17.10.2022
Уроки 13, 14
Тема. Криптографічні методи захисту інформації. Контроль цілісності програмних та інформаційних ресурсів. Тематичне оцінювання.
Завдання:
- Опрацювати теоретичний матеріал
- Записати конспект в зошит
- Виконати завдання, нище за посиланням
- Виконати тести
https://learningapps.org/watch?v=poms1j7xc19
https://www.youtube.com/watch?v=OZOrlEHFRSM
https://naurok.com.ua/test/join?gamecode=3325754
Ідентифікація та аутентифікація користувачів. Розмежування доступу зареєстрованих користувачів до ресурсів автоматизованих систем. Реєстрація та оперативне оповіщення про події безпеки.
До основних заходів безпеки відносяться:
· забезпечення захисту інформаційних і телекомунікаційних систем від несанкціонованого доступу, обмеження доступу співробітників, контроль і облік доступу, розмежування прав доступу користувачів до інформаційної системи відповідно до їх посадовими обов'язками;
· забезпечення захисту ЕДО за допомогою ЕЦП або іншого аналога власноручного підпису, застосуванням цифрових сертифікатів;
· забезпечення криптографічного захисту при передачі інформації в інформаційних системах;
· встановлення вимог щодо інформаційної безпеки інформаційних об'єктів, контроль їх виконання.
Захист інформації від несанкціонованого використання для великих торгових підприємств є більш трудомісткою з огляду на те, що вони мають розгалужену територіальну структуру. Для захисту корпоративної інфраструктури використовуються методи аутентифікації і ідентифікації користувачів і пристроїв, шифрування даних, створення захисних бар'єрів, що оберігають від проникнення в корпоративну мережу ззовні.
Ідентифікація - це присвоєння будь-якого об'єкта чи суб'єкту унікального імені (Login, LoginName, UserName) або образу. З цього імені здійснюється ототожнення істинного користувача при зверненні користувача до певного сервісу.
Авторизація - операція перевірки дозволів та прав, наданих користувачеві. В ЕК в процесі авторизації може встановлюватися кредитоспроможність клієнта. До подальших операцій після авторизації клієнт допускається лише при наявності у нього необхідної для покупки товару або послуги суми грошей. Таку авторизацію здійснюють електронні платіжні системи.
Аутентифікація - це підтвердження (встановлення) дійсності об'єкта або суб'єкта взаємодії в інформаційній мережі по висунутій ідентифікатором.
Ідентифікатор - ім'я, під яким зареєстрований користувач в перевіряє його інформаційній системі. У процесі аутентифікації встановлюється правомірність користувача з'єднуватися з сервером, проводиться перевірка справжності абонента. Встановлюється, що повідомлення належить законному абоненту, а не зловмисникові. Для аутентифікації використовуються як програмні, так і апаратні засоби. У компанії може бути кілька інформаційних систем і джерел інформації, які потребують аутентифікації. До них відносяться:
· • корпоративний портал;
· • електронна пошта;
· • CRM-система;
· • віддалений VPN-доступ;
· • локальна мережа Wi-Fi і ін.
До основних видів аутентифікації відносяться:
• одностороння і взаємна. Проведена з використанням аутентифікації перевірка або підтвердження автентичності може виконуватися однією стороною або здійснюватися всіма взаємодіючими сторонами. Як приклад наведемо двосторонню аутентифікацію, здійснювану при здійсненні платежів за поставлені товари в підсистемі CvberCheck платіжної системи CyberPlat. Фірма-покупець (далі - Покупець) заходить на сайт фірми-продавця (далі - Продавець), формує кошик необхідних їй товарів. Продавець виставляє рахунок, підписує його своїм ЕЦП та надсилає його Покупцеві. Покупець підписує рахунок своєї ЕЦП, після чого рахунок називається чеком, чек підписаний ЕЦП двох сторін, відправляється в банк для оплати. Ідентифікаторами в даному випадку є ЕЦП Продавця і Покупця;
Подвійна аутентифікація користувача пластикової банківської картки є ефективним засобом підвищення безпеки платежів, здійснюваних з використанням мобільних пристроїв. Для підвищення безпеки інтернет-платежів компанією Visa застосовується технологія двофакторної аутентифікації платежів з використанням пластикових карт 3D-Secure. Користувачам карток цієї платіжної системи надається послуга Verified by Visa (VbV) . Крім логіна і пароля користувачеві пропонується запит на підтвердження володіння пластиковою карткою. Це може бути одноразовий код підтвердження, який надсилається банком у SMS-повідомленні на мобільному пристрої користувача. У цьому випадку необхідна інтеграція банку з оператором стільникового зв'язку. В іншому варіанті, менш надійному, банком видається постійний пароль підтвердження.
Близького рішення двофакторної аутентифікації розрахунків з використанням пластикових карт пропонує компанія MasterCard. Для цього використовується програмне забезпечення MasterCard SecureCode, MasterCard All in One Authentication Device, MasterCard Mobile Authentication OneSmart і MasterCard Chip Authentication (CAP). Схематично подвійна перевірка реалізується так. За допомогою електронного пристрою, що зчитує зчитується або вводиться PIN-код пластикової карти. Пристрій, що зчитує перетворює PIN-код в унікальний пароль одноразового використання. Цей пароль треба набрати для того, щоб зробити банківську або торговельну операцію в мережі Інтернет.
До апаратних засобів, що використовуються для аутентифікації, відносяться ключі e-token, до програмних засобів - паролі і цифрові сертифікати. Останні можуть застосовуватися для аутентифікації дуже великого числа абонентів (до декількох мільйонів). Для корпорацій зазвичай використовується аутентифікація з використанням паролів, яка може бути односторонньою і взаємної і здійснюється за допомогою програм з використанням апаратних пристроїв. До таких пристроїв, наприклад, відноситься сервер аутентифікації. На ньому зберігається інформація про кожного допущене до роботи в інформаційній системі співробітника і їх паролі. Зіставлення пароля, введеного користувачем, з паролем, збереженому в інформаційній системі, дозволяє аутентифицировать користувача системи.
Застосування ключів eToken для аутентифікації. До апаратних засобів, що використовуються для аутентифікації, відносяться ключі eToken, які підключаються до комп'ютера за допомогою USB-Норте. Вони дозволяють проводити аутентифікацію користувача і розблокувати систему захисту комп'ютера. Функції ключів eToken останнім часом поєднуються з функціями інших пристроїв. Наприклад, eToken ключі "Рутокен", що випускаються вітчизняною компанією "Актив" завдяки вбудованій радіочастотної мітки можуть також використовуватися замість смарт-карти для доступу в приміщення. Таким чином, вони захищають доступ в приміщення і доступ до комп'ютера, встановленому в цьому приміщенні.
Ключі e-token вітчизняної компанії "Alladin Software Security RD" (alladin.ru) дозволяють створювати одноразові сеансові ключі. За заявою компанії - це "перший USB-ключ для інформаційної безпеки, заснований на мікросхемі смарт-карти, з генератором одноразових паролів (OTP - one time password)". Використання таких ключів актуально, наприклад, при знаходженні співробітника підприємства у відрядженні і використанні для роботи чужого комп'ютера. Одноразовий пароль висвічується на РК-екрані ключа.
Ще одним інтегрованим застосуванням ключів e-token є об'єднання ключа з флеш-диском (eToken NG-FLASH). В результаті апаратний пристрій є інструментом аутентифікації і засобом для безпечного зберігання конфіденційної інформації.
Останнім часом розроблені ключі eToken Java, при використанні яких аутентифікація стає доступніше.
Аутентифікація з використанням цифрових сертифікатів. Цифрові сертифікати використовуються для перевірки походження фізичних осіб і веб-вузлів. Особливістю цього виду аутентифікації є використання організацій (довірчих центрів), які підтверджують справжність веб-вузла або суб'єкта аутентифікації. Для цього використовуються
технології відкритих і закритих ключів та електронного цифрового підпису. Використання цифрових сертифікатів дозволяє ідентифікувати велике число (до декількох мільйонів) користувачів або веб-вузлів. При такому числі суб'єктів аутентифікації призначення паролів і їх зберігання представляє складність і може бути практично не піддається реалізації.
При використанні сертифікатів в інформаційній мережі не потрібно зберігання ніякої інформації про суб'єктів аутентифікації. Вони самостійно надають її у вигляді цифрових сертифікатів, що засвідчують особу користувача або веб-вузла. Видаються сертифікати центрами сертифікації.
Розглянемо приклад аутентифікації захищеного веб-вузла. При зверненні на захищений веб-сайт в Internet Explorer з'являється діалогова панель "Попередження безпеки". У ній міститься повідомлення, що передаються дані (наприклад, номер кредитної картки) стануть недоступними третім особам, так як попередньо шифруються. У рядку стану відображається значок закритого замка.
Сертифікат являє собою електронну форму, в якій міститься серійний номер сертифіката, інформація про власника (ім'я, адреса електронної пошти, найменування організації, де працює власник сертифіката та ін.), Термін дії, видавця сертифіката, відкритий ключ центру сертифікації.
Відкритий ключ власника сертифіката має парний з ним закритий ключ власника сертифіката, що зберігається в центрі сертифікації. Відкритий ключ центру сертифікації розміщується в самому сертифікаті. Дані, що містяться в сертифікаті, шифруються закритим ключем власника сертифіката і підписуються ЕЦП центру сертифікації. Сторона взаємодії в мережі, якій необхідно переконатися в достовірності вебузла або суб'єкта, використовує для цього відкритий ключ власника сертифіката і сам сертифікат, які власник сертифіката пред'являє контролюючої організації. За допомогою відкритого ключа розшифровується зміст зашифрованого сертифіката. За допомогою відкритого ключа центру сертифікації, наведеного в сертифікаті, здійснюється розшифровка ЕЦП центру сертифікації. Розшифровка ЕЦП містить відкритий ключ центру сертифікації. При збігу отриманого в результаті розшифровки сертифіката з пред'явленим сертифікатом і зазначеним у ньому відкритим ключем центру сертифікації підтверджується справжність власника сертифіката.
Немає коментарів:
Дописати коментар