Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Ключові положення. Експлуатація системи захисту інформації від НСД




Мета роботи

Експлуатація системи захисту інформації від НСД

Лабораторна робота № 3

 

Набуття навичок експлуатації комплексу засобів захисту (КЗЗ) інформації, опрацьовуваної на ПЕОМ, від несанкціонованого доступу (НСД). Вивчення функціонування системи розмежування доступу в КЗЗ, зреалізованого у стандартній операційній системі (ОС) MS WINDOWS 95/98. Знайомство з порядком захисту інформації при роботі на спеціалізованому робочому місці з обмеженим колом користувачів, яких наділено різними повноваженнями з доступу до ресурсів.

 

2.1 Загальні відомості

В основному, робота користувача на ПЕОМ у захищеному середовищі проводиться так само, як на звичайній. Проблемами захисту на спеціалізованому робочому місці займається адміністратор. При цьому користувачеві слід чітко слідувати його вказівкам. Адміністратор має проінструктувати користувача про встановлені правила роботи, права користувача, обов’язки й обмеження.

У свою чергу, про всі помічені відхилення від штатної роботи (відсутність чи поява незрозумілих повідомлень, особливо в процесі завантажування, зміни поводження системи при доступі до захищених каталогів тощо) користувач зобов’язаний негайно повідомляти адміністраторові.

 

2.2 Входження до системи

Процес входження до системи має розпочинатись із ввімкнення живлення або перезавантаження ОС (гарячого чи холодного). Якщо користувач, підійшовши до ПЕОМ, бачить, що ще не завершено попередній сеанс роботи, його слід завершити неодмінно. Якщо користувач, підійшовши до ПЕОМ, бачить на екрані запит імені й пароля, йому не слід покладатися на те, що це запити засобів захисту, а обов’язково перезавантажити ПЕОМ.

2.3 Завантаження ОС легітимним користувачем

При завантаженні ОС засоби захисту здійснюють ідентифікування й автентифікування користувача. Для цього користувача просять ввести ім’я (псевдонім — username) і пароль (password), а також пред’явити ідентифікатор, що носиться – ідентифікатор Touch Memory або, у нашому разі, ключову дискету. Ідентифікатор, що носиться, а також пароль для першого входження до системи користувачеві надає адміністратор.

Завантаження ОС відбувається в такий спосіб. При ввімкненні живлення, холодному або гарячому перезавантаженню перед завантаженням ОС надсилається запит “Username >”, у відповідь на який слід ввести ім’я користувача. Під час введення імені (й пароля) обов’язкове дотримання регістру при введенні всіх символів. У разі помилки користувач має натиснути клавішу <Esc> або <Backspace>, що призведе до повторного видання запиту. Введення імені завершується натисканням клавіші <Enter>. Після цього надсилається наступний запит – “Password >”, у відповідь на який користувач повинен увести свій пароль. Початковий пароль надається адміністратором при реєструванні користувача й має бути змінений користувачем при першому ж входженні до системи. При введенні пароля на екрані замість символів, що вводяться, відбиваються “зірочки”. Введення пароля також завершується натисканням клавіші <Enter>. Після введення пароля надсилається повідомлення “ Insert ID device and press <Enter> when ready”, у відповідь на яке слід ввести ідентифікатор до зчитувача. Якщо за носимий ідентифікатор користувач використовує ключову дискету, то він вставляє її в дисковод А:, якщо ідентифікатор Touch Memory – то у зчитувач, після чого натискає клавішу <Enter>. Після цього здійснюється пошук ідентифікаторів (у такому порядку: Touch Memory, дискета) й читання першого відзнайденого ідентифікатора.

Приклад діалогу при входженні до системи наведено нижче.

Username > admin

Password > ******

Insert ID device and press <Enter> when ready

........... Search for ТМ..........

У разі введення коректної інформації на короткий час надсилається (користувач його навіть не помічає) повідомлення “Access granted” (доступ дозволено) – і процес завантаження системи триває.

Під час подальшого завантаження відбувається таке:

- надсилається повідомлення ОС “Starting Windows”;

- здійснюється опрацювання файла CONFIG.SYS, при цьому надсилаються діагностичні повідомлення “ IKT-ROM Present” (ПЗП КЗЗ є присутнім), вітання “ <иserпате>, you welcome” (Користувач такий-то, завжди Вам раді) і “ Device FLYDOS loaded” (Драйвер КЗЗ завантажено);

- здійснюється опрацювання файла AUTOEXEC.BAT (якщо він є).

Якщо апаратний захист від несанкціонованого завантаження (НЗЗ) не встановлено, то ідентифікування й автентифікування користувача здійснюються драйвером FLYDOS.SYS – після повідомлення “ IКТ-ROM absent” (ПЗП відсутній) видаються запити імені й пароля. Однак, подальше завантаження відбувається лише в тому разі, якщо користувач має привілей “Завантаження без ПЗП”, а до ЖФ буде внесено відповідний запис про НСД. Про дану ситуацію слід довести до відома адміністратора КЗЗ.

Робота КЗЗ без ПЗП розглядається як позаштатна ситуація. Опрацювання критичної інформації за відсутності ПЗП є неприпустиме. У разі видання системою повідомлень про відсутність ПЗП – користувач повинен негайно довести це до відома адміністратора.

2.4 Спроби несанкціонованого завантаження

У разі повторення більше двох разів некоректного введення імені або пароля користувача, або пред’явлення підробленого ідентифікатора, видається повідомлення “ Access denied. System halted” (Доступ заборонено. Зупинка системи) – і здійснюється зупинка системи (завантаження припиняється).

2.5 Перевірка терміну чинності повноважень

Коли адміністратор реєструє користувача в системі, він задає термін закінчення чинності його повноважень і пароля. Коли користувач змінює свій пароль, термін закінчення чинності пароля встановлюється автоматично (за замовчуванням — три місяці).

Під час завантаження КЗЗ порівнює поточну дату з датами закінчення терміну чинності пароля і повноважень, і за сім днів до закінчення терміну чинності попереджає про це, видаючи відповідно повідомлення “ Уоиr account is about to expirate. Саll admin” (Термін чинності вашого облікового запису минає. Зверніться до адміністратора) або “ Уоиr password is about to expirate. Change it” (Термін чинності вашого пароля минає. Замініть його). У першому випадку користувачеві слід звернутися до адміністратора, а в другому – замінити пароль.

Якщо термін чинності повноважень або пароля минув, то буде видане повідомлення “ Your account is expirate. Access denied. System halted” (Термін чинності вашого облікового запису минув. Доступ заборонено. Зупинка системи) або “ Уоиr password is expirate. Access denied. System halted” (Термін чинності вашого пароля минув. Доступ заборонено. Зупинка системи), відповідно, – і користувач не зможе ввійти до системи. У цьому разі користувачеві слід звернутися до адміністратора.

Окрім того, KЗЗ допускає входження користувача в систему лише в ті дні тижня й години дня, в які йому це дозволено адміністратором. Якщо користувач спробує ввійти до системи в той день тижня чи в той час, коли це йому не дозволено, то KЗЗ видасть повідомлення “ Уоиr соте at а wrong date/time. Access denied. System halted” (Ви прийшли не в той день/невчасно. Доступ заборонено. Зупинка системи). У цьому разі користувачеві також слід звернутися до адміністратора.

2.6 Перевіряння цілісності КЗЗ

У процесі завантаження KЗЗ виконує перевіряння цілісності свого ПЗ. У разі виявлення порушування цілісності, подальше завантаження ОС припиняється зі стандартним повідомленням про те, що живлення комп’ютера можна вимкнути. У даній ситуації необхідне втручання адміністратора.

2.7 Зміна пароля

Користувач має змінити пароль при першому ж входженні до системи, інакше, зареєструвавши його, адміністратор зможе входити до системи і працювати під його ім’ям.

Пароль має обмежений термін чинності, тому періодично його слід змінювати. Про необхідність зміни пароля свідчить видане при завантаженні ОС повідомлення “ Your passwordis about to expirate. Change it” (Термін чинності вашого пароля минає. Замініть його).

Для зміни пароля слід запустити з каталога С:\-іFLY-BIN\ програму FLY95ADM.ЕХЕ і обрати підпункт “Пароль” пункту “Користувачі” основного меню. Після цього програма попросить користувача пред’явити ідентифікатор, що носиться, (вставити дискету в дисковод або підімкнути ідентифікатор TM до зчитувача), і запросить старий (чинний) пароль для входження до системи. У відповідь на це слід ввести чинний пароль у діалозі введення пароля. При введенні правильної інформації стає активним діалог уведення нового пароля. Слід ввести, а потім підтвердити новий пароль, після чого програма знову попросить підімкнути ідентифікатор, що носиться, до якого вона занесе необхідну інформацію.

Мінімальна довжина пароля для входження до системи є 6 символів, максимальна – 16. Окрім того, забороняється використовувати тривіальні паролі. Правила перевіряння пароля на тривіальність є такі:

- будь-які три підряд символи пароля не повинні повторюватися;

- будь-які три підряд символи пароля не повинні відрізнятися від попередніх на одиницю.

При обиранні пароля можна керуватися такими правилами:

- обирати свій пароль таким, аби його було легко запам’ятати, а іншим складно добрати;

- не використовувати за пароль своє ім’я або прізвище, імена й прізвища (у т. ч. дівочі) рідних, клички домашніх улюбленців, дні народження й інші знаменні дати;

- уникати використання географічних назв і слів, що зустрічаються в словниках, у тому числі слів, доповнених певною літерою, іноземних слів, набраних українською мовою, й навпаки тощо;

- оптимальний вибір – пароль, що являє собою перші літери слів, котрі складають приказку або крилатий вираз, “розведений” спеціальними символами (розділовими знаками, символами арифметичних операцій тощо) та/або цифрами (лише не слід забувати, який саме вираз було обрано і де “повтикано” розділові знаки).

Окрім того, слід пам’ятати, що інформація автентифікування (пароль і вміст ідентифікатора, що носиться,) на відміну від інформації ідентифікування (імені) є “таємною” інформацією і не повинна бути відома та/або доступна нікому, окрім користувача, якому вона належить. Тому завжди дотримуйтесь таких правил:

- не залишайте свій ідентифікатор, що носиться, без догляду й ніколи й нікому його не передавайте;

- ніколи й нікому не повідомляйте свого пароля;

- ніколи й ніде не записуйте свого пароля.

Якщо усе зроблено правильно, то новий пароль набирає чинності. Його слід буде вводити у відповідь на запит “Password >” при завантажуванні системи.

2.8 Робота із захищеними каталогами

Адміністратор має поінформувати користувача про те, які каталоги є захищеними і які права доступу до них користувач має. Адміністратор визначає так само можливість використання змінних носіїв (дискет).

Користувач не повинен копіювати файли із захищених каталогів, до яких він має доступ, у незахищені. Вони не для того захищаються, аби потім будь-хто мав змогу їх читати. Такі дії відстежуються й блокуються KЗЗ та контролюються по журналах.

Користувач не повинен виконувати жодних операцій з файлами в каталогах KЗЗ.

Наявність права щодо читання захищеного каталога дає користувачеві можливість переглядати вміст каталога і його підкаталогів, читати файли, переглядати атрибути файлів і запускати на виконання програми, які розміщені в даному каталозі та його підкаталогах.

Наявність права щодо записування до захищеного каталога надає користувачеві можливість редагувати й вилучати в даному каталозі та його підкаталогах файли й їхні атрибути, а також перейменовувати ці файли й підкаталоги.

Окрім того, при роботі із захищеними каталогами діє таке обмеження: KЗЗ забороняє здійснювати перейменування і вилучання захищеного каталога й тих каталогів, що його містять, аж до диска, що перебуває в кореневому каталозі.

Усі спроби несанкціонованого доступу до захищених каталогів фіксуються в спеціальних журналах і про них повідомляється адміністраторові.

2.9 Робота зі змінними носіями й виведення інформації на друкування

Адміністратор має право обмежити доступ до змінних носіїв інформації, через які може здійснюватися імпортування/експортування інформації, а також виведення на друкування. У цьому разі він має поінформувати користувача про те, які каталоги є каталогами імпортування/експортування й чи має користувач до них доступ, а також чи може користувач роздруковувати інформацію. Користувач має погоджувати з адміністратором порядок використання змінних носіїв (дискет).

2.10 Запускання програм

У КЗЗ зреалізовано функцію контролю цілісності прикладного програмного забезпечення. Якщо її задіяно, то користувач не може запускати на робочому місці сторонні програми, у тому числі й зі змінних носіїв.

Усі подібні дії розглядаються як несанкціоновані, фіксуються в спеціальних журналах і про них повідомляється адміністраторові.

2.11 Заблоковування клавіатури

У КЗЗ зреалізована можливість заблоковування пристроїв інтерфейсу користувача (клавіатури, миші й монітора). Заблоковування здійснюється або користувачем за допомогою певної комбінації клавіш (Ctrl-Alt- F11> або <Ctrl-Alt-F12>), або KЗЗ за бездіяльності користувача протягом визначеного адміністратором періоду часу.

У стані заблоковування маніпулятор “миша” вимикається, екран гаситься й на нього виводиться попереджувальне повідомлення та запит пароля (“Password > ”).Будь-яке натискання клавіші на клавіатурі сприймається як уведення символу пароля. Робота фонових програм при цьому може тривати.

Для розблоковування комп’ютера користувачеві треба пред’явити свій ідентифікатор, що носиться, і увести свій пароль. Розблоковувати пристрій інтерфейсу користувача може лише той користувач, який завантажив OC у даному сеансі.

Забороняється вимикати живлення ПЕОМ у стані заблоковування, – це може призвести до втрати інформації.

2.12 Завершення роботи

Після того, як користувач завершив роботу на ПЕОМ і планує вийти, йому слід неодмінно завершити свій сеанс роботи, у противному разі будь-яка людина, що підійшла, зможе здійснювати доступ до інформації з правами користувача, який не завершив свого сеансу роботи. Завершення сеансу роботи здійснюється штатними засобами Windows, наприклад за допомогою вибору кнопки “Пуск” і пункту “Завершення роботи.../Вимкнути комп’ютер”. Про нормальне завершення сеансу роботи свідчить поява напису “ Тепер живлення комп’ютера можна вимкнути”.

Перезавантаження в режимі емуляції MS-DOS (з використанням пункту “Перезавантажування в режимі МS DOS” меню “Завершення роботи Windows”) для користувачів заборонено. Спроба виходу до режиму емуляції MS-DOS завершується примусовим перезавантаженням OC.

 

2.13 Лабораторне устаткування

КЗЗ зреалізовано в стандартній операційній системі MS WINDOWS 95/98 і складається з апаратної, програмної та ключової систем. До апаратної частини належить ПЗП з мікропрограмами рівня BIOS, установлене на спеціальній або мережній платі. Програмне забезпечення складається з резидентної й нерезидентної частин. Ключова система являє собою спеціальний пристрій або дискету, на якій записуються ідентифікаційні дані користувача.

 

3. Ключові питання

1. Структура КЗЗ, зреалізованого в стандартній операційній системі (ОС) MS WINDOWS 95/98.

2. Правила розмежування доступу при роботі на спеціалізованому робочому місці з обмеженим колом користувачів, наділених різними повноваженнями з доступу до ресурсів.

3. З чого слід розпочинати входження до системи?

4. Який існує порядок завантаження ОС легальним користувачем?

5. Які засоби й методи використовуються в КЗЗ для запобігання несанкціонованому завантаженню?

6. Що відбувається за спроби несанкціонованого завантаження?

7. Які обмеження накладаються на термін чинності повноважень користувача?

8. Поясніть принципи перевіряння цілісності ПЗ КЗЗ.

9. Як здійснити зміну пароля користувача?

10. Які існують правила вибору і зберігання пароля?

11. Права доступу користувача до захищуваних каталогів.

12. Які існують обмеження при роботі із захищуваними каталогами?

13. Які є правила й обмеження при роботі зі змінними носіями і виведенням на друкування?

14. За яких умов користувачеві заборонено запускати сторонні програми?

15. У який спосіб слід виконувати заблоковування і розблоковування інтерфейсних пристроїв комп’ютера?

16. Чому забороняється вимикати живлення комп’ютера при заблокованій клавіатурі?

17. Який існує порядок коректного завершення роботи?

 

4. Домашнє завдання

1. Повторити структуру КЗЗ, зреалізованого в стандартній операційній системі MS WINDOWS 95/98.

2. Визначити і сформулювати правила розмежування доступу при роботі на спеціалізованому робочому місці з обмеженим колом користувачів, наділених різними повноваженнями з доступу до ресурсів.

3. З’ясувати, які засоби й методи використовуються в КЗЗ для запобігання несанкціонованому завантаженню.

 

5. Лабораторне завдання

1. Здійснити входження до системи використовуючи надані адміністратором ім’я, пароль і ключову дискету.

2. Випробуйте дію системи перевіряння терміну чинності повноважень користувача.

3. Змініть пароль користувача.

4. Дослідіть можливості роботи користувача в захищених каталогах. Перевірте, у який спосіб документується робота користувача в системних журналах.

5. Розгляньте правила роботи зі змінними носіями і виведенням на друкування.

6. Перевірте, чи може користувач запускати сторонні програми.

7. Виконайте заблоковування й розблоковування інтерфейсних пристроїв комп’ютера.

8. Здісніть коректне завершення роботи.

 

 

6. Зміст протоколу

1. Назва роботи.

2. Мета роботи.

3. Виконане домашнє завдання.

4. Результати виконання лабораторного завдання.

5. Висновки.

 





Поделиться с друзьями:


Дата добавления: 2014-10-15; Просмотров: 583; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.048 сек.