Разделы презентаций


ЛЕКЦИЯ по дисциплине Автоматизированные системы специального презентация, доклад

Содержание

Учебные вопросыМодели управления доступомМетоды и средства идентификации и аутентификации субъектов доступаМетоды и средства обеспечения целостности данныхУчебные цели и вопросы

Слайды и текст этой презентации

Слайд 1
ЛЕКЦИЯ
 
по дисциплине «Автоматизированные системы специального назначения»
(Д-3110-02)
Тема № 4 «Программное обеспечение цифровой

телекоммуникационной системы УС МО РФ»

Занятие № 30

«Методы и средства защиты информации от НСД в ОС СН»
ЛЕКЦИЯ по дисциплине «Автоматизированные системы специального назначения»(Д-3110-02)Тема № 4 «Программное обеспечение цифровой       телекоммуникационной системы

Слайд 2
Учебные вопросы
Модели управления доступом
Методы и средства идентификации и аутентификации субъектов

доступа
Методы и средства обеспечения целостности данных

Учебные цели и вопросы

Учебные вопросыМодели управления доступомМетоды и средства идентификации и аутентификации субъектов доступаМетоды и средства обеспечения целостности данныхУчебные цели

Слайд 3Литература
В.Е Дементьев, М.А. Коцыняк, Ю.И. Стародубцев. Комплексная защита информации в

локальных вычислительных сетях. /Под общ. ред. Ю.М. Ровчака. СПб.:ВАС,2010. 436

с.
Назаров И.В., Стефанович А.Б. Защита информации в среде ОС МСВС 3.0. Учебное пособие. – М.: изд. ВНИИ АУНС, 2005. – 222 с.
Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. /, Москва: ДМК Пресс, 2012. – 592 с.
Саенко И. Б., Авраменко В. С., Гетманцев А. и др. Новые информационные и сетевые технологии в системах управления военного назначения. Часть 2. Новые информационные технологии в системах военного назначения. Учебник / Под ред. И. Б. Саенко. – СПб.: ВАС. 2010. 520 с.
ЛитератураВ.Е Дементьев, М.А. Коцыняк, Ю.И. Стародубцев. Комплексная защита информации в локальных вычислительных сетях. /Под общ. ред. Ю.М.

Слайд 4Основным документом, определяющим систему взглядов, основных принципов, которые закладываются в

основу проблемы защиты информации от НСД является «Концепция защиты СВТ

и АС от НСД к информации».
В соответствии с Концепцией… методы и средства защиты информации от (НСД) к компьютерным системам реализуют типовой набор функций защиты:
аутентификации пользователей,
разграничения доступа к информации,
обеспечения целостности,
криптографического преобразования данных при передаче и хранении,
протоколирования и аудита.

Введение

Основным документом, определяющим систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД является

Слайд 5


Модели управления доступом
Учебный вопрос №1

Модели управления доступомУчебный вопрос №1

Слайд 6реализация правил разграничения доступа (ПРД) субъектов и их процессов к

данным;
реализация ПРД субъектов и их процессов к устройствам создания твердых

копий;
изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
реализация правил обмена данными между субъектами для АС, построенных по сетевым принципам.

Основные функции СРД

реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;реализация ПРД субъектов и их процессов к

Слайд 7Политика безопасности - совокупность норм и правил, регламентирующих процесс обработки

информации, выполнение которых обеспечивает защиту от определенного множества угроз и

составляет необходимое (а иногда и достаточное) условие безопасности системы.
Модель политики безопасности - формальное выражение политики безопасности.
Управление доступом к информации - заключается в разделении обрабатываемой информации на части и организации доступа к ним пользователей в соответствии с их функциональными обязанностями и полномочиями.
Модель управление доступом – основа формальной модели политики безопасности.






Основные термины и определения

Политика безопасности - совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного

Слайд 8Физическое – субъекты обращаются к физически различным объектам (однотипным устройствам,

наборам данных на разных носителях и т.д.).
Временное – субъекты с

различными правами доступа к объекту получают его в различные промежутки времени.
Криптографическое – все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.
Логическое – субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду «один субъект - все объекты»
В основе логического управления доступом - концепция диспетчера доступа.

Варианты разделения доступа субъектов к совместно используемым объектам

Физическое – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).Временное

Слайд 9Основные формальные модели управления доступом (политик безопасности)
1. Дискреционная
2. Мандатная
3.Ролевая
Модель диспетчера

доступа
Диспетчер доступа должен обладать тремя свойствами:
полнота – ни один запрос

на доступ субъекта к объекту не должен выполняться в обход монитора безопасности пересылок;
целостность – работа диспетчера доступа должна быть защищена от постороннего вмешательства;
простота – представление диспетчера доступа должно быть достаточно простым для верификации корректности его работы.

Диспетчер доступа – реализует модель управления доступом

Основные формальные модели управления доступом (политик безопасности)1. Дискреционная2. Мандатная3.РолеваяМодель диспетчера доступаДиспетчер доступа должен обладать тремя свойствами:полнота –

Слайд 10Дискреционная модель - для каждой пары (субъект - объект) устанавливается

перечень прав (разрешений) субъекта по отношению к объекту, права доступа

каждого субъекта (пользователя) к каждому объекту (диску, каталогу, файлу) задаются в виде матрицы (таблицы)

S- множество субъектов, O - множество объектов, U – множество пользователей.

Пример матрицы доступа

- каждый объект является собственностью соответствующего пользователя

Собственник:
имеет все права доступа
может передавать права другим пользователям
может определять права доступа других субъектов

Дискреционная модель

Дискреционная модель - для каждой пары (субъект - объект) устанавливается перечень прав (разрешений) субъекта по отношению к

Слайд 11Типы прав доступа
Основные способы реализации дискреционного управления доступом
"парольная" зашита;
списки прав

доступа (Access Control List – ACL);
биты доступа.

Типы прав доступаОсновные способы реализации дискреционного управления доступом

Слайд 12Категории пользователей ОС МСВС
владелец – u (процессы, имевшие идентификатор пользователя,

совпадающий с идентификатором владельца файла);
группа – g (процессы, имеющие идентификатор группы,

совпадающий с идентификатором группы, которой принадлежит файл);
остальные пользователи – o (процессы, не попавшие в первые две категории);

Существует возможность обратиться к трем категориям сразу при помощи ключа – a.

Категории пользователей ОС МСВС владелец – u (процессы, имевшие идентификатор пользователя, совпадающий с идентификатором владельца файла);группа –

Слайд 13Каждый файл содержит код защиты, который присваивается файлу при его

создании. Код защиты располагается в индексном дескрипторе файла и содержит

десять символов, причем первый символ определяет тип файла, а последующие девять - право на доступ к нему.

Команды для изменения прав доступа к объекту

Каждый файл содержит код защиты, который присваивается файлу при его создании. Код защиты располагается в индексном дескрипторе

Слайд 14Права и категории разграничения доступа в ОС МСВС
право на чтение

– r (Read);
право на запись – w (Write);
право

на исполнение – x (eXecute).



Права и категории  разграничения доступа в ОС МСВСправо на чтение – r (Read); право на запись

Слайд 15Файл:
Чтение – возможность читать содержимое файла;
Запись – возможность

модифицировать содержимое файла (в том числе полное удаление содержимого);
Исполнение

– возможность выполнить загрузочный модуль или командный файл.
Каталог:
Чтение – возможность получения листинга каталога;
Запись – возможность создания и удаления файлов в каталоге (нет права на модификацию файла);
Исполнение – возможность обращения к файлам в каталоге, использование каталога как части путевого имени.

Права
разграничения доступа

Файл: Чтение – возможность читать содержимое файла; Запись – возможность модифицировать содержимое файла (в том числе полное

Слайд 16основана на использовании так называемых меток (мандатов) секретности (конфиденциальности) -

чисел, отражающих уровень (класс) доступа субъекта к информации c(S) и,

соответственно, уровень ценности (секретности) информации, принадлежащей объекту c(О).
Субъект может получить доступ к объекту только в том случае, если его мандат (метка) не ниже, чем у объекта.

Чтение (r) разрешено, если

Запись (w) разрешена, если

Мандатный контроль для системы с двумя видами доступов
(чтение и запись):

Мандатная модель

основана на использовании так называемых меток (мандатов) секретности (конфиденциальности) - чисел, отражающих уровень (класс) доступа субъекта к информации c(S) и, соответственно, уровень ценности (секретности) информации, принадлежащей объекту c(О).
Субъект может получить доступ к объекту только в том случае, если его мандат (метка) не ниже, чем у объекта.

основана на использовании так называемых меток (мандатов) секретности (конфиденциальности) - чисел, отражающих уровень (класс) доступа субъекта к

Слайд 17Метки безопасности ОС МСВС состоят из двух частей — уровня

секретности (до 8) и списка категорий (до 64).
Для разных систем

набор уровней секретности может различаться. Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные.







Уровни и категории безопасности ОС МСВС

Горизонтальные метки

категории

Вертикальные метки
(уровни)

0 - несекретно
1 - секретно
2 - СС
3 - ОВ
4-7 - резерв

Метки безопасности ОС МСВС состоят из двух частей — уровня секретности (до 8) и списка категорий (до

Слайд 18В основу модели положена идея принадлежности всех данных системы некоторой

организации, а не пользователю.
Особенности:
Разрешения на использование конкретных данных выдается

пользователю администратором в соответствии с ролью, которая ему предписывается при выполнении конкретной функции.
Управление доступом к данным самим пользователем (в том числе и с помощью передачи привилегий) не предусмотрено.

Ролевая модель

В основу модели положена идея принадлежности всех данных системы некоторой организации, а не пользователю. Особенности:Разрешения на использование

Слайд 19

Методы и средства идентификации и аутентификации субъектов доступа
Учебный вопрос №2

Методы и средства идентификации и аутентификации субъектов доступаУчебный вопрос №2

Слайд 20Идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение

предъявляемого идентификатора с перечнем присвоенных идентификаторов (ФСТЭК, Термины и определения,1998)
Аутентификация

- проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности (ФСТЭК, Термины и определения,1998)



Основные термины и определения

Идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов (ФСТЭК,

Слайд 21Классическая процедура идентификации и аутентификации

Классическая процедура идентификации и аутентификации

Слайд 22Аутентификация по паролю;
Аутентификация по биометрическим характеристикам;
Аутентификация с применением специализированных устройств;
Комплексная

аутентификация.
Способы аутентификации

Аутентификация по паролю;Аутентификация по биометрическим характеристикам;Аутентификация с применением специализированных устройств;Комплексная аутентификация.Способы аутентификации

Слайд 23методы, использующие постоянные (многократно используемые) пароли,
методы, использующие одноразовые (динамично

изменяющиеся) пароли.
Меры, направленные на повышение надежности многоразовых паролей защиты:
наложение ограничений

(длина, алфавит)
управление сроком действия паролей, их периодическая смена;
ограничение доступа к файлу паролей;
ограничение числа неудачных попыток входа в систему,
обучение и воспитание пользователей;
использование программных генераторов паролей

Парольные методы

методы, использующие постоянные (многократно используемые) пароли, методы, использующие одноразовые (динамично изменяющиеся) пароли.Меры, направленные на повышение надежности многоразовых

Слайд 24Схема сетевой аутентификации
на основе многоразового пароля
Пароль в сети

не передается!!!

Схема сетевой аутентификации на основе многоразового пароля Пароль в сети не передается!!!

Слайд 25Токен - это предмет или устройство, владение которым подтверждает подлинность

пользователя.
Типы токенов:
пассивные (токены с памятью, только хранят, но

не обрабатывают информацию);
активные (интеллектуальные карточки).

Токены

Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Типы токенов: пассивные (токены с памятью,

Слайд 26Биометрические методы

Биометрические методы

Слайд 27Устройства с биометрической аутентификацией

Устройства с биометрической аутентификацией

Слайд 28

Методы и средства обеспечения целостности данных
Учебный вопрос №3

Методы и средства обеспечения целостности данныхУчебный вопрос №3

Слайд 29Резервное копирование - дублирование данных (файла, каталога, тома) путем копирования

на устройства хранения информации (дискету, магнитную ленту, жесткий диск), является

основным методом обеспечения целостности данных.
В целях обеспечения оперативного восстановления данных в АС реализуется система резервного копирования.

Основной метод обеспечения целостности

Резервное копирование - дублирование данных (файла, каталога, тома) путем копирования на устройства хранения информации (дискету, магнитную ленту,

Слайд 301. По способу резервного копирования:
дисковая резервная копия;
файловая резервная копия;
2. По количеству копируемых

данных:
полное (full);
инкрементальное (incremental);
дифференциальное (differential);
путем прямого копирования (copy backup)
3. По способу передачи

копируемых данных:
локальное (local)
сетевое (LAN)
внесерверное (serverless)
внесетевое (LAN-free) (SAN)

Классификация способов резервного копирования

1. По способу резервного копирования:дисковая резервная копия;файловая резервная копия;2. По количеству копируемых данных:полное (full);инкрементальное (incremental);дифференциальное (differential);путем прямого копирования (copy

Слайд 31Полное резервное копирование
Этот метод самый надежный, но занимает много времени

и ведет к большому расходу свободного места носителя. Восстановление информации

при полном копировании осуществляется наиболее быстро, так как для этого достаточно только одного записанного образа.

В файл бэкапа записываются все данные, которые были выбраны для резервного копирования.

Полное резервное копированиеЭтот метод самый надежный, но занимает много времени и ведет к большому расходу свободного места

Слайд 32Инкрементное резервное копирование (добавочное)
При использования этого способа первая запись на

носитель является полной копией. При второй записи на носитель помещаются

только файлы, которые были изменены со времени первой записи. На третьем этапе копируются файлы, модифицируемые со времени второго этапа, и.т.д

В файл бэкапа записываются только изменения, которые произошли с момента последнего резервного копирования.

Инкрементное резервное копирование (добавочное)При использования этого способа первая запись на носитель является полной копией. При второй записи

Слайд 33Дифференциальное (разностное) резервное копирование (добавочное)
Первая запись на носитель также является

полной копией. На последующих этапах копируются только файлы, которые изменились

со времени проведения полного копирования. По времени РК этот метод занимает больше времени, чем при инкрементальном копировании. Однако для восстановления данных достаточно всего двух копий — последней полной и последней дифференциальной копии.

В файл бэкапа записываются только изменения, которые произошли с момента последнего полного резервного копирования.

Дифференциальное (разностное) резервное копирование (добавочное)Первая запись на носитель также является полной копией. На последующих этапах копируются только

Слайд 34Цепочки и схемы
резервного копирования
Три метода резервного копирования дают массу

всевозможных вариантов так называемых цепочек бэкапов.
Цепочка – это один

полный бэкап и все зависящие от него инкрементные и/или дифференциальные бэкапы.
Схема состоит из одной или нескольких цепочек, а также содержит правила удаления старых бэкапов.

Схемы на основе полных бэкапов
Схемы на основе инкрементных бэкапов.
Схемы на основе дифференциальных бэкапов.
Цепочки и схемы резервного копированияТри метода резервного копирования дают массу всевозможных вариантов так называемых цепочек бэкапов. Цепочка

Слайд 35Встроенные средства
резервного копирования ОС
В ОС Windows: (удобный графический режим)
архивация

заданных папок по расписанию и восстановление их из резервной копии


(функция «История файлов» в Windows 8)
создание полного (дискового) образа системы
создание загрузочного диска или точек восстановления Windows
теневое копирование тома
В ОС МСВС: архивация дисков и файлов (командная строка)
Системная утилита tar
Команды Dump и Restore (только для файловых систем ext2 и ext3)
dd – для создания и восстановления MBR, создание и восстановление зеркальных копий различных носителей, создание образов и клонов дисков
Встроенные средства резервного копирования ОСВ ОС Windows: (удобный графический режим)архивация заданных папок по расписанию и восстановление их

Слайд 36Регистрация и учет (протоколирование) - сбор и накопление информации о

событиях, происходящих в автоматизированной системе.
Аудит - это анализ накопленной

информации, проводимый оперативно, почти в реальном времени, или периодически.
Цели протоколирования и аудита:
обеспечение подотчетности пользователей и администраторов;
обнаружение (прогнозирование) фактов и попыток нарушений информационной безопасности;
обеспечение возможности реконструкции последовательности событий (расследование попыток и фактов НСД, программных атак);
предоставление информации для выявления и анализа проблем защиты информации.

Заключение

Регистрация и учет (протоколирование) - сбор и накопление информации о событиях, происходящих в автоматизированной системе. Аудит -

Слайд 37Создаваемая система защиты информации от НСД по выполняемым функциям условно

делится на четыре подсистемы:
управления доступом;
регистрации и учета;
обеспечения целостности;
криптографическая.
Современные

защищенные ОС имеют в своем составе встроенные механизмы, реализующие функции данных подсистем.

Заключение

Создаваемая система защиты информации от НСД по выполняемым функциям условно делится на четыре подсистемы: управления доступом;регистрации и

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика