Лекція 2 19.02.2013

Тема:

Напрями загроз НСД.

1) Радіотехнічний. Електромагнітне випромінювання засобів обчислювальної техніки може бути прийняте і підсилене, крім того, в обчислювальну техніку її розробниками можуть бути навмисно вмонтовані так звані апаратні закладки, здатні передавати інформацію назовні під дією зовнішніх керувальних приладів.

2) Організаційні. Створення груп людей для підслуховування, підглядування, викрадення носіїв інформації тощо.

3) Комунікаційний. Під’єднання до системи жучків, несанкціонованих терміналів тощо.

4) Програмний (віруси, троянські коні, черви та інше шкідливе програмне забезпечення).

Основні напрями та засоби захисту.

1) Нормативно-правовий (закони, стандарти, сертифікація засобів захисту тощо). В Україні в галузі захисту інформації прийнято кілька законів, зокрема «Закон про інформацію» 1992 рік і «Закон про захист інформації в автоматизованих системах».

Організована служба контролю за виконання цих законів у вигляді департаменту спеціальних телекомунікаційних систем та захисту інформації СБУ.

2) Системно-технічний – множина апаратних засобів для вирішення задач захисту інформації.

3) Програмний напрям – множина програмних засобів для вирішення задач захисту інформації.

Узгоджена сукупність всіх вказаних методів та засобів називається системою захисту інформації. Принципи проектування систем захисту інформації.

Розробка системи захисту повинна проводитися паралельно із системою, що захищається, при цьому рекомендується дотримуватися наступних принципів:

1) Не секретність проектування. Якщо опис системи захисту не можна опублікувати у відкритій пресі, то на таку систему не можна і покластися. Секретними в системі мають бути лише кілька ключових параметрів. Ознайомлення кваліфікованих спеціалістів із системою захисту на етапі проектування сприяє виявленню і усуненню її недоліків.

2) При порушенні користувачем правил роботи із системою до нього неминуче мають бути застосовані штрафні санкції.

3) Повне посередництво – система повинна перевіряти повноваження кожного суб’єкта при кожному зверненні до кожного об’єкта. При наступних зверненнях не повинно бути можливості використати результати попередніх.

4) Зручність користувача. Взаємодія користувача з системою повинна бути простою, природньою і легкою, інакше користувач не буде використовувати систему, або буде намагатись її обдурити.

5) Мінімальні повноваження. Кожному користувачу, програмі чи терміналу потрібно надавати лише ті повноваження, які йому дійсно необхідні для вирішення його задач.

6) Наявність кількох ключів для відкриття системи захисту, які фізично рознесені і за які відповідають різні особи, збільшує надійність системи захисту.

7) Мінімум спільного механізму – необхідно зводити до мінімуму число спільної для кількох користувачів параметрів системи захисту.

8) Економічність – система має бути простою і дешевою в експлуатації.

Тема:Ідентифікація, аутентифікація та авторизація користувача.

Основні поняття та визначення.

1) Ідентифікація – присвоєння суб’єкту чи об’єкту унікального імені (ідентифікатора), яке дозволяє відрізнити його від інших і під яким він зареєстрований в системі. Ідентифікація – одна із функцій системи захисту, виконується першою.

2) Аутентифікація – встановлення справжньості – перевірка того, чи дійсно суб’єкт чи об’єкт, який надав ідентифікатор, є тим, за кого себе видає. Будь-який засів чи метод аутентифікації базується на використанні одного з трьох факторів: суб’єкт, який пред’явив ідентифікатор, повинен:

- Щось мати (фізичний або електронний ключ)

- Щось знати (володіти унікальною інформацією: пароль, алгоритм тощо)

- Кимось бути (відбитки пальців, спектр голосу, рисунок радужної оболонки ока, форма долоні, манера роботи з мишею тощо)

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Лекція 1 12.02.2013	\|	Лекція 3 26.02.2013

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.004 сек.