Методические указания для АЗ-ИБ

1.4. Антивирусные программы (служебные программы)

Антивирусная программа ( антивирус ) — программа для обнаружения и, возможно, лечения программ, заражённых компьютерным вирусом, а также, возможно, для предотвращения заражения файла вирусом.

Первые, наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100%-е детектирование) и алгоритмов лечения заражённых файлов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

Различают следующие виды антивирусных программ:

Детекторы – сканируют файлы для поиска известных вирусов, соответствующих определению в словаре вирусов

Доктора – не только находят зараженные вирусом файлы, но и удаляют из файла тело программы-вируса

Ревизоры – самый надежный способ защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей , а затем периодически сравнивают текущее состояние с исходным.

Доктора-ревизоры

Фильтры – небольшие резидентные программы, предназначенные для обнаружения подозрительного поведения любой из программ, похожего на поведение заражённой программы. В отличие от метода соответствия определению вируса в словаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов, которых ещё нет ни в одном словаре вирусов. Однако следует учитывать, что программы, построенные на этом методе, выдают также большое количество ошибочных предупреждений, что делает пользователя мало восприимчивым ко всем предупреждениям.

Подозрительными действиями являются:

попытки коррекции файлов с расширениями СОМ и ЕХЕ;
изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы.

Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.

Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле исчезающе мало). Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Вообще, выбор только одного, "лучшего", антивируса крайне ошибочен.

Методы Борьбы с компьютерными вирусами

не загружать и не запускать на выполнение неизвестные программы из Интернета)

Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

Тема №10. Теория информационной безопасности информационных систем.

Изучив тему 10, студент должен:

знать:

^{- методы защиты}^{информации;}

^-^к^а^к^органи^з^ова^т^ь^инф^о^{рмационную}^{безопасн}^о^сть^{в организации;}

уметь:

^{- применять}^м^е^то^ды^з^а^щи^т^ы^{информа}^ц^ии;

акцентировать внимание на понятиях:

^{- разграничение}^доступ^а^,^р^{азграничение}^доступ^а^,^р^{азделение}^дост^у^п^а^,^крипто^г^рафиче^с^кое^{преобразование}^{информаци}^и^,^контро^л^ь^и^учет^дост^у^п^а^,^{законодательные мер}^ы^.

Содержание темы (дидактические единицы и их характери^стик^а^):

^{Рассматриваются}^мет^од^ы^з^а^щиты^и^нфо^р^м^а^ци^и^:^{ограничен}^и^{е доступа,}^ра^з^{граничение}^{доступа,}^ра^з^{деление}^до^с^туп^а^,^крипт^о^граф^и^ческое^пре^о^бра^з^ован^и^е^{информац}^и^и^,^контр^о^ль^и^учет^дос^т^уп^а^,^з^а^коно^д^а^те^л^ь^н^ые^меры,^об^е^{спечение}^и^н^{формацио}^н^ной^безопа^с^ности^{в Интернет}^е^.

^Цели^и^зада^ч^и^из^у^ч^ения^темы:^{Получение}^зн^а^н^ий^о^{методах з}^а^щиты^ин^ф^ормаци^и^.^П^о^{лучение}^знани^й^{и навыков}^по^обесп^е^{чению иформац}^и^онной^{безопасности}^{организации}^при^ее^{подключении}^{к Интернет.}

Порядок изучения темы

^Распре^д^ел^е^{ние бюджета}^{времени}^по^тем^е^:

^{- количес}^т^во^ч^а^сов^отведе^н^ных^на^{практические}^з^а^няти^я^,^из^{них в}^к^о^мп^ь^ю^те^р^ной^а^у^дито^р^ии^–¹^/1;

- количество часов, отведенных на самостоятельную работу – 3.

Виды самостоятельной работы студентов:

^{- изучение}^у^{чебного}^{пособия}^«^И^н^{формацио}^н^ная^безо^п^а^с^ност^ь^»;

- ^{подготовка}^к^{практическому занятию по}^т^еме^«Теория информационной безопасности информационных систем^»;

^{- изучение}^д^о^{полнитель}^н^ой^литер^а^тур^ы^;

^{- выполнение}^{тестовых}^з^а^даний^по^тем^е.

^{- выполнить}^{предложенные задания}^п^о^тем^е

Методические указания по изучению вопросов темы.

^П^р^и^и^з^{учении учеб}^н^{ых вопросов:}

^{- изучить}^тем^у¹⁰^по^уч^е^бному^{пособию}^«^Инф^о^{рмацион}^н^{ая безопаснос}^т^ь^»;

^{- выполнить}^{предложенные задания}^п^о^тем^е^«Теория информационной безопасности информационных систем^»;

^-^{изучить}^{дополнительные}^м^а^т^е^риа^лы.

При изучении темы необходимо:

^-^читать^лите^р^а^т^у^р^у^:

¹^{. Сычев Ю.Н.} ^{Информац}^и^онная^безо^п^а^сност^ь^:^Уч.^Пособи^е^.^–^М.:²⁰⁰⁷^.

²^{. Гер}^а^симен^к^о^В.^А^.,^Малюк^А^.А.^Осн^о^вы^за^щ^ит^ы^{информац}^и^и^{, –}^М.:^ППО^«^{Извести}^я^»^,¹⁹⁹⁷^.^Г^л.¹^,^2.

³^{. Мельник}^о^в^В.И.^За^щита^{информац}^и^и^в^ком^п^ь^ю^т^ерных^сист^е^мах.^–^М.:^Ф^и^нансы^и^с^т^а^т^{истика,}¹⁹⁹⁷^{. –}^Раз^д^{. 1.}

⁴^{. Милос}^л^ав^ск^ая^Н.Г.,^{Толстой}^А.^И^.^Ин^трасет^и^:^до^с^туп^в^Internet,^з^а^щи^т^а^.^–^М.:^ООО^«^Ю^Н^ИТИ^-^ДА^НА^»^,²⁰⁰⁰^.^,^Г^л.^1.

⁵^{. Проскурин}^В.Г.,^Крут^о^в^С.В.^Прог^р^а^ммн^о^-^аппа^р^а^тные^сред^с^т^ва^{обеспеч}^е^ния^{информационной}^б^е^{зопасност}^и^.^Защи^т^а^в^о^п^ерац^и^онных^сист^е^мах.^–^М.:^Ра^дио^и^с^вя^з^ь^,²⁰⁰⁰^.

⁶^{. Белкин}^П.^Ю^.^Пр^огр^а^ммн^о^-ап^п^а^р^а^т^н^ые^{средства}^{обеспечения информац}^и^онной^{безопасност}^и^.^За^щита^{программ}^и^д^а^нн^ы^х^.^–^{М.: Радио и}^с^вя^з^ь^,¹⁹⁹⁹^.

^-^посет^и^{ть сайты:}^{www.compulenta.ru, w}^w^w.ise^c^urity.ru,

^www.oxpa^ha^{.ru, www.cy}^b^er^t^errorism^report.ru.

Вопросы темы

¹⁰^.¹^{. Мето}^д^{ы обеспечения}^{информац}^и^онной^{безопасности}^Р^Ф^.

¹⁰^.²^.^Ог^р^а^{ничение}^досту^п^а^.

^10.³^.^Контр^о^ль^дос^т^упа^{к апп}^а^р^а^туре.

¹⁰^.⁴^{. Разгран}^и^чение^и^кон^т^роль^досту^п^а^к^{информаци}^и^.

10.5. Предоставление привилегий на доступ.

10.6. Идентификация и установление подлинности объекта ^{(субъек}^т^а^).

¹⁰^.⁷^.^Защи^т^а^{информац}^и^и^от^утечки^з^а^счет^по^б^очного^{электромагнит}^н^ого^излуче^н^ия^и^н^а^вод^о^к.

¹⁰^.⁸^.^Мето^д^ы^и^{средства}^з^а^щи^т^ы^и^н^{формации}^о^т^{случайных воздействи}^й^.

¹⁰^.⁹^{. Мето}^д^{ы з}^а^{щиты ин}^ф^{ормации}^от^{аварийных}^с^иту^а^ци^й^.

¹⁰^.¹⁰^.^Орган^и^{зационные}^{мероприятия}^по^з^а^щите^и^нфо^р^м^а^ци^и^.

¹⁰^.¹¹^.^Орган^и^зация^инф^о^{рмационной}^{безопаснос}^т^и^ком^п^ани^и^.

¹⁰^.¹²^.^В^ыбор^с^редств^инф^о^{рмационной}^{безопаснос}^т^и^.

^1.¹³^{. Инфо}^р^{мационное}^с^{траховани}^е^.

Тема №11. Криптографические способы защиты информации.

Изучив тему 11, студент должен:

знать:

^{- криптографические методы защиты}^{информации;}

^-^к^а^к^органи^з^ова^т^ь^инф^о^{рмационную}^{безопасн}^о^сть^{в организации путем шифрования информации;}

уметь:

^{- применять}^{криптографические}^м^е^то^ды^з^а^щи^т^ы^{информа}^ц^ии;

акцентировать внимание на понятиях:

Содержание темы (дидактические единицы и их характери^стик^а^):

^Цели^и^зада^ч^и^из^у^ч^ения^темы:^{Получение}^зн^а^н^ий^о^{криптографических методах з}^а^щиты^ин^ф^ормаци^и^.^П^о^{лучение}^знани^й^{и навыков}^по^обесп^е^{чению информац}^и^онной^{безопасности}^{организации}^при^ее^{подключении}^{к Интернет для передачи информации.}

Порядок изучения темы

^Распре^д^ел^е^{ние бюджета}^{времени}^по^тем^е^:

^{- количес}^т^во^ч^а^сов^отведе^н^ных^на^{практические}^з^а^няти^я^,^из^{них в}^к^о^мп^ь^ю^те^р^ной^а^у^дито^р^ии^–²^/2;

- количество часов, отведенных на самостоятельную работу – 3.

Виды самостоятельной работы студентов:

^{- изучение}^у^{чебного}^{пособия}^«^И^н^{формацио}^н^ная^безо^п^а^с^ност^ь^»;

- ^{подготовка}^к^{практическому занятию по}^т^еме^«Криптографические способы защиты информации^»;

^{- изучение}^д^о^{полнитель}^н^ой^литер^а^тур^ы^;

^{- выполнение}^{тестовых}^з^а^даний^по^тем^е.

^{- выполнить}^{предложенные задания}^п^о^тем^е

Методические указания по изучению вопросов темы.

^П^р^и^и^з^{учении учеб}^н^{ых вопросов:}

^{- изучить}^тем^у¹¹^по^уч^е^бному^{пособию}^«^Инф^о^{рмацион}^н^{ая безопаснос}^т^ь^»;

^{- выполнить}^{предложенные задания}^п^о^тем^е^«Теория информационной безопасности информационных систем^»;

^-^{изучить}^{дополнительные}^м^а^т^е^риа^лы.

При изучении темы необходимо:

^-^читать^лите^р^а^т^у^р^у^:

¹^{. Сычев Ю.Н.} ^{Информац}^и^онная^безо^п^а^сност^ь^:^Уч.^Пособи^е^.^–^М.:²⁰⁰⁷^.

²^{. Гер}^а^симен^к^о^В.^А^.,^Малюк^А^.А.^Осн^о^вы^за^щ^ит^ы^{информац}^и^и^{, –}^М.:^ППО^«^{Извести}^я^»^,¹⁹⁹⁷^.^Г^л.¹^,^2.

^-^посет^и^{ть сайты:}^{www.compulenta.ru, w}^w^w.ise^c^urity.ru,

^www.oxpa^ha^{.ru, www.cy}^b^er^t^errorism^report.ru.

Шифр Цезаря.

Цель работы: Освоить технологию шифрования и дешифрования информации в среде Excel с использованием шифра Цезаря.

Краткая теория

Шифр Цезаря является частным случаем шифра простой замены (одноалфавитной подстановки). Свое название этот шифр получил по имени римского императора Гая Юлия Цезаря, который использовал этот шифр при переписке.

При шифровании исходного текста каждая буква заменяется другой буквой того же алфавита по следующему правилу. Заменяющая буква определяется путем смещения по алфавиту к концу от исходной буквы на k букв. При достижении конца алфавита выполняется циклический переход к его началу.

Например: пусть A – используемый алфавит:

A={a1, a2,…,am,...,aN},

где a1, a2,…,am,...,aN – символы алфавита; N ширина алфавита.

Пусть k – число позиций сдвига символов алфавита при шифровании, 0<k<N. При шифровании каждый символ алфавита с номером m из кодируемого текста заменяется на символ этого же алфавита с номером m+k. Если m+k >N, номер символа в алфавите A определяется как m+k-N.

Для дешифрования текстовой информации номер позиции символа восстанавливаемого текста определяется как m-k. Если m-k<0, то вычисление этого номера производится как m-k+N.

Достоинством этой системы является простота шифрования и дешифрования. К недостаткам системы Цезаря следует отнести:

подстановки, выполняемые в соответствии с системой Цезаря, не маскируют частот появления различных букв исходного и отрытого текста;

сохраняется алфавитный порядок в последовательности заменяющих букв;

при изменении значения k изменяются только начальные позиции такой последовательности;

число возможных ключей k мало;

шифр Цезаря легко вскрывается на основе анализа частот появления букв в шифре.

Порядок выполнения работы

1. Войти в среду Excel. Создать новый документ, перейти на второй лист этого документа. Начиная с ячейки A1 до A40 набрать алфавит, как показано на рисунке 1.

Рис. 1 Алфавит символов шифра Цезаря

Выделить весь диапазон алфавита и назначить ему имя “ABC” командой Вставка→ Имя→ Присвоить (см. рис. ниже).

2. На первом листе документа в ячейке B1 набрать текст, который необходимо зашифровать, например: Гай Юлий Цезарь:”Пришел, увидел, победил!” При наборе текста необходимо использовать только те символы, которые входят в алфавит (см. рис. 2).

Рис. 2. Документ шифрования

3. В ячейке B3 записать формулу «=ПРОПИСН(B1)», функция ПРОПИСН переводит буквенные символы в строке в прописные буквы.

4. В ячейке D3 записать формулу «=ДЛСТР(B3)», функция ДЛСТР позволяет определить длину строки, что необходимо пользователю, для кодировки исходной строки.

5. В ячейку D4 записать значение сдвига k, например, 5.

6. В столбце А, начиная с ячейки А6, пронумеровать ячейки числами последовательного ряда от 1 до N, где N – число символов в тексте, включая пробелы. Значение N рассчитано в ячейке D3 и в нашем случае равно 42.

7. В ячейку B6, записать формулу “=ПСТР(B$3;A6;1)”, которая разделяет кодируемый текст на отдельные символы. Скопировать её в ячейки В7-В47.

8. В ячейку C6 записать формулу “=ПОИСКПОЗ(B6;ABC;0)”. Функция ПОИСКПОЗ из категории «Полный алфавитный перечень» производит поиск индекса (номера позиции) символа в массиве ABC, который был определен на листе 2. Скопировать содержимое ячейки C6 в ячейки C7-C47.

9. Получив номер символа в алфавите ABC, произвести сдвиг нумерации алфавита для кодируемой последовательности символов. В ячейку D6 записать формулу:

“=ЕСЛИ(ПОИСКПОЗ(B6;ABC;0)+$D$4>40;ПОИСКПОЗ(B6;ABC;0)+$D$4-40;ПОИСКПОЗ(B6;ABC;0)+$D$4)”. (1)

Эта формула производит сдвиг номеров символов алфавита на величину k и определяет номер заменяющего символа из алфавита ABC. Содержимое D6 скопировать в область D7-D47.

10. Выбрать символы из алфавита ABC в соответствии с новыми номерами. В ячейку E6 записать формулу “=ИНДЕКС(ABC;D6)”. Скопировать содержимое ячейки E6 в область E7-E47.

11. Для получения строки закодированного текста необходимо в ячейку F6 записать “=E6”, в ячейку F7 соответственно – “=F6&E7”. Далее скопировать содержимое ячейки F7, в область F8-F47. В ячейке F47 прочитать зашифрованный

текст.

12. Для проверки шифрования произвести дешифрование полученного текста и сравнить его с исходным. На третьем листе выполнить дешифрование аналогично пунктам 2-11 практической работы. При этом необходимо учесть следующие особенности:

в п. 2 набрать зашифрованный текст:

ЗЕОА:РНОАЬЙМЕХ,БВФХНЭЙР;АШЖНИЙР;АФУЁЙИНРГВ

в п. 9 в ячейку D6 записать формулу:

=ЕСЛИ(ПОИСКПОЗ(B6;ABC;0)-$D$4<0;ПОИСКПОЗ(B6;ABC;0)-

$D$4+40;ПОИСКПОЗ(B6;ABC;0)-$D$4). (2)

Получение исходного текста в ячейке F47 третьей страницы (см. рис. 3) свидетельствует о корректном выполнении лабораторной работы.

Задания для самостоятельной работы

Зашифровать и расшифровать текст:

Гусь свинье не товарищ. (k=4).
Зимой и летом одним цветом. (k=6).
На вкус и цвет товарищей нет! (k=7).
Волка ноги кормят. (k=3).
Сытый голодного не разумеет. (k=5).
День год кормит. (k=7).
Тамбовский волк тебе товарищ! (k=6).

Рис. 3. Документ шифрования

Контрольные вопросы:

1. В чем заключается принцип защиты информации с использованием шифра Цезаря?

2. Объяснить формулы (1) и (2).

3. Можно ли использовать программы настоящей лабораторной работы для шифрования другой информации? Если да, то, каким образом?

4. В чем достоинства и недостатки шифра Цезаря?

5. Какие еще методы защиты информации Вам известны?

Тема №12.^{Организац}^и^я^{информа}^ц^ионной^{безопасности}^к^о^{мпании.}

Практическая работа «Средства защиты приложений MS Office 2000».

Время – 1 час.

Цель работы.

Изучение методов и средств защиты приложений Office 2000.

Краткие теоретические сведения.

Пользователи приложений Office 2000 имеют достаточно широкий набор возможностей для защиты своих документов от несанкционированного доступа (НСД) и сохранения их целостности. Для защиты документов от НСД в приложениях Word и Excel применяется парольная защита. В Word и Excel можно использовать два типа пароля для доступа к документу:

􀂃 пароль для открытия документа;

􀂃 пароль для разрешения записи в документе.

Кроме парольной защиты для обеспечения целостности документов в приложениях Word и Excel можно установить механизм защиты, позволяющий:

􀂃 контролировать все внесенные изменения в документ;

􀂃 санкционировать возможность вставки примечаний в документ;

􀂃 разрешать вводить данные в поля форм документа без его

изменения.

В приложении Access наиболее эффективным методом защиты данных является защита на уровне пользователя. Однако ее использование требует значительных затрат времени. Поэтому в приложении Access можно дополнительно использовать следующие методы защиты данных:

􀂃 использование параметров запуска для ограничения доступа к стандартным меню и панелям инструментов;

􀂃 установка пароля открытия базы данных;

􀂃 сохранение проектов в формате, не содержащем исходного кода VBA. Содержащийся в проекте код VBA будет сохранен в откомпилированном виде, что не позволит пользователю видеть и редактировать исходные тексты процедур VBA, а также – редактировать формы, отчеты и модули в режиме конструктора.

Для защиты кода VBA применяют один из следующих методов:

􀂃 установка пароля для просмотра кода VBA;

􀂃 реализация защиты кода VBA с использованием специального модуля, написанного на языке VBA;

􀂃 использование средств ОС для защиты файлов.

При защите кода VBA чаще всего прибегают к блокировке проекта в целом, то есть к реализации установки пароля для данного проекта.

Порядок выполнения работы.

Для установления пароля открытия документа (книги) и пароля разрешения записи в документ в приложениях Word и Excel необходимо выполнить следующие действия:

􀂃 из документа (книги), для которого необходимо установить пароли выполнить команду Файл – Сохранить как. При этом отобразится окно Сохранение документа;

􀂃 нажать на кнопку Сервис и в появившемся меню выбрать команду Параметры (Общие параметры в приложении Excel);

􀂃 в появившемся окне Сохранение или Параметры сохранения, представленного на рис.1, ввести значения паролей.

Рис.1.

Для установки механизма обеспечения целостности документа в приложении Word необходимо выполнить следующие действия:

􀂃 в меню Сервис выбрать команду Установить защиту;

􀂃 при этом появляется диалоговое окно, представленное на рис.2, переключатели которого позволяют реализовать контроль целостности документа.

Рис.2.

Для установки механизма обеспечения целостности документа в приложении Excel необходимо выполнить следующие действия:

􀂃 в меню Сервис выбрать команду Защита;

􀂃 при этом появляются возможности выбрать команды Защитить лист, Защитить книгу, Защитить книгу, или дать общий доступ.

Для открытия документа, защищенного паролем от НСД, необходимо ввести правильный пароль в диалоговое окно Пароль, представленное на рис.3.

Рис.3.

Если для документа установлен и пароль защиты записи, то после открытия документа необходимо ввести пароль разрешения записи в диалоговое окно, переставленное на рис.4, либо ограничиться работой с документом в режиме Только для чтения.

Рис.4.

Установку параметров запуска для ограничения доступа к стандартным меню и панелям инструментов в приложении Access осуществляют следующим образом:

􀂃 в меню Сервис выбрать пункт Параметры запуска. При этом откроется окно, представленное на рис.5;

Рис. 5.

􀂃 управляя сбросом флажков можно ограничить доступ пользователей к стандартным меню и панелям инструментов;

􀂃 при нажатии кнопки Дополнительно появляется возможность отключения доступа к окну базы данных.

Для установки пароля доступа к базе данных необходимо выполнить следующие действия:

􀂃 открыть базу данных в монопольном режиме. Для этого в диалоговом окне Открытие файла базы данных, которое отображается командой Файл – Открыть, необходимо выбрать файл базы данных и щелкнуть стрелку, расположенную справа от кнопки Открыть. В появившемся меню выбрать команду Монопольно.

􀂃 в меню Сервис выбрать команду Защита – Задать пароль базы данных. При этом появится диалоговое окно, представленное на рис.6.

Рис.6.

􀂃 ввести и подтвердить устанавливаемый пароль.

Для сохранение проектов в формате, не содержащем исходного кода VBA,защиты разработанных форм и отчетов в приложении Access следует выполнить следующие действия:

􀂃 выбрать меню Сервис – Служебные программы – Создать MDE-файл. В появившемся диалоговом окне, представленном на рис.7, выбрать имя файла и место его сохранения.

Рис.7.

Для блокировки проекта в целом необходимо выполнить следующие действия:

􀂃 открыть проект и редактор VBA. В контекстном меню выбрать Project properties, на вкладке Protection которого установить флажок Lock project for viewing ,а в полях Password и Confirm password ввести и подтвердить пароль открытия проекта. Диалоговое окно Project properties представлено на рис.8.

Рис.8.

Содержание отчета.

Демонстрация навыков использования средств защиты документов Word, книги Excel и объектов Access.

Контрольные вопросы.

1. Что такое защита документов в Office 2000?

2. Какие методы защиты данных Вы знаете в приложении Access ?

Тема №13.^Об^ес^пече^н^и^я^и^н^формац^и^он^н^о^й^б^е^зопа^с^н^о^ст^и.

«Идентификация и аутентификация пользователей»

Время – 2 часа

Цель работы.

Изучение зависимости времени вскрытия (взлома) пароля от его длины, а также основных правил выбора пароля.

Краткие теоретические сведения.

Для получения доступа к информационным ресурсам компьютера или сети в защищенных компьютерных системах (ЗКС), пользователи должны пройти процесс идентификации и аутентификации, который состоит из двух стадий:

􀂃 идентификация – пользователь сообщает (вводит) в ЗКС по ее запросу свое имя (идентификатор);

􀂃 аутентификация – пользователь подтверждает результат стадии идентификации, вводя в систему персонифицированную уникальную информацию, которую он хранит в секрете от окружающих (пароль, ключ и т.д.)

Персонифицированная уникальная информация, которой обладает и хранит пользователь, может быть двух типов:

􀂃 секретная персональная информация в виде пароля, ключа, идентификатора и т. д., которую пользователь обычно вводит с клавиатуры или использует идентификационную карточку;

􀂃 физиологические параметры пользователя (отпечатки пальцев, рисунок радужной оболочки глаз и т.д.).

Системы идентификации первого типа называют традиционными, а системы второго типа – биометрическими.

После процесса идентификации и аутентификации выполняется процесс авторизации пользователя. Авторизация – это процедура предоставления прав пользователю на доступ к информационным ресурсам ЗКС.

В настоящее время парольная защита является одним из основных рубежей защиты информационных ресурсов в компьютерных системах и сетях.

При задании пароля необходимо руководствоваться следующими правилами:

􀂃 длина пароля должна быть достаточно длинной, но не утомлять пользователя при частом использовании пароля (рекомендуемая длина пароля составляет 6-8 символов);

􀂃 текстовые символы должны чередоваться с цифрами;

􀂃 пароль не должен иметь семантический смысл;

􀂃 необходимо регулярно менять пароль

Порядок выполнения работы.

1. В MS Excel откройте новую книгу и создайте таблицу в соответствии с рис.1. Заполните шапку таблицы и первый столбец в соответствии с рис.1.

Зависимость времени вскрытия пароля от его длины.

Таблица 1.

Длина пароля

Время вскрытия, с

0,0051

0,51

23,76

2312,71

Рис.1.

Вычислить прогноз времени вскрытия пароля при длине пароля равной 10 символам Т= 281695 секунд или 78,24861 часов.

Время вскрытия пароля вычисляется по формуле:

y = 92,53x⁴ 921,59x³ + 3216,5x² 4586,4x + 2199

2. Перейдите в Редактор VBA (Alt+F11) и создайте форму в соответствии с рис.2.

Рис.2.

3. В окне Properties (Свойства) установите значение свойства элемента управления TextBox1 – PasswordChar равным *.

4. В модуль формы введите следующий код:

Option Explicit

Private Declare Function GetTickCount Lib "kernel32" () As

Long

Private Sub CommandButton1_Click()

Dim strABC1 As String, strABC2 As String, str123 As String

Dim strABC As String, strKey As String, strA As String

Dim i As Integer, j As Integer, n As Integer, m As Integer

Dim j1 As Integer, j2 As Integer, j3 As Integer, j4 As Integer

Dim j5 As Integer, j6 As Integer, j7 As Integer, j8 As Integer

Dim j9 As Integer, j10 As Integer, j11 As Integer, j12 As Integer

Dim t1 As Long, tNew As Long, strB As String

strABC1 = "абвгдежзийклмнопрстуфхцчшщъыьэюя"

strABC2 = "abcdefghijklmnopqrstuvwxyz"

str123 = "0123456789"

strABC = strABC1 + strABC2 + str123

m = Len(strABC)

strKey = LCase(CStr(TextBox1.Text))

strA = Trim(strKey)

n = Len(strA)

TextBox2.Text = n

strB = Space(n)

t1 = GetTickCount

For j1 = 1 To m

Mid(strB, 1, 1) = Mid(strABC, j1, 1)

For j2 = 1 To m

Mid(strB, 2, 1) = Mid(strABC, j2, 1)

For j3 = 1 To m

Mid(strB, 3, 1) = Mid(strABC, j3, 1)

For j4 = 1 To m

Mid(strB, 4, 1) = Mid(strABC, j4, 1)

'For j5 = 1 To m

'Mid(strB, 5, 1) = Mid(strABC, j5, 1)

'If StrComp(strB, strA) = 0 Then Exit For

'Next j5

If StrComp(strB, strA) = 0 Then Exit For

Next j4

If StrComp(strB, strA) = 0 Then Exit For

Next j3

If StrComp(strB, strA) = 0 Then Exit For

Next j2

If StrComp(strB, strA) = 0 Then Exit For

Next j1

tNew = GetTickCount

TextBox4.Text = tNew t1

TextBox3.Text = strB

End Sub

Private Sub UserForm_Initialize()

Caption = "Процедура вскрытия пароля"

Label1.Caption = "Пароль:"

Label2.Caption = "Длина пароля:"

Label3.Caption = "Вскрытый пароль:"

Label4.Caption = "Время вскрытия,мс:"

TextBox1.Text = Empty

TextBox2.Text = Empty

TextBox3.Text = Empty

TextBox4.Text = Empty

CommandButton1.Caption = "OK"

End Sub

5. Задавая длину пароля в соответствии со значениями первого столбца таблицы необходимо определить времена вскрытия пароля и заполнить второй столбец таблицы.

6. Построить точечную диаграмму по данным таблицы 1 и добавить к ней линию тренда.

7. Используя уравнение линии тренда определить время вскрытия пароля длиной 10 символов.

Содержание отчета.

Оформить отчет в соответствии с приложением.

Контрольные вопросы.

1. Какие типы систем идентификации Вы знаете?

2. Что такое пароль?

3. Как зависит время вскрытия пароля от его длины?

Тема №14.^Конт^ро^л^ь^доступ^а^к^и^нфор^мац^и^и.

Время – 2 часа

Цель работы.

Ознакомиться с системой разграничения доступа, изучить основные принципы управления учетными записями

Операционная система: Windows XP Professional Service Pack 2

Содержание