Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009
Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009.
Книга посвящена одному из аспектов проблемы управления доступом к информации в компьютерных системах — аутентификации.
Фактически защита информации начинается с аутентификации пользователей. Каждый пользователь современных компьютерных систем сталкивается с процедурами аутентификации неоднократно в течение рабочего дня. Книга описывает достоинства и недостатки практически всех существующих и используемых на настоящий момент способов аутентификации и ориентирована на широкий круг читателей.
Книга адресована студентам ВУЗов и аспирантам, обучающимся по специальностям, связанным с защитой информации, ИТ-специалистам и специалистам по информационной безопасности; специалистам, получающим второе высшее образование в области зашиты информации, и слушателям курсов переподготовки.
Аутентификация с помощью запоминаемого пароля.
Для проверки подлинности пользователей в информационных системах наиболее широко используется аутентификация по секретной информации, которая неизвестна непосвященным людям. При некомпьютерном использовании это может быть произносимый голосом пароль или запоминаемая комбинация для замка. В компьютерных системах — это пароль, вводимый с помощью клавиатуры.
Парольная аутентификация — аутентификация на основе обладания неким секретным знанием («на основе знания чего-либо»).
В системах различной степени защищенности используют постоянные, условно-постоянные и временные пароли.
Чем длиннее пароль, тем он более стойкий (сложнее поддается подбору и другим типам атак). Не меньшее значение имеют алфавит пароля, предельное количество попыток его ввода, минимальное время, которое должно пройти между попытками, и другие параметры механизма аутентификации.
Скачать djvu
Ниже можно купить эту книгу по лучшей цене со скидкой с доставкой по всей России. Купить эту книгу
Аутентификация теория и практика обеспечения безопасного доступа к информационным ресурсам
Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам.
Судьба данного учебного пособия весьма необычна. На партнерской конференции по информационной безопасности компании Aladdin у авторов появилась идея создать книгу по теоретическим и практическим вопросам аутентификации. Эту книгу можно было бы использовать не только при обучении студентов и аспирантов ВУЗов и СУЗов по учебным дисциплинам «Безопасность баз данных», «Программно-аппаратные средства обеспечения информационной безопасности», «Безопасность операционных систем», «Компьютерная безопасность» и т. д., но и в практической деятельности ИТ-специалистов, системных администраторов, администраторов безопасности различных сетей и систем.
Любая поисковая система в Интернет по запросу «аутентификация» предоставляет более 1 миллиона ссылок на различные информационные ресурсы. Этот очевидный факт подтверждает широкое распространение и использование механизмов аутентификации в практике обеспечения безопасности сетей, систем, различных приложений. Оценив интерес и востребованность данной технологии, авторы решили взяться за дело. Вся сложность воплощения данной идеи проявилась позже, когда взялись за ее реализацию. Первая трудность состояла, главным образом, в том, чтобы объединить усилия специалистов зарубежных и российских компаний, признанных лидеров на рынке информационных технологий, таких, как компании Microsoft, Aladdin, Cisco Systems, Citrix, Oracle, Крипто-Про. При этом, помимо необходимых теоретических сведений, авторы собирались предложить читателю различные решения, технологии и продукты для реализации задач по обеспечению безопасности доступа к данным и приложениям информационной системы организации, защищенных соединений. Речь идет как о представлении типовых решений, так и о возможной кастомизации продуктов под конкретные системы. Другая сложность состояла в том, чтобы систематизировать, порой весьма противоречивые сведения, стили изложения, подходы к реализации решений в различных компаниях, и представить методически выверенные теоретические и практические материалы, в том числе и в виде готовых лабораторных работ для использования их в учебном процессе. И наконец, любая работа, которая делается на общественных началах, зачастую страдает недостатком времени или возможности довести идею создания учебного пособия до логического завершения. Это обстоятельство явилось причиной отсутствия материалов в данной книге еще нескольких ведущих компаний — вендоров (IBM, Check Point Software Technologies, Сигнал-Ком, SUN и т. д.). Потребовался весьма продолжительный период времени для решения организационных мероприятий, экспертизы и апробации материалов в учебных заведениях России, при проведении тренингов ИТ-специалистов, сотрудников служб информационной безопасности, студентов профильных ВУЗов и т. п. К счастью, авторам удалось преодолеть все эти трудности, и они надеются, что книга окажется полезной как в учебном процессе, так и в практической работе.
Учебное пособие состоит из теоретической и практической частей. Практическая часть содержит 9 лабораторных работ по типовым решениям с использованием продуктов различных компаний. Описание лабораторных работ можно найти по адресу в Интернет: http://www.aladdin.ru/book/. Согласно замыслу авторов, книга, которую Вы держите в руках, призвана открыть перед читателем суть и возможности технологии аутентификации, как базового элемента любой системы информационной безопасности современных компаний. Специалистам, уже знакомым с данными технологиями, книга поможет систематизировать и расширить свои знания в части прикладного применения средств аутентификации и интеграции их с другими продуктами и решениями для защиты информации.
Развивать рынок аутентификации, способствовать повышению уровня и качества проектов в области ИТ-безопасности, а, главное, содействовать формированию четкого понимания ценности информации в современном мире — основная цель данной книги.
Аутентификация теория и практика обеспечения безопасного доступа к информационным ресурсам
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
Information protection. Identification and authentication. General
Дата введения 2020-05-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом «Аладдин Р.Д.» (ЗАО «Аладдин Р.Д.») и Обществом с ограниченной ответственностью «Научно-производственная фирма «КРИСТАЛЛ» (ООО «НПФ «КРИСТАЛЛ»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации» и Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем, основывается на результатах идентификации и аутентификации.
При автоматизированной обработке информации физическому лицу как субъекту доступа соответствуют вычислительные процессы, выполняющие операции с данными. Это создает риски неоднозначного сопоставления вычислительных процессов с конкретным физическим лицом. Аналогичные риски существуют и при автоматической обработке информации. Кроме того, удаленное информационное взаимодействие дополнительно порождает риск ошибочной идентификации удаленного субъекта доступа и, следовательно, риск предоставления доступа злоумышленнику. Наряду с этим существуют риски того, что вычислительный процесс, действующий в интересах злоумышленника, может имитировать объекты (субъекты) доступа, функционирующие как параллельно с легальными, так и существующие независимо от них.
Устанавливая правила управления доступом к информации и сервисам, обеспечивающим ее обработку, для различных категорий субъектов доступа необходимо учитывать не только конфиденциальность защищаемой информации, но и указанные риски. Для снижения рисков должны применяться соответствующие методы идентификации и аутентификации, которые обеспечивают уверенность в подлинности сторон, участвующих в информационном взаимодействии, включая и субъекты доступа, и объекты доступа. Это особенно востребовано в том случае, когда взаимодействующие стороны имеют дефицит взаимного доверия, обусловленный, например, использованием небезопасной среды функционирования.
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.
1 Область применения
Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.
Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.
Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования
ГОСТ Р ИСО 704 Терминологическая работа. Принципы и методы
ГОСТ Р ИСО 10241-1 Терминологические статьи в стандартах. Часть 1. Общие требования и примеры представления
ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.
3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.
3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.
аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
[Адаптировано из [1], статья 3.3.8]
3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.
биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.
3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.
3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.
3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.
виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами.
3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.
вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения.
3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.
3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.
1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.
2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.
3 Доверенная третья сторона является доверенным объектом.
доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.
3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.
1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.
3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.
1 Адаптировано из [5].
2 Закрытый ключ не является общедоступным (см. [5]).
3 Ключ электронной подписи является примером закрытого ключа (см. [6]).
3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.
3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.
3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009
Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009.
Книга посвящена одному из аспектов проблемы управления доступом к информации в компьютерных системах — аутентификации.
Фактически защита информации начинается с аутентификации пользователей. Каждый пользователь современных компьютерных систем сталкивается с процедурами аутентификации неоднократно в течение рабочего дня. Книга описывает достоинства и недостатки практически всех существующих и используемых на настоящий момент способов аутентификации и ориентирована на широкий круг читателей.
Книга адресована студентам ВУЗов и аспирантам, обучающимся по специальностям, связанным с защитой информации, ИТ-специалистам и специалистам по информационной безопасности; специалистам, получающим второе высшее образование в области зашиты информации, и слушателям курсов переподготовки.
Аутентификация с помощью запоминаемого пароля.
Для проверки подлинности пользователей в информационных системах наиболее широко используется аутентификация по секретной информации, которая неизвестна непосвященным людям. При некомпьютерном использовании это может быть произносимый голосом пароль или запоминаемая комбинация для замка. В компьютерных системах — это пароль, вводимый с помощью клавиатуры.
Парольная аутентификация — аутентификация на основе обладания неким секретным знанием («на основе знания чего-либо»).
В системах различной степени защищенности используют постоянные, условно-постоянные и временные пароли.
Чем длиннее пароль, тем он более стойкий (сложнее поддается подбору и другим типам атак). Не меньшее значение имеют алфавит пароля, предельное количество попыток его ввода, минимальное время, которое должно пройти между попытками, и другие параметры механизма аутентификации.
Скачать djvu
Ниже можно купить эту книгу по лучшей цене со скидкой с доставкой по всей России. Купить эту книгу
Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009
Аутентификация, Теория и практика. Обеспечение безопасного дотупа к информационным ресурсам, Афанасьев А.А., 2009.
Книга посвящена одному из аспектов проблемы управления доступом к информации в компьютерных системах — аутентификации.
Фактически защита информации начинается с аутентификации пользователей. Каждый пользователь современных компьютерных систем сталкивается с процедурами аутентификации неоднократно в течение рабочего дня. Книга описывает достоинства и недостатки практически всех существующих и используемых на настоящий момент способов аутентификации и ориентирована на широкий круг читателей.
Книга адресована студентам ВУЗов и аспирантам, обучающимся по специальностям, связанным с защитой информации, ИТ-специалистам и специалистам по информационной безопасности; специалистам, получающим второе высшее образование в области зашиты информации, и слушателям курсов переподготовки.
Аутентификация с помощью запоминаемого пароля.
Для проверки подлинности пользователей в информационных системах наиболее широко используется аутентификация по секретной информации, которая неизвестна непосвященным людям. При некомпьютерном использовании это может быть произносимый голосом пароль или запоминаемая комбинация для замка. В компьютерных системах — это пароль, вводимый с помощью клавиатуры.
Парольная аутентификация — аутентификация на основе обладания неким секретным знанием («на основе знания чего-либо»).
В системах различной степени защищенности используют постоянные, условно-постоянные и временные пароли.
Чем длиннее пароль, тем он более стойкий (сложнее поддается подбору и другим типам атак). Не меньшее значение имеют алфавит пароля, предельное количество попыток его ввода, минимальное время, которое должно пройти между попытками, и другие параметры механизма аутентификации.
Скачать djvu
Ниже можно купить эту книгу по лучшей цене со скидкой с доставкой по всей России. Купить эту книгу
