Это активный компонент системы пользователь процесс программа

Разграничение (контроль) доступа к ресурсам А С — это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Объект — это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект — это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации — ознакомление с информацией (чтение, копирование), её модификация (корректировка), уничтожение (удаление) и т.п.

Доступ к ресурсу — получение субъектом возможности манипулировать данным ресурсом (использовать, управлять, изменять настройки и т.п.).

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

svchost.exe : вирус убираем 100%

Авторизация — предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п.

Авторизованный субъект доступа — субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ),поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

• на контролируемую территорию;
• в отдельные здания и помещения организации;
• к элементам АС и элементам системы защиты информации (физический доступ);
• к информационным и программным ресурсам АС.

• проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);
• разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;
• при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

• полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, — обход диспетчера предполагается невозможным);
• изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;
• возможность формальной проверки правильности функционирования;
• минимизация используемых диспетчером ресурсов (накладных расходов).

• добавления и удаления объектов и субъектов;
• просмотра и изменения соответствующих прав доступа субъектов к объектам.

• затраты памяти на хранение образа матрицы доступа;
• время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);
• удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).

• экономия памяти, так как матрица доступа обычно сильно разрежена;
• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту.

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;
• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

• экономия памяти, так как матрица доступа обычно сильно разрежена;
• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект.

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;
• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;
• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;
• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;
• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;
• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;
• затруднено задание прав доступа конкретного субъекта к конкретному объекту.

• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• оставление программы резидентно в памяти;
• попытка открытия файла недоступного для чтения;
• попытка открытия на запись файла недоступного для записи;
• попытка удаления файла недоступного для модификации;
• попытка изменения атрибутов файла недоступного для модификации;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• вывод на устройства печати документов с грифом (при полномочном управлении доступом);
• нарушение целостности программ и данных системы защиты и др.

• присвоение каждому объекту системы метки критичности, определяющей ценность содержащейся в нем информации;
• присвоение каждому субъекту системы уровня прозрачности (уровня допуска), определяющего максимальное значение метки критичности объектов, к которым субъект имеет доступ.

• пользователь не получил доступ к данным, более конфиденциальным, чем позволяет его форма допуска;
• не произошло копирование этих данных на носители с меньшими уровнями важности.

• иерархческая система меток (грифов) конфиденциальности;
• неиерархческая система меток конфиденциальности.

• отсутствием в коммерческой организации четкой классификации хранимой и обрабатываемой информации, аналогичной государственной;
• относительно высокой стоимостью реализации и большими накладными расходами.

• «запрещено все, что явно не разрешено»;
• указание полных путей доступа к исполняемым файлам;
• запрет модификации (защита от подмены) файлов;
• формирование списка по журналам регистрации;
• наличие «мягкого» режима работы.

Источник: studfile.net

Информационная безопасность с нуля. Основы кибербезопасности

Разграничение доступа зарегистрированных пользователей к ресурсам АС

Разграничение (контроль) доступа к ресурсам АС — это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Объект — это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации — ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.

Доступ к ресурсу — получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие — действие субъекта в нарушение установленных в системе правил обработки информации.

Авторизация — предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

Авторизованный субъект доступа — субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:

• на контролируемую территорию;

• в отдельные здания и помещения организации;

• к элементам АС и элементам системы защиты информации (физический доступ);

• к информационным и программным ресурсам АС.

Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) — выступает посредником-контролером при всех обращениях субъектов к объектам.

Рис. 1.7.1. Схема работы механизма разграничения доступа

Диспетчер доступа выполняет следующие основные функции:

• проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);

• разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;

• при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

Основными требованиями к реализации диспетчера доступа являются:

• полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, — обход диспетчера предполагается невозможным);

• изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;

• возможность формальной проверки правильности функционирования;

• минимизация используемых диспетчером ресурсов (накладных расходов).

В общем виде работа средств разграничения доступа субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.

Под базой данных защиты (security database) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам.

Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированных пользователей (администраторов безопасности, владельцев объектов и т.п.) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:

• добавления и удаления объектов и субъектов;

• просмотра и изменения соответствующих прав доступа субъектов к объектам.

Рис. 1.7.2. Матрица избирательного управления доступом

Форма представления базы данных защита может быть различной.

Основу базы данных средств разграничения доступа в общем случае составляет абстрактная матрица доступа или ее реальные представления. Каждая строка згой матрицы соответствует субъекту, а столбец — объекту АС. Каждый элемент этой матрицы представляет собой кортеж (упорядоченную совокупность значений), определяющий права доступа (для всех возможных видов доступа — чтение, модификация, удаление и т.п.) определенного субъекта к определенному объекту.

Сложность управления доступом (ведения матрицы доступа) в реальных системах связана не только с большой размерностью этой матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.

Например, пользователь должен наследовать полномочия групп пользователей, в которые он входит. Права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.).

При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.

Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).

Основные критерии оценки эффективности различных способов неявного задания матрицы доступа следующие:

• затраты памяти на хранение образа матрицы доступа;

• время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);

• удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).

Рассмотрим основные способы неявного задания матрицы доступа

Списки управления доступом к объекту

В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

Такое представление матрицы доступа получило название «списка управления доступом»‘ (access control list — ACL). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS).

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

Списки полномочий субъектов

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

Такое представление матрицы доступа называется «профилем» (profile) субъекта. Пример реализации списков полномочий субъектов — сетевая ОС Novell NetWare.

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX.

Основными достоинствами этих схем являются:

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

• затруднено задание прав доступа конкретного субъекта к конкретному объекту.

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

• вход пользователя в систему;

• вход пользователя в сеть;

• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

• подключение к файловому серверу;

• оставление программы резидентно в памяти;

• попытка открытия файла недоступного для чтения;

• попытка открытия на запись файла недоступного для записи;

• попытка удаления файла недоступного для модификации;

• попытка изменения атрибутов файла недоступного для модификации;

• попытка запуска программы, недоступной для запуска;

• попытка получения доступа к недоступному каталогу;

• попытка чтения/записи информации с диска, недоступного пользователю;

• попытка запуска программы с диска, недоступного пользователю;

• вывод на устройства печати документов с грифом (при полномочном управлении доступом);

• нарушение целостности программ и данных системы защиты и др.

В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации. Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создает дополнительные сложности в администрировании системы зашиты.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

Источник: studopedia.ru

Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты

Основные механизмы защиты информационных систем
Идентификация и
аутентификация
Разграничение
доступа
пользователей
Криптографическое
закрытие данных
Контроль
целостности
и аутентичности
данных
Регистрация и
оперативное
освещение о
событиях в
системе
Резервирование
и резервное
копирование
Фильтрация
трафика
и трансляция
адресов
Выявление и
нейтрализация
действий вирусов
1
МЕХАНИЗМЫ
ЗАЩИТЫ
ИС
Выявление
уязвимостей
системы
Маскировка
и создание
ложных
объектов
Обнаружение
вторжений (атак)
Страхование
рисков
Затирание
остаточной
информации

3.

Идентификация и аутентификация
1. Идентификация и аутентификация
2

4.

Идентификация
2
Идентификация — присвоение пользователям идентификаторов
(уникальных имен или меток), под которыми система «знает»
пользователя.
Кроме
идентификации
пользователей,
может
проводиться идентификация групп пользователей, ресурсов ИС и т.д.
Идентификация нужна и для других системных задач, например, для
ведения журналов событий. В большинстве случаев идентификация
сопровождается аутентификацией.

5.

Аутентификация
Аутентификация — установление
подлинности
проверка
принадлежности
пользователю
предъявленного им идентификатора.
Например, в начале сеанса работы в
ИС пользователь вводит имя и
пароль. На основании этих данных
система проводит идентификацию
(по
имени
пользователя)
и
аутентификацию (сопоставляя имя
пользователя и введенный пароль).
3

6.

Пароли
3
Компания SplashData опубликовала свой ежегодный рейтинг самых
распространенных паролей, найденных на просторах интернета. В 2013 году
большая часть паролей в базе появилась благодаря утечке, допущенной
партнером Adobe — консалтинговой компанией Stricture Consulting Group.
Будьте осторожны и не используйте такие простые пароли, если не
хотите, чтобы ваш аккаунт в соц. сети, почта или личная SMSпереписка оказались в руках у посторонних людей!

7.

Пароли
4
«2» — один символ, легко перебрать.
«123456» — один из популярных паролей (еще примеры — 123; 111; qwerty;
qazwsx; qazwsxedc; password; «ваш логин»; «номер телефона» и т.д.).
«пароль» — словарное слово, после перебора популярных паролей,
перебирают слова из словаря.
«Gjhs6129dgGF_9eK_sj2vc9d» — пароль очень сложный, его не запомнят, а
запишут и приклеят к монитору, пароль должен быть только в голове (или в
сейфе).

8.

Разграничение доступа пользователей
2. Разграничение доступа пользователей
2

9.

Разграничение доступа пользователей
5
Разграничение (контроль) доступа к ресурсам АС – это такой
порядок использования ресурсов автоматизированной системы, при
котором субъекты получают доступ к объектам системы в строгом
соответствии с установленными правилами.
Объект – это пассивный компонент системы, единица ресурса
автоматизированной системы (устройство, диск, каталог, файл и т.п.),
доступ к которому регламентируется правилами разграничения
доступа.
Субъект – это активный компонент системы (пользователь, процесс,
программа),
действия
которого
регламентируются
правилами
разграничения доступа.

10.

Концепция единого диспетчера доступа
6
Правила
разграничения
доступа
Субъект
доступа
ДИСПЕТЧЕР
ДОСТУПА
Журнал
регистрации
Объект
доступа

11.

Функции диспетчера
7
Диспетчер доступа выполняет следующие основные функции:
• проверяет права доступа каждого
субъекта к конкретному объекту на
основании информации, содержащейся в
базе данных системы защиты (правил
разграничения доступа);
• разрешает (производит авторизацию)
или запрещает (блокирует) доступ субъекта к
объекту;
• при необходимости регистрирует факт
доступа и его параметры в системном журнале
(в том числе попытки несанкционированного
доступа с превышением полномочий).

12.

Регистрация и оперативное оповещение
о событиях безопасности
3. Регистрация и оперативное оповещение
о событиях безопасности
8

13.

Регистрация и оперативное оповещение
о событиях безопасности
9
Механизмы регистрации предназначены для получения и
накопления (с целью последующего анализа) информации о
состоянии ресурсов системы и о действиях субъектов,
признанных администрацией АС потенциально опасными для системы.
Анализ собранной средствами
регистрации информации позволяет
выявить
факты
совершения
нарушений, характер воздействий
на систему, определить, как далеко
зашло
нарушение,
подсказать
метод его расследования и
способы поиска нарушителя и
исправления ситуации.

14.

Регистрация и оперативное оповещение
о событиях безопасности
10
При регистрации событий безопасности в системном журнале
обычно фиксируется следующая информация:
• дата и время события;
идентификатор
субъекта
(пользователя,
осуществляющего регистрируемое действие;
программы),
• действие (если регистрируется запрос на доступ, то отмечается
объект и тип доступа).

15.

Криптографические методы защиты информации
11
4. Криптографические методы защиты информации

16.

Криптографические методы защиты информации
Криптографические методы защиты
основаны на возможности осуществления
некоторой
операции
преобразования
информации, которая может выполняться
одним или несколькими пользователями
АС, обладающими некоторым секретом,
без знания которого (с вероятностью
близкой к единице за разумное время)
невозможно осуществить эту операцию.
12

17.

Криптография с симметричными ключами
13
В криптографии с симметричным ключом оба участника обмена
имеют один и тот же ключ, называемый «секретным» (или закрытым),
который используется как для зашифровывания, так и для
расшифровывания сообщений

18.

Криптография с симметричными ключами
13
Этот закрытый ключ необходимо держать в секрете, чтобы
предотвратить возможность расшифровать и прочитать передаваемые
сообщения со стороны третьих лиц (называемых нарушителями).
Термин «симметричный» применяется постольку, поскольку
пользователи на обеих сторонах канала обмена данными используют
один и тот же ключ.
Симметричный ключ также называется парным, поскольку служит
для
шифрования
сообщений,
передаваемых
между
двумя
пользователями.
Основной проблемой в этой схеме является защищенная передача
секретного ключа. Канал, с помощью которого осуществляется такая
передача, называется доверенным каналом.

19.

Криптография с ассиметричными ключами
14

20.

Криптография с ассиметричными ключами
14
Криптография с асимметричным ключом использует пару ключей,
находящихся в такой математической зависимости, что информацию,
зашифрованную одним ключом, можно расшифровать только другим
ключом.
Один из этих ключей называется открытым или публичным, а
второй — закрытым или секретным. Оба ключа создаются
одновременно по особому алгоритму, который гарантирует, что по
одному ключу крайне трудно получить другой ключ.
Секретность шифрования обеспечивается исключительно
надежностью хранения закрытого ключа, которая может быть
обеспечена относительно простыми способами. Открытый же ключ
может распространяться свободно.
Зашифрованное открытым ключом сообщение передается по
открытому каналу владельцу секретного ключа. Только пользователь
закрытого ключа, созданного в паре с открытым, которым было
зашифровано сообщение, сможет его прочитать.

21.

Функция хэширования (hash function)
14
Одним из типов криптографических алгоритмов, использующихся в
асимметричной криптографии, являются функции хэширования или хэшфункции. Функция хеширования применяется к данным для получения
последовательности битов фиксированной длины, уникальной для каждого
сообщения, или блока данных — значения хэша (hash value).
Хэширование используется для формирования электронной цифровой
подписи, обеспечения целостности данных, невозможности отказа от
авторства, аутентификации сообщений и других видов аутентификации.

22.

Контроль целостности программных и
информационных ресурсов
5. Контроль целостности программных и
информационных ресурсов
15

23.

Контроль целостности программных и
информационных ресурсов
16
Механизм
контроля
целостности
ресурсов
системы
предназначен для своевременного обнаружения модификации
ресурсов системы. Он позволяет обеспечить правильность
функционирования системы защиты и целостность обрабатываемой
информации.
Контроль целостности программ, обрабатываемой информации и
средств защиты, должен обеспечиваться:
средствами
разграничения
доступа,
запрещающими
модификацию или удаление защищаемого ресурса;
• средствами сравнения критичных ресурсов с их эталонными
копиями (и восстановления в случае нарушения целостности);
• средствами подсчета контрольных сумм (сигнатур, имитовставок и
т.п.);
• средствами электронной цифровой подписи.

24.

Контрольные вопросы
?
Контрольные вопросы:
1. Назовите механизмы защиты информационных систем.
2. Что такое идентификация и аутентификация?
3. Раскройте смысл механизма защиты «Разграничение доступа
пользователя». В чем заключается концепция единого диспетчера
доступа?
4. Раскройте смысл механизма защиты «Регистрация и оперативное
оповещение о событиях безопасности».
5. На чем основаны криптографические методы защиты?
6. Раскройте сущность метода криптографии с симметричными
ключами.
7. Раскройте сущность метода криптографии с ассимметричными
ключами.
8. Что такое функция хэширования?
9. Для чего предназначен механизм контроля целостности ресурсов
системы? Чем обеспечивается контроль целостности программ?

Источник: ppt-online.org