Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Билет 13
Теория безопасных систем (ТСВ). Понятие «доверенная вычислительная среда» (trusted
computing base-ТСВ) появилось в зарубежной практике обеспечения информационной
безопасности достаточно давно. Смысл характеристики «доверенная» можно пояснить
следующим образом.
Дискретная природа характеристики «безопасный» (в том смысле, что либо нечто
является безопасным, полностью удовлетворяя ряду предъявляемых требований, либо не
является, если одно или несколько требований не выполнены) в сочетании с утверждением
«ничто не бывает безопасным на сто процентов» подталкивают к тому, чтобы вести более
гибкий термин, позволяющий оценивать то, в какой степени разработанная защищенная АС
соответствует ожиданиям заказчиков. В этом отношении характеристика «доверенный» более
адекватно отражает ситуацию, где оценка, выраженная этой характеристикой (безопасный
или доверенный), основана не на мнении разработчиков, а на совокупности факторов,
включая мнение независимой экспертизы, опыт предыдущего сотрудничества с
разработчиками, и в конечном итоге, является прерогативой заказчика, а
39
не разработчика.
Доверенная вычислительная среда (ТСВ) включает все компоненты и механизмы
защищенной автоматизированной системы, отвечающие за реализацию политики
безопасности - комплекс превентивных мер по защите конфиденциальных данных и
информационных процессов на предприятии. Политика безопасности включает в себя
требования в адрес персонала, менеджеров и технических служб. Основные направления
разработки политики безопасности:
определение какие данные и насколько серьезно необходимо защищать,
определение кто и какой ущерб может нанести фирме в информационном аспекте,
вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Все остальные части АС, а также ее заказчик полагаются на то, что ТСВ корректно
реализует заданную политику безопасности даже в том случае, если отдельные модули или
подсистемы АС разработаны высококвалифицированными злоумышленниками с тем, чтобы
вмешаться в функционирование ТСВ и нарушить поддерживаемую ею политику
безопасности.
Минимальный набор компонентов, составляющий доверенную вычислительную среду,
обеспечивает следующие функциональные возможности:
взаимодействие с аппаратным обеспечением АС;
защиту памяти;
функции файлового ввода-вывода;
управление процессами.
Дополнение и модернизация существующих компонентов АС с учетом требований
безопасности могут привести к усложнению процессов сопровождения и документирования.
С другой стороны, реализация всех перечисленных функциональных возможностей в рамках
централизованной доверенной вычислительной среды в полном объеме может вызвать
разрастание размеров ТСВ и, как следствие, усложнение доказательства корректности
реализации политики безопасности. Так, операции с файлами могут быть реализованы в ТСВ
в некотором ограниченном объеме, достаточном для поддержания политики безопасности, а
расширенный ввод-вывод в таком случае реализуется в той части АС, которая находится за
пределами ТСВ. Кроме того, необходимость внедрения связанных с безопасностью функций
во многие компоненты АС, реализуемые в различных модулях АС, приводит к тому, что
защитные функции распределяются по всей АС, вызывая аналогичную проблему.
Определены следующие этапы разработки защищенной АС:
определение политики безопасности;
проектирование модели АС;
разработка кода АС;
обеспечение гарантий соответствия реализации заданной политике.
Защита от угроз нарушения конфиденциальности на уровне содержания информации
Тут для начала нужно будет рассказать про конфеденциальность))это про то,что лицо получившее инфо не имеет права передавать ее третьим лицам. Сама защита на уровне содержания инфо это стеганография.тут есть 2 раздела. Первое это семантическая защита, когда третьи лица не в состоянии интерпретировать полученную инфо,второе это сокрытие факта передачи инфо.(напр скрытый контейнер)
Вообще стеганография это когда в огромной объеме ненужной инфо заключен маленькая часть зашифрованной .
Сброс пароля. Осуществялется с внешней ОС. Сводится к тому,что бы в файле SAM на месте хеш сверток оказались нули.Сброс пароля из нутрии не возможен,т.к. файл sam открыт процессами ядра винды монотонно.Существует возможность покластерного чтения.
Подбор пароля. Осуществляется как из вне так и из нутрии. Существует доступ через процессы,но можно запросить хеш свертки из самой ОС. Локальный способ-прямой запрос процесса.при запросе локально производится сброс системы. Так же существует сетевой способ.
Способы атаки на парольные системы:
При подборе пароле существует несколько типов атаки:
А вообще кого это сильно заинтересовало откройте отчет к первой лабе прошлого семестра и почитайте=)))
Пещера имеет один вход (рисунок 1), путь от которого разветвляется в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из одного коридора в другой в любом направлении. Одна итерация алгоритма состоит из последовательности шагов:
1. Проверяющий становится в точку А.
2. Доказывающий проходит в пещеру и добирается до двери (оказывается в точке С или D). Проверяющий не видит, в какой из двух коридоров тот свернул.
3. Проверяющий приходит в точку В и в соответствии со своим выбором просит доказывающего выйти из определенного коридора.
4. Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.
при n запросах вероятность ошибки 1/2n
Алгоритм CHAR (так же сущ.PAP).РАР-передача в открытом виде или в виде хеш-сфертки.
Сервер по открытому каналу передает некий x,клиент делает вычисления от данного х,это будет хеш 0, и отсылает назад сервера. Сервер так же вычисляет хеш от х и сравнивает его с тем хешем,который пришл от клиента. В каждой сессии х новый. Х принято называть маскирующим множителем. Алгоритм MС-CHAR является альтернативой.Разница в том,что хеш вычисляется от pwd и только потом прибавляется значение х(в предыдущем алгоритме хеш вычислялся от уже от сложенных х и pwd). Так же отличие в том,что в данном случае на клиенте есть пароль,на сервере хеш от пароля.