ВУЗ:
Составители:
Совокупность перечисленных выше сервисов безопасности называют полным набором. Считается, что его, в принципе,
достаточно для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда до-
полнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).
Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности
можно разделить на следующие виды:
−
превентивные, препятствующие нарушениям ИБ;
−
меры обнаружения нарушений;
−
локализующие, сужающие зону воздействия нарушений;
−
меры по выявлению нарушителя;
−
меры восстановления режима безопасности.
Большинство сервисов безопасности попадает в число превентивных. Аудит и контроль целостности способны помочь
в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью лока-
лизации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна.
Управление играет инфраструктурную роль, обслуживая все аспекты ИС.
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, по-
скольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это
первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя,
или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая
сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация"
иногда используют словосочетание "проверка подлинности".
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (вза-
имной). Пример односторонней аутентификации – процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого серви-
са есть два основных аспекта:
−
что служит аутентификатором (т.е. используется для подтверждения подлинности субъекта);
−
как организован (и защищен) обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:
−
нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
−
нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
−
нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., т.е. свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это
значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованны-
ми для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, т.е. от пере-
хвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не
спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы
аутентификации.
Надежная идентификация и аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-
первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие
между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора – с другой.
В-третьих, чем надежнее средство защиты, тем оно дороже.
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Еди-
ный вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много инфор-
мационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится
слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения
пока не сформировались.
Парольная аутентификация – проста и уже давно встроена в операционные системы и иные сервисы. При правильном
использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по сово-
купности характеристик их следует признать самым слабым средством проверки подлинности. Чтобы пароль был запоми-
нающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Иногда пароли с самого нача-
ла не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки
системы производится их смена.
Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы. Пароли нередко
сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Пароль можно угадать
"методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно
скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алго-
ритм шифрования известен).
Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:
−
наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы,
цифры, знаки пунктуации и т.п.);
−
управление сроком действия паролей, их периодическая смена;
−
ограничение доступа к файлу паролей;
−
ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");
−
обучение пользователей;
Страницы
- « первая
- ‹ предыдущая
- …
- 72
- 73
- 74
- 75
- 76
- …
- следующая ›
- последняя »
