Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Схема реализации

Оценка качества ИТ | Моделирование данных | По дисциплине | Электронная почта 1 страница | Электронная почта 2 страница | Электронная почта 3 страница | Электронная почта 4 страница | Структурный подход | Виды мер противодействия угрозам безопасности |


Читайте также:
  1. B) — інтегральна схема, яка виконує функції центрального процесора (ЦП) або спеціалізованого процесора.
  2. F48.1 Синдром деперсонализации-дереализации
  3. VII. ТРЕБОВАНИЯ К УСЛОВИЯМ РЕАЛИЗАЦИИ ОСНОВНЫХ ОБРАЗОВАТЕЛЬНЫХ ПРОГРАММ МАГИСТРАТУРЫ
  4. А) основные требования и принципиальная схема лечебно-эвакуационного обеспечения
  5. Административные процедуры как форма реализации компетенции органов внутренних дел.
  6. Административные реформы: цели, задачи и основные направления реализации.
  7. Анализ объема производства и реализации продукции.

Задача. Есть два собеседника — Алиса и Боб, Алиса хочет передавать Бобу конфиденциальную информацию.

Генерация ключевой пары.

Боб выбирает алгоритм и пару открытый, закрытый ключи — и посылает открытый ключ Алисе по открытому каналу.

Шифрование и передача сообщения.

Алиса шифрует информацию с использованием открытого ключа Боба.

 

И передает Бобу полученный шифротекст.

Расшифрование сообщения.

Боб, с помощью закрытого ключа, расшифровывает шифротекст.

 

Если необходимо наладить канал связи в обе стороны, то первые две операции необходимо проделать на обеих сторонах, таким образом, каждый будет знать свои закрытый, открытый ключи и открытый ключ собеседника. Закрытый ключ каждой стороны не передается по незащищенному каналу, тем самым оставаясь в секретности.

 

 

Гибридный шифр использует и симметричный шифр, и шифр с открытым ключом. Сначала генерируется случайный ключ для симметричного шифра, называемый сеансовым ключом. Сообщение зашифровывается симметричным шифром с использованием сеансового ключа. Затем сеансовый ключ зашифровывается открытым ключом получателя. Сеансовый ключ, зашифрованный шифром с открытым ключом, и сообщение, зашифрованное симметричным шифром, автоматически объединяются вместе. Получатель использует свой секретный ключ для расшифровки сеансового ключа и, затем, использует полученный сеансовый ключ для расшифровки сообщения. Так как ключ симметричного шифра передаётся защищённым образом, то для каждого сообщения генерируется новый сеансовый ключ. Дополнительно, появляется возможность зашифровать сообщение сразу для нескольких получателей, при этом к сообщению, зашифрованному сеансовым ключом, добавляется несколько копий сеансового ключа, зашифрованного открытыми ключами разных получателей. И PGP и GnuPG используют именно гибридную схему.

Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)

ЭЦП — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

 

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом[1].

 

Использование электронной подписи позволяет осуществить:

· Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

· Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

· Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.

· Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

 

За выдачу сертификата ЭЦП отвечают удостоверяющие центры. Они подтверждают подлинность информации о владельце электронной подписи и его полномочиях. Удостоверяющим центром может стать организация, которая пропишет соответствующий вид деятельности в уставе и получит необходимые разрешения и лицензии. В данный момент на территории РФ активно работают около 100 удостоверяющих центров. Большую часть рынка делят между собой 7-10 крупнейших УЦ.


 

12. Системы аутентификации. Службы каталогов (Active Directory, NDS). Инструментальные средства реализации.

 

Идентификация пользователя — это получение от него ответа на вопрос: «Кто ты?» Скажем, Вася. А аутентификация — это требование: «А теперь докажи, что ты именно Вася» и последующая проверка доказательств. То есть проверка, действительно ли пользователь является тем, за кого он себя выдает.

Система аутентификации/идентификации пользователей является важнейшим компонент корпоративной системы информационной безопасности. Более того, в некоторых приложениях задача идентификации доступа человека или процесса к защищаемому ресурсу является даже более важной, чем собственно задача обеспечения конфиденциальности. Эта система должна подтвердить личность пользователя информационной системы и поэтому должна быть надежной и адекватной. Дело в том, что аутентификация тесно связана с другими процессами в системе информационной безопасности, например, с протоколированием действий пользователей. Поэтому, не имея строгой идентификации пользователя, при расследовании инцидента очень тяжело установить причину и виновников.

 

На данный момент, средства аутентификации/идентификации можно разделить на три группы, в соответствии с применяемыми принципами:

· принцип «что вы знаете» («you know»), лежащий в основе методов аутентификации по паролю;

o Постоянный пароль

o Разовый пароль

· принцип «что вы имеете» («you have»), когда аутентификация осуществляется с помощью магнитных карт, токенов и других устройств;

· принцип «кто вы есть» («you are»), использующий персональные свойства пользователя (отпечаток пальца, структуру сетчатки глаза и т.д.).

Системы строгой аутентификации/идентификациииспользуют комбинации факторов.

Самыми дешевыми являются средства аутентификации группы «you know». Они же имеют самую низкую надежность. Судите сами, пароль пользователя можно подсмотреть, перехватить в канале связи или просто подобрать. В том случае если политика безопасности требует применения сложных паролей, пользователям трудно их запоминать, и «самые одаренные» начинают записывать их прикрепляя листочки с паролями в таких «безопасных» местах, как монитор или обратная сторона клавиатуры. Этот подход особенно опасен в системах, где сотрудник применяет один пароль для аутентификации и работы со многими приложениями и информационными системами. Парольная защита полностью дискредитирует себя, если, не осознавая важности аутентификации, сотрудники передают личный пароль коллегам, для «удобства».

Системы строгой аутентификации/идентификации, построенные на комбинации факторов «you know» и «you have» дают значительно больше возможностей для усиления защиты. Примерами этого подхода могут служить USB-ключи, являющиеся, по сути, контейнерами для электронно-цифровой подписи. Кроме самого ключа, вставляемого для идентификации в USV-порт компьютера, необходимо ввести еще и и ПИН-код, являющийся по сути паролем. Использование таких устройств возможно для проведения аутентификации при удаленном доступе с рабочего места, имеющего низкий уровень доверия, например, при работе в офисе клиента или интернет-кафе. Разумеется, данный способ также не лишен недостатков – USB-ключ, например, тоже может быть передан вместе с ПИН-кодом другому пользователю.

Недостатков у «предметной» аутентификации несколько меньше, чем у парольной, а именно следующие:

· предмет может быть похищен или отнят у его владельца;

· в большинстве случаев требуется специальное оборудование для работы с предметами;

· иногда возможно изготовление копии или эмулятора предмета.

Очевидно, что более строгую идентификацию обеспечивают средства, основанные на так называемых биометрических методах. Реально используемые на данный момент биометрические системы идентификации включают системы доступа по отпечатку пальца, форме уха, клавиатурному почерку, отпечатку ладони, структуре сетчатки глаза, рисунку радужной оболочки глаза, подписи и голосу. Наиболее широко используются аутентификация по отпечаткам пальцев.

В качестве уникальных признаков человека используются также характеристики его голоса, образец рукописной подписи, «клавиатурный почерк» (интервалы времени между нажатиями клавиш, составляющих кодовое слово, и интенсивность нажатий), геометрия руки и др. Однако эти технологии значительно меньше распространены, чем описанные выше

 

Служба каталогов в контексте компьютерных сетей — программный комплекс, позволяющий администратору работать с упорядоченным по ряду признаков массивом информации о сетевых ресурсах (общие папки, серверы печати, принтеры, пользователи и т. д.), хранящимся в едином месте, что обеспечивает централизованное управление как самими ресурсами, так и информацией о них, а также позволяющий контролировать использование их третьими лицами.

 

Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

· Единая регистрация в сети; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.

· Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети.

· Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься.

· Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.

· Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.

 

eDirectory представляет собой иерархическую, объектно-ориентированную базу данных, которая представляет все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т. д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счёт использования динамического наследования прав и использования механизмов эквивалентности по правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.

 

Хотя обе системы именуют "системами обслуживания каталога", они различны. Важное различие меж ними — способ предназначения и хранения разрешений.

Организация разрешений на доступ к объектам. В NDS разрешения на доступ к объектам организованы не в согласовании с кодами групп и юзеров, а в согласовании с организациями (О) либо организационными единицами (OU). Если вы перемещаете учетную запись юзера из организационной единицы (OU) с заглавием ENGINEERING в единицу, именуемую MARKETING, она теряет все разрешения от ENGINEERING, но приобретает все разрешения от MARKETING.

С иной стороны, Active Directory организует разрешения на доступ в согласовании с кодом юзеров и групп, как и доменная система, применяемая в Windows NT. Перемещение юзеров из одной организационной единицы в другую совсем не затрагивает их разрешения. Чтоб поменять набор разрешений юзера, нужно удалить его из группы ENGINEERING и включить в MARKETING. Если же вы просто включите юзера в группу MARKETING и не удалите из ENGINEERING, юзер сохранит оба набора разрешений.

способности на самом верхнем уровне дерева каталогов, а потом распространяются на все нижележащие объекты данного дерева. В Active Directory, напротив, все разрешения на доступ к объекту сохраняются в самом объекте. Потому размер объектов Active Directory (и, соответственно, баз данных Active Directory) намного больше, чем в NDS, так как они должны сохранять собственные права (rights). Но в то же время таковой способ хранения разрешений не-сколько ускоряет работу операционной системы, так как ей нет нужды "подниматься" по дереву, чтоб установить, какие разрешения определены на верхушке организационной единицы.

Очередное различие заключается не в организации разрешений, а в организации самого дерева, когда оно обхватывает несколько физических местоположений. В Active Directory наименьшей организационной единицей является домен. В NDS же это - раздел, который может иметь наименьшие размеры, чем домен. Любая компания убеждает в преимуществе собственного способа — Microsoft показывает на то, что доменная структура провоцирует концентрацию сетевых ресурсов в одном месте, a Novell уделяет свое внимание на то, что разделение на разделы (partitions) дозволяет сегментировать запросы ресурсов и понизить трафик.


Дата добавления: 2015-11-16; просмотров: 48 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Программно-технические способы и средства обеспечения информационной безопасности| Организатор Конкурса

mybiblioteka.su - 2015-2024 год. (0.01 сек.)