Практична робота 4 на тему Вивчення засобів забезпечення безпеки інформації у корпоративній мережі навчального закладу

Практична робота №4

Тема: ”Вивчення засобів забезпечення безпеки інформації у корпоративній мережі навчального закладу”

Мета: ознайомитись з засобами захисту інформації у корпоративній мережі навчального закладу.

Хід роботи 

Завданням 1. Вивчення засобів обмеження доступу.

Керування доступом

Доступ до інформації (access to information) - вид взаємодії двох об’єктів КС, унаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи.

Існує чотири основні способи керування доступом:

• фізичний, коли суб’єкти звертаються до фізично різних об’єктів;

• часовий, коли суб’єкти з різними правами доступу звертаються до одного об’єкта в різні проміжки часу;

• логічний, коли суб’єкти отримують доступ до спільного об’єкта в рамках однієї ОС;

• криптографічний, коли права доступу визначаються наявністю ключа розшифрування.

Обмеження доступу полягає у створенні фізичної замкнутої пере шкоди навколо об’єкта захисту з організацією контрольованого доступу осіб, які мають відношення до об’єкта захисту за своїми функціональними обов’язками.

Розмежування доступу в АС полягає в поділі інформації, яка в ній обробляється, на частини та організації доступу до них відповідно до функціональних обов’язків та повноважень.

Завдання розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації при виконанні своїх функціональних обов’язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнями важливості, секретності, функціонального призначення, за документами і т. д.

Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу до них починається саме з них шляхом розміщення їх у різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т. п. повинні бути технічно і організаційно відокремлені від основних завдань АС. АС і організацію її обслуговування слід будувати так:

• технічне обслуговування АС у процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, що підлягає захисту;

• перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеним для цієї мети перевіреним фахівцем;

• функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т. п.) - службою безпеки;

• організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що обробляється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів;

• реєстрація і документування технологічної та оперативної інформації повинні бути розділені.

Розмежування доступу користувачів повинно відбуватися за такими параметрами:

• за видом, характером, призначенням, ступенем важливості та секретності інформації;

• за способами її обробки: зчитувати, записувати, модифікувати, виконати команду;

• за ідентифікатором термінала;

• за часом обробки тощо.

Ідентифікація та аутентифікація

Одним з найважливіших механізмів ЗІ є ідентифікація та автентифікація (ІА).

Відповідно до [8] термін ідентифікація використовується у двох значеннях: по-перше, це процедура присвоєння ідентифікатора об’єкту КС, а по-друге, це процедура встановлення відповідності між об’єктом і його ідентифікатором, тобто процедура упізнання. Ідентифікатор — це певний унікальний образ, ім’я чи число.

Аутентифікація — це процедура перевірки належності пред’явленого ідентифікатора об’єкту КС, тобто встановлення чи підтвер­дження дійсності, ще - перевірка, чи є об’єкт, що перевіряється, або суб’єкт справді тим, за кого він себе видає.

Під безпекою (стійкістю) системи ідентифікації та автентифікації розуміється ступінь забезпечуваних нею гарантій того, що ЗЛ (зловмисник) не здатний пройти автентифікацію від імені іншого користувача, тобто чим вища стійкість системи автентифікації, тим складніше ЗЛ розв’язати зазначену задачу. Система ІА є одним із ключових елементів інфраструктури захисту від НСД будь-якої інформаційної системи.

Розрізняють три групи методів автентифікації, базованих на наявності в кожного користувача:

• індивідуального об’єкта заданого типу;

• знань деякої інформації, відомої тільки йому і стороні, що перевіряє;

• індивідуальних біометричних характеристик.

До першої групи належать методи автентифікації, що використо­вують посвідчення, перепустки, магнітні карти тощо, які широко застосовуються для контролю доступу в приміщення, а також вхо­дять до складу програмно-апаратних комплексів захисту від НСД до засобів обчислювальної техніки.

До другої групи входять методи автентифікації, що використову­ють паролі. З економічних причин вони включаються як базові засоби захисту в багатьох програмно-апаратних комплексах захисту інформації. Усі сучасні ОС і багато додатків мають вбудовані механіз­ми парольного захисту.

Останню групу становлять методи автентифікації, базовані на застосуванні устаткування для вимірювання і порівняння з еталоном заданих індивідуальних характеристик користувача: тембру голосу, відбитків пальців, структури райдужної оболонки ока та ін. Такі засоби дозволяють з високою точністю автентифікувати власника конкретної біометричної ознаки, причому «підробити» біометричні параметри практично неможливо. Однак значне поширення подібних технологій стримується високою вартістю необхідного устаткування.

Якщо в процедурі автентифікації беруть участь тільки дві сторони, що встановлюють дійсність одна одної, така процедура називається безпосередньою автентифікацією (direct password authentication). Якщо ж у процесі автентифікації беруть участь не тільки ці сторони, а й інші, допоміжні, говорять про автентифікації за участю довіреної сторони (trusted third party authentication). При цьому третю сторону називають сервером автентифікації (authentication server) чи арбітром , (arbitrator).

Отже, кінцева мета ІА - допуск об’єкта до інформації обмеженого користування у випадку позитивного результату перевірки чи відмова в допуску у випадку негативного результату. Об’єктами ІА можуть бути:

• особа (оператор, користувач, посадова особа);

• технічний засіб (термінал, ЕОМ і т. п.);

• документи;

• носії інформації;

• інформація на терміналі, табло і т. п.

Ідентифікатор користувача — певна унікальна кількість інформації, що дозволяє розрізняти індивідуальних користувачів парольної системи (проводити їх ідентифікацію). Часто ідентифікатор також називають ім’ям користувача чи ім’ям облікового запису користувача.

Пароль користувача - певна секретна кількість інформації, відома тільки користувачу і парольній системі, яку може запам’ятати користувач і пред’явити для проходження процедури автентифікації. ()дноразовий пароль дає можливість користувачу одноразово пройти автентифікацію. Багаторазовий пароль може бути використаний для перевірки дійсності повторно.

Обліковий запис користувача - сукупність його ідентифікатора та його пароля.

База даних користувачів парольної системи містить облікові записи всіх користувачів даної парольної системи.

Під парольною системою будемо розуміти програмно-апаратний комплекс, що реалізує системи ІА користувачів АС на основі одноразових чи багаторазових паролів. Як правило, такий комплекс функціонує разом з підсистемами розмежування доступу і реєстрації подій. В окремих випадках парольна система може виконувати ряд додаткових функцій, зокрема генерацію і розподіл короткочасних (сеансових) криптографічних ключів.

Основними компонентами парольної системи є:

• інтерфейс користувача;

• інтерфейс адміністратора;

• модуль сполучення з іншими підсистемами безпеки;

• база даних облікових записів.

Парольна система являє собою «передній край оборони» усієї СЗІ. Деякі її елементи (зокрема такі, що реалізують інтерфейс користувача) можуть бути розташовані в місцях, відкритих для доступу потенційного ЗЛ. Тому парольна система стає одним із перших об’єктів атаки при вторгненні ЗЛ в захищену систему.

Серед найпоширеніших загроз безпеки парольних систем зазначимо розголошення параметрів облікового запису через:

• підбір в інтерактивному режимі;

• підглядання;

• навмисну передачу пароля його власником іншій особі;

• захоплення бази даних парольної системи (якщо паролі не зберігаються в базі у відкритому вигляді, для їхнього відновлення може знадобитися підбір чи дешифрування);

• перехоплення переданої по мережі інформації про пароль;

• збереження пароля в доступному місці.

Більш активною загрозою є втручання у функціонування компонентів парольної системи через:

• упровадження програмних закладок;

• виявлення і використання помилок, допущених на стадії розробки;

• виведення з ладу парольної системи.

Деякі з перерахованих типів загроз пов’язані з наявністю так званого людського фактора, який виявляється в тому, що користувач може:

• вибрати пароль, що легко запам’ятати і також легко підібрати;

• записати пароль, що складно запам’ятати, і покласти запис у доступному місці;

• увести пароль так, що його зможуть побачити сторонні;

• передати пароль іншій особі навмисно чи під впливом омани. На додачу до вищесказаного необхідно відзначити існування «парадокса людського фактора». Полягає він у тому, що користувач нерідко прагне виступати скоріше супротивником парольної системи, як і будь-якої системи безпеки, функціонування якої впливає на його робочі умови, ніж союзником системи захисту, тим самим послаблюючи її. Захист від зазначених загроз ґрунтується на ряді організаційно-технічних засобів і заходів.

Завдання 2.  Виконайте архівацію вашої папки ОС засобом zip-папки. Створений архів збережіть у папці на сервері. Використайте програму Проводник для доступу до папки на сервері.

Методичні рекомендації

• Стислі ZIP-папки залишаються стислими як на дисках NTFS, так і на дисках FAT.

• Деякі програми можна запускати безпосередньо із стислих папок цього типу, не розпаковуючи  їх. Крім того, файли можна відкривати безпосередньо із стислих папок.

• Стислі файли і папки типу .zip можна переміщувати на будь-який диск і в будь-яку папку на комп’ютері, в Інтернеті або в мережі; вони сумісні з іншими програмами стиснення файлів.

• Папки, стислі даним методом, позначаються значком застібки.

• Файли, що містяться в стиснутій папці типу .zip, можна захистити паролем. Для цього потрібно виділити потрібний файл у стиснутій папці і відкрити меню Файл, далі клацнути на команді Добавить пароль.
  

• Стиснення папок даним методом не впливає на швидкодію комп’ютера.

1. Відкрийте контекстне меню папки ОС, перейдіть на команду ОтправитьàСжатая ZIP-папка. Буде створено ZIP-архів.

2. Встановіть пароль на архівний файл (наприклад, нехай він буде таким, як для реєстрації у мережі). Пароль запишіть у звіт.

Відкрийте файл, на який ви встановили пароль.

3. З’ясуйте розмір незаархівованої папки і розмір архіву цієї папки. З’ясуйте розмір кожного архівного файлу. Результати дослідження запишіть у звіт.

4. Відкрийте один з архівних файлів.

Відкрийте незаархівовану папку ОС, зашифруйте один із файлів архіву.

5. Відкрийте зашифрований файл.

Перелік питань до захисту практичної роботи

1. Які різновиди  методів захисту комп’ютерних систем існують?

2. В чому полягають організаційні методи захисту комп’терних систем?

3. В чому полягають законодавчі методи захисту комп’терних систем?

4. В чому полягають технічні методи захисту комп’терних систем?

5. В чому полягають апаратно-програмні методи захисту комп’терних систем?

6. В чому полягає криптогафічний захист інформації?

7. Що таке ідентифікація?

8. Що таке аутентифікація?

9. Що таке обліковий запис користувача?

10. Що таке парольна система захисту?

11. Що таке комп’ютерний вірус?

12. Як класифікують віруси?

13. Які антивірусні програмні засоби існують?

З повагою ІЦ "KURSOVIKS"!