволяет усилить эту защиту.
- Надо отметить, что SSL защищает письма только при передаче и если не используются другие средства криптозащиты, то письма при хранении в почтовых ящиках и на промежуточных серверах находятся в открытом виде.
- 737.
Защита электронной почты в Internet
-
- 738.
Защити свой голос по IP
Другое Компьютеры, программирование Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения межсетевые экраны (МСЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и пограничные контроллеры сеансов (Session Border Controller). Однако не стоит приобретать первое попавшееся устройство, так как протоколы IP-телефонии (например, SIP или RTP) накладывают на их функционал определенные ограничения. В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например SIP, информацию о параметрах соединения размещают не в заголовке пакета, а в теле данных. Поэтому устройство защиты должно быть способно анализировать не только заголовок, но и тело данных пакета, вычленяя из него все необходимые для организации голосового соединения сведения. Еще одним ограничением является сложность совместного применения динамических портов и NAT.
- 738.
Защити свой голос по IP
-
- 739.
Защитные и коммутационные разрядники
Другое Компьютеры, программирование В проводящем состоянии из-за малого собственного сопротивления разрядники не определяют величину тока. Обычно она ограничена активным (или индуктивным) сопротивлением элементов цепи. Характерные параметры разрядников: пороговое напряжение - от 70 В до 300 кВ, допустимый ток - до 150 кА. Для некоторых типов разрядников (защита цепей, находящихся под сравнительно высоким рабочим напряжением) в качестве параметров указывается напряжение, при котором разрядник возвращается в непроводящее состояние. Характерные значения напряжения - от 50 В до 8 кВ. Важными параметрами коммутирующих разрядников являются максимально допустимая частота следования импульсов (10 - 100 Гц) и срок службы, который характеризуют гарантированным числом коммутаций (106 - 107) или зарядом, коммутируемым за весь период работы (103 - 104 Кл - «суммарный заряд»).
- 739.
Защитные и коммутационные разрядники
-
- 740.
Защищаем Perl: шунт в мозг, или зверская нейрохирургия
Другое Компьютеры, программирование Замечание: Из этого листинга мы видим, что программа импортирует библиотеку Perl56.dll Это большая и "тяжелая" динамическая библиотека, которая поддерживает все функции Perl; Perl.exe же фактически является небольшим загрузчиком для этой библиотеки, только лишь запуская ее единственную функцию RunPerl. Смысл такого разделения, видимо, в том, что при завершении работы Perl.exe система выгружает библиотеку из памяти лишь через несколько секунд, если к ней не будет новых обращений. Поскольку все запущенные копии Perl.exe используют только одну копию библиотеки, система экономит время на выгрузках-загрузках (при условии, конечно, что эта библиотека постоянно "висит" в памяти). Замечу, что экономии памяти от такого разделения не происходит, т.к. общие страницы всех запущенных копий одного и того же исполняемого файла система по любому помещает на одни и те же физические адреса.
- 740.
Защищаем Perl: шунт в мозг, или зверская нейрохирургия