При физическом соединении двух или более компьютеров образуется компьютер¬ная сеть
Вид материала | Лекция |
СодержаниеЛекция № 16 |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Компьютерная сеть, 40.27kb.
- Главная цель, которая преследуется при соединении компьютеров в сеть это возможность, 353.46kb.
- Еранист* Беседа о неслиянном соединении естеств в Иисусе Христе, 412.54kb.
- 1. Мультимедиа технологии в туристическом бизнесе, 110.91kb.
- C максим Мамаев, 2241.79kb.
- Архитектура Вычислительных Систем», Университет «Дубна» лекция, 144.31kb.
- План: 1-Что такое Интернет (понятие) 2-Способы подключения к Интернет, 81.69kb.
- Межрегиональная Сеть «За преодоление социальной исключенности», 175.09kb.
- Межрегиональная Сеть «За преодоление социальной исключенности», 119.93kb.
ЛЕКЦИЯ № 16 Тема: Реализация мер безопасности в сетях Основные концепции системы безопасности "Три А" систем безопасности Один из общепринятых подходов к безопасности получил название три А систем безопасности. Этим понятием обозначаются три следующие концепции. • Аутентификация • Авторизация • Аудит Если в структуре информационной системы реализованы средства, обеспечивающие управление в трех указанных выше областях, значит, о такой компьютерной системе можно сказать, что она надежно за¬щищена. 1. Аутентификация Аутентификация (authentication) — это наличие возможности у одной сущности (компьютера, человека или любой другой) доказать свою идентичность другой сущно¬сти. Пользователи многих компьютерных систем при доступе к этим системам идентификаторы и пароли; проходят аутентификацию. Схемы аутентификации: интеллектуальные пластиковые картыцифровые подписи и цифровые сертификаты; биометрические устройства. Идентификаторы и п(smart card); ароли Обычно каждый пользователь независимо от типа операционной сис¬темы должен предоставить для получения доступа к нужной ему службе идентификатор и пароль. Операционная система сравнивает полученный пароль с паролем, кото¬рый хранится в ее базе данных для соответствующего пользовательского идентифика¬тора. Стратегия обеспечения безопасности обязательно должна содержать меры, предотвращающие использование слабых паролей. Если пользователям разрешается выбирать пароли на свой вкус, то все же должны быть установлены правила, ограни¬чивающие этот выбор соответственно нуждам сетевой безопасности. Перечислим некоторые полезные правила создания паролей. • Пароль ни в коем случае не должен быть словом или числом, которое можно угадать, зная пользователя (например, номером его паспорта или именем его собаки). • Во многих программах взлома паролей методом автоматического перебора используются списки обычных слов, поэтому пароль не должен быть словом из словаря. Рекомендуется сочетать в пароле буквы и цифры, например рыбка28. • В большинстве операционных систем пароли чувствительны к регистру, поэтому рекомендуется переводить часть букв пароля в верхний регистр, например берЕЗА. • Пароль должен быть легко запоминаемым. Иначе пользователь будет забывать его и рано или поздно станет записывать на клочках бумаги. • Чем длиннее пароль, тем труднее его взломать. Например, пароль "черноеморе" лучше, чем "море". Однако, чем длиннее пароль, тем труднее его запомнить. К счастью, при увеличении числа символов количество вариантов пароля (а значит, его криптографическая сила) возрастает в геометрической прогрессии. Обычно достаточно 7–8 символов. Пароль из 9-10 символов можно считать чрезвычайно сильным, дальнейшее удлинение не имеет никакого смысла. • В системах с высокими требованиями к безопасности пользователи должны периодически менять свои пароли. Новый пароль не должен быть похож на старый. Например, нельзя менять пароль "автобус2" на "автобус5". Не следует также менять пароли слишком часто, потому что пользователям будет труднее их запомнить и придется записывать на клочках бумаги. • Многие сетевые операционные системы позволяют администратору задавать такие критерии выбора паролей, как длина пароля, история паролей (т.е. система хранит список предыдущих паролей и следит, чтобы они не повторялись) и время жизни пароля (по истечении заданного промежутка времени система напоминает пользователю, что пора сменить пароль). Существуют также программы, позволяющие администратору устанавливать параметры паролей. Например, программа проверяет, есть ли такое слово в словаре и, если есть, предотвращает использование пароля.
Среди других схем аутентификации можно выделить такие, как цифровая подпись, цифровые сертификаты, специальные устройства, например интеллек-туальные пластиковые карты (smart card) и биометрические устройства. Современные средства идентификации и аутентификации По мере того как растут размеры корпоративных сетей, поддерживающих уже ты¬сячи пользователей, идентификация и аутентификация пользователей становятся все более важной частью систем обеспечения безопасности. Определение идентичности пользователя, пытающегося зарегистрироваться в сети или получить доступ к ресур¬сам, служит фундаментом хорошего плана обеспечения безопасности. Несмотря на всю изощренность средств шифрования паролей, слабым местом ме¬тода аутентификации на основе имени пользователя и пароля остается возможность их обнаружения и применения потенциальным злоумышленником. Для решения этой проблемы разрабатываются методы идентификации и аутентификации, которые не¬возможно подделать: • интеллектуальные карты; • биометрические методы, включая идентификацию отпечатков пальцев, радужной оболочки глаза и "отпечатков" голоса. Пока что эти методы можно встретить лишь в некоторых правительственных учре¬ждениях. Однако в ближайшее десятилетие следует ожидать их весьма широкого рас¬пространения, поэтому важно уже сейчас знать основные принципы их работы. Рассмотрим каждый биометрический метод подробнее. Интеллектуальные карты Это устройство аутентификации внешне напоминает кредитную карточку. В интеллектуальной карте хранится необходимая регистрационная информация, напри¬мер открытые/закрытые ключи и пароли. Технология хранения может варьировать от самой простой (на основе магнитной полоски на поверхности карты) до такой слож¬ной, как встроенная в карту интегральная микросхема. В некоторые операционные системы, например Windows 2000, включены встроен¬ные средства поддержки интеллектуальных карточек. Если в операционной системе нет встроенных средств их поддержки, то для этого можно использовать дополнитель¬ное программное обеспечение. Информация интеллектуальной карточки поступает в компьютер с помощью спе¬циального устройства, которое называется считывателем интеллектуальных карт. Благодаря тому, что пользователь должен физически держать в руках интеллектуаль¬ную карту, она является более сильным средством обеспечения безопасности, чем пароль. Карта может использоваться вместо ввода пользователем регистрационной ин¬формации или совместно с этим методом. В системах с высокими требованиями к безопасности получить доступ только с помощью карты нельзя. Пользователь должен вставить карту в считыватель и ввести правильную регистрационную информацию с клавиатуры. Поэтому потенциальный злоумышленник, обнаруживший каким-либо образом пароль, не сможет зарегистри¬роваться и получить доступ, не имея в руках карты. И наоборот: если злоумышленник похитит карту, то он не сможет получить доступ, не зная правильного пароля. Биометрические устройства Однако все еще сохраняется возможность того, что злоумышленник выведает па¬роль и завладеет интеллектуальной картой. Чтобы исключить и эту возможность, раз¬рабатываются такие средства, как идентификация отпечатков пальцев, радужной обо¬лочки глаза и индивидуальных характеристик голоса пользователя. Научная дисцип¬лина, на основе которой разрабатываются такие технологии, называется биометрией. Работа биометрических методов основана на анализе индивидуальных характери¬стик человеческого организма, вероятность совпадения которых у двух разных людей настолько мала, что в судебном законодательстве допускается использование результа¬тов биометрического анализа в качестве вещественного доказательства. На основе ин¬дивидуальных биологических параметров биометрические средства идентификации способны обеспечить вполне надежную позитивную идентификацию пользователя. Рассмотрим, как работают различные биометрические методы. Идентификация отпечатков пальцев Система идентификации отпечатков пальцев часто используется совместно с ин¬теллектуальной картой. Отпечатки пальцев пользователей предварительно считываются и вводятся в базу данных. Когда пользователь хочет получить доступ к компьютеру, он должен поместить палец (или несколько пальцев) на экран считывателя. Данные считывателя сравниваются с отпечатками, хранящимися в базе данных. В зависимости от результата сравнения, пользователь получает или не получает доступ. Идентификация сетчатки и радужной оболочки глаза Еще один способ идентификации личности основан на уникальности биологических характеристик сетчатки глаза (внутренней поверхности глазного яблока, на которой распо¬лагаются нервные окончания, служащие рецепторами световых сигналов). Для сканирова¬ния участка поверхности сетчатки используется световой луч низкой интенсивности. На уникальности характеристик человеческого глаза основан также метод идентификации радужной оболочки. В этом методе компьютер анализирует рисунок ра¬дужной оболочки, представляющей собой пигментированную округлую мембрану, благодаря которой глаза имеют определенный цвет. По некоторым данным рисунок радужной оболочки даже более индивидуален, чем отпечатки пальцев или ДНК. Ри¬сунки радужной оболочки отличаются даже у полных близнецов. Отпечатки голоса Этот метод идентификации личности основан на уникальности некоторых харак¬теристик голоса. В данном методе пользователь должен сначала произнести пароль, т.е. некоторую фразу, которая сохраняется в базе данных. После этого для регистрации пользователь произносит эту же фразу и образцы сравниваются. При сравнении учитываются такие характеристики, как высота основного тона, интонация и модуляция голоса. Методы на основе отпечатков голоса считаются менее надежными, чем на основе рисунков сетчатки, радужной оболочки или отпечатков пальцев. Чаще всего методы идентифи¬кации по отпечаткам голоса используются, когда нужно аутентифицировать личность по телефонной линии. Будущее биометрических методов Во всем мире популярность биометрических методов аутентификации быстро рас¬тет. Особенно после трагических событий 11 сентября 2001 года. Биометрические методы становятся все более надежными. Постепенно решаются проблемы, связанные с возможностями подделки. Эти факторы определенно указы¬вают на то, что в недалеком будущем биометрические методы будут использоваться почти на каждом рабочем месте, оборудованном выходом в сеть. 2. Авторизация В процессе аутентификации система удостоверяется, что пользователь действи¬тельно является тем, за кого себя выдает. Однако этого недостаточно — при работе в системе нужно проверить, имеет ли конкретный пользователь право получать доступ к тем или иным ресурсам либо выполнять те или иные операции. Такая проверка назы¬вается авторизацией (authorization). Она может осуществляться при проверке разрешений пользователя (например, разрешений на чтение, запись или удаление) по отношению к какому-то объекту либо при определении, имеет ли он право выполнять какое-то действие (например, добавлять новых пользователей или устанавливать приложения). Возможны ситуации, когда выполняется аутентификация, но отсутствует авториза¬ция. Например, у пользователя есть идентификатор и пароль, но нет средств получе¬ния доступа к файлам. Если администратор полностью контролирует назначение та¬ких средств группе, которой принадлежит пользователь, последний сможет успешно начать сеанс работы в системе, но не сможет ни запускать программы, ни копировать или читать файлы. 3. Аудит Аудит (auditing) — это наблюдение за тем, происходят ли в системе события долж¬ным образом. Для того чтобы обеспечить надлежащий уровень контроля, необходимо иметь средство, с помощью которого можно было бы отслеживать происходящие в системе процессы и события. Любой человек не отказался бы от возможности постоянно быть в курсе событий, про¬исходящих в доме во время его отсутствия. Когда мы имеем дело с компьютерными системами, нам, к счастью, не приходится рассчитывать на то, что за ними будут присматривать соседи, — большинство серьезных операционных систем генерируют журналы регистрации событий, в которые заносятся все интересующие администратора операции. Для аудита информационных систем необходимо, чтобы на уровне компьютерной системы велась регистрация событий. Это позволит администраторам, аудиторам ин¬формационных систем, а также другим имеющим соответствующие полномочия должностным лицам определять, какие операции выполнялись тем или иным пользо¬вателем либо той или иной системой. Степень детализации событий, регистрируемых в контрольных журналах, зависит от следующего: • возможностей системы аудита, основанных на средствах конкретной опе-рационной системы; • работающих средств аудита (некоторые операционные системы не могут функ¬ционировать без набора определенных включенных средств аудита). Контрольные журналы являются эффективным средством для определения дейст¬вий, выполняемых пользователями. Например, контрольные журналы могут расска¬зать о том, кто получал доступ к файлам начисления зарплаты, добавлял пользователя к группе администраторов или последним применял принтер для распечатки чеков.