Политика паролей в информационной безопасности

Размещено на http://www.allbest.ru/

МИНИСТРЕСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОМУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАНА

ТАШКЕНТСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАММАД АЛЬ-ХОРАЗМИЙ

САМОСТОЯТЕЛЬНАЯ РАБОТА

ТЕМА: Политика паролей в информационной безопасности

Студента группы: 056-20

Выполнил: Жанайдаров Н.А.

Проверил: Сунбула

ТАШКЕНТ

2021

План

Введение

Понятие информационной безопасности

Что такое политика паролей

Угрозы информационной безопасности

Способы и методы защиты информационных ресурсов

Заключение

Список литературы

Введение

Людям свойственно защищать свои секреты. Развитие информационных технологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся всё более и более актуальными - и одновременно более сложными. Технологии обработки информации непрерывно совершенствуются, а вместе с ними меняются и практические методы обеспечения информационной безопасности. Действительно, универсальных методов защиты не существует, во многом успех при построении механизмов безопасности для реальной системы будет зависеть от её индивидуальных особенностей, учёт которых плохо подаётся формализации. Поэтому часто информационную безопасность рассматривают как некую совокупность неформальных рекомендаций по построению систем защиты информации того или иного типа.

Информационная сфера сегодня - не только одна из важнейших сфер международного сотрудничества, но и объект соперничества. Страны с более развитой информационной инфраструктурой, устанавливая технологические стандарты и предоставляя потребителям свои ресурсы, определяют условия формирования и осуществления деятельности информационных инфраструктур в других странах, оказывают воздействие на развитие их информационной сферы. Поэтому в промышленно развитых странах при формировании национальной политики приоритет получают развитие средств защиты и обеспечение безопасности информационной сферы.

Концентрация информации в компьютерных системах вынуждает наращивать усилия по её защите. Национальная безопасность, государственная тайна, коммерческая тайна - все эти юридические аспекты требуют усиления контроля над информацией в коммерческих и государственных организациях. Работа, ведущаяся в этом направлении, привела к появлению новой дисциплины - «Информационная безопасность».

Специалист в области информационной безопасности отвечает за разработку, создание и эксплуатации системы, призванной обеспечить целостность, доступность и конфиденциальность циркулирующей в организации информации. В его функции входит обеспечение физической защиты (аппаратные средства, компьютерные сети), а также защиты данных и программного обеспечения.

Обеспечение информационной безопасности - дело не только очень дорогостоящее (затраты на покупку и установку технических и программных средств защиты могут составлять более половины стоимости компьютерной техники), но и очень сложное: при создании системы безопасности информации трудно определить возможные угрозы и уровень необходимой защиты, требуемый для поддержания информационной системы в рабочем состоянии.

Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

- доступность (возможность за разумное время получить требуемую информационную услугу);

- целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

- конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Что такое политика паролей

пароль информационная безопасность

Политика паролей - это набор правил, направленных на повышение безопасности компьютера путем поощрения пользователей к использованию надежных паролей и их правильному использованию. Политика паролей часто является частью официальных правил организации и может преподаваться как часть информационной безопасности. Либо политика паролей носит рекомендательный характер, либо компьютерные системы заставляют пользователей соблюдать ее. Некоторые правительства имеют национальные структуры аутентификации, которые определяют требования к аутентификации пользователей в государственных службах, включая требования к паролям.

Типичные компоненты политики паролей:

Длина, формирование и сложность пароля:

Для многих политик требуется минимальная длина пароля 8 символов является типичным, но не может быть подходящим. Более длинные пароли обычно более безопасны, но некоторые системы устанавливают максимальную длину для совместимости с устаревшими системами. Некоторые политики предлагают или накладывают требования на тип пароля, который пользователь может выбрать, например:

* использование букв верхнего и нижнего регистра (чувствительность к регистру)

* включение одной или нескольких цифр

* включение специальных символов, таких как @, #, $

* запрет слов, найденных в черном списке паролей

* запрет слов, содержащихся в личной информации пользователя

* запрет на использование названия компании или аббревиатуры

* запрет паролей, совпадающих с форматом даты, номерами машин, телефонными номерами, или другими распространенными значениями

Другие системы создают пароль для пользователей или позволяют пользователю выбрать один из ограниченного числа отображаемых вариантов.

Черные списки паролей:

Черные списки паролей-это списки паролей, которые всегда заблокированы. Черные списки содержат пароли, составленные из комбинаций символов, которые в противном случае соответствуют политике компании, но больше не должны использоваться, поскольку они считаются небезопасными по одной или нескольким причинам. Типичными примерами являются Пароль1, Qwerty123, или Qaz123wsx.

Срок действия пароля

Некоторые политики требуют, чтобы пользователь менял пароль периодически, часто каждые 90 или 180 дней. Однако преимущество истечения срока действия пароля является спорным. Системы, реализующие такие политики, иногда не позволяют пользователям выбирать пароль слишком близко к предыдущему выбору. Эта политика часто может иметь неприятные последствия. Некоторым пользователям трудно придумать "хорошие" пароли, которые также легко запомнить. В конечном итоге, из-за частой смены пароля, пользователи используют гораздо более слабые комбинации допустимых символов; политика также поощряет пользователей записывать пароли. Кроме того, политика запрещает пользователю повторять последний пароль, откуда вытекает необходимость наличия базы данных всех последних паролей. Наконец, пользователи могут изменить свой пароль несколько раз в течение нескольких минут, а затем вернуться к тому, который они действительно хотят использовать, полностью обойдя политику изменения пароля.

Также стоит рассмотреть человеческий фактор. В отличие от компьютеров, пользователи не могут удалить одну память и заменить ее другой. Следовательно, часто изменение запомненного пароля является нагрузкой на человеческую память, и большинство пользователей прибегают к выбору пароля, который относительно легко угадать. Пользователям часто рекомендуется использовать мнемонические правила для запоминания сложных паролей. Однако, если пароль должен быть повторно изменен, мнемоники бесполезны, потому что пользователь не будет помнить, какой мнемоник использовать. Кроме того, использование мнемоники (ведущей к паролям, таким как "2BOrNot2B") облегчает угадывание пароля.

Факторы администрации могут также быть вопросом. Пользователи иногда имеют старые устройства, для которых требуется пароль, который использовался до истечения срока действия пароля. Для того, чтобы управлять этими старыми устройствами, пользователям, возможно, придется прибегнуть к записи всех старых паролей в случае, если им нужно войти в старое устройство.

Часто лучше требовать очень надежный пароль и не требовать его изменения. Однако этот подход имеет существенный недостаток: если постороннее лицо получает пароль и использует его, не будучи обнаруженным.

Необходимо взвесить эти факторы: вероятность того, что кто-то угадает пароль, потому что он слабый, по сравнению с вероятностью того, что кому-то удастся украсть или иным образом получить, не угадав, более сильный пароль.

Брюс Шнайер утверждает, что "почти все, что можно запомнить, может быть взломано", и рекомендует схему, которая использует пароли, которые не будут отображаться ни в каких словарях.

Санкции

Политики паролей могут включать прогрессивные санкции, начинающиеся с предупреждений и заканчивающиеся возможной потерей привилегий компьютера или прекращением работы. Там, где конфиденциальность предписана законом, например, с государственной тайной, нарушение политики паролей может быть уголовным преступлением.

Процесс отбора

Требуемый уровень надежности пароля зависит, среди прочего, от того, насколько легко злоумышленнику представить несколько догадок. Некоторые системы ограничивают количество раз, когда пользователь может ввести неверный пароль, прежде чем будет наложена задержка или учетная запись будет заморожена. С другой стороны, некоторые системы предоставляют специально хешированную версию пароля, чтобы любой мог проверить его действительность. Когда это сделано, злоумышленник может попробовать пароли очень быстро; так гораздо более сильные пароли необходимы для разумной безопасности. (см. раздел взлом пароля) Более строгие требования также подходят для учетных записей с более высокими привилегиями, таких как учетные записи root или системного администратора.

Вопросы удобства использования

Политики паролей обычно представляют собой компромисс между теоретической безопасностью и практичностью человеческого поведения. Например:

* Требование чрезмерно сложных паролей и их частая смена могут привести к тому, что пользователи будут записывать пароли в местах, которые злоумышленнику будет легко найти, например в Rolodex или на бумажной заметке рядом с компьютером.

* Пользователи часто имеют десятки паролей для управления. Может быть более реалистичным рекомендовать использовать один пароль для всех приложений с низким уровнем безопасности, таких как чтение онлайн-газет и доступ к развлекательным веб-сайтам.

* Аналогичным образом, требование, чтобы пользователи никогда не записывали свои пароли, может быть нереалистичным и привести пользователей к выбору слабых (или вызвать много неудобств, когда пользователи забывают свой пароль). В качестве альтернативы можно предложить хранить записанные пароли в безопасном месте, например в безопасном или зашифрованном главном файле. Обоснованность такого подхода зависит от того, какой наиболее вероятной считается угроза. В то время как запись пароля может быть проблематичной, если потенциальные злоумышленники имеют доступ к защищенному хранилищу, если угроза-прежде всего удаленные злоумышленники, которые не имеют доступа к хранилищу, это может быть очень безопасный метод.

* Включение специальных символов может быть проблемой, если пользователь должен войти в компьютер в другой стране. Некоторые специальные символы трудно или невозможно найти на клавиатурах другого языка.

* Некоторые системы управления идентификационной информацией позволяют самостоятельный сброс пароля, где пользователи могут обойти защиту пароля, предоставляя ответ на один или несколько вопросов безопасности, таких как " где вы родились?", "какой твой любимый фильм?" и т.д. Часто ответы на эти вопросы можно получить с помощью социальной инженерии, фишинга или простых исследований.

Анализ политики паролей 75 различных веб-сайтов в 2010 году делает вывод, что безопасность лишь частично объясняет более строгие политики: монопольные поставщики услуг, такие как правительственные сайты, имеют более строгие политики, чем сайты, где потребители имеют выбор (например, розничные сайты и банки). В исследовании делается вывод о том, что сайты с более строгой политикой "не имеют больших проблем безопасности, они просто лучше изолированы от последствий плохого использования."

Доступны и другие подходы, которые обычно считаются более безопасными, чем простые пароли. К ним относятся использование токена безопасности или системы одноразовых паролей, например S/Key, или многофакторная аутентификация. Тем не менее, эти системы усиливают компромисс между безопасностью и удобством: по словам Шумана Госемаджумдера, все эти системы улучшают безопасность, но приходят "за счет переноса бремени на конечного пользователя.

Угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

- аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

- программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

- данные, хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

- персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

- аварийные ситуации из-за стихийных бедствий и отключений электропитания;

- отказы и сбои аппаратуры;

- ошибки в программном обеспечении;

- ошибки в работе персонала;

- помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

- недовольством служащего своей карьерой;

- взяткой;

- любопытством;

- конкурентной борьбой;

- стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

- квалификация нарушителя на уровне разработчика данной системы;

- нарушителем может быть, как постороннее лицо, так и законный пользователь системы;

- нарушителю известна информация о принципах работы системы;

нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

- хищение носителей информации;

- чтение информации с экрана или клавиатуры;

- чтение информации из распечатки.

Через программу:

- перехват паролей;

- дешифровка зашифрованной информации;

- копирование информации с носителя.

Через аппаратуру:

- подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

- перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Способы и методы защиты информационных ресурсов

Вместе с развитием способов и методов преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный этап развития этой проблемы характеризуется переходом от традиционного её представления как проблемы защиты информации к более широкому пониманию - проблеме информационной безопасности, заключающейся в комплексном её решении по двум основным направлениям.

К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом невозможность несанкционированного доступа к ним. При этом под конфиденциальными сведениями понимаются сведения ограниченного доступа общественного характера (коммерческая тайна, партийная тайна и т. д.).

Ко второму направлению относится защита от информации, которая в последнее время приобретает международный масштаб и стратегический характер. При этом выделяют три основных направления защиты от так называемого информационного оружия (воздействия):

- на технические системы и средства;

- общество;

- психику человека.

В соответствии с этим подходом уточнены и дополнены множества угроз информации, функции и классы задач по защите информации. Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.

Обеспечение безопасности информации требует сохранения следующих её свойств:

- целостности;

- доступности;

- конфиденциальности.

Целостность информации заключается в её существовании в неискажённом виде, т. е. неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения.

Доступность - свойство, характеризующее способность информации обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.

Конфиденциальность - свойство, указывающее на необходимость введения ограничений на доступ к ней определённого круга пользователей, а также статус, предоставленный данным и определяющий требуемую степень их защиты.1

Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.

Методы обеспечения информационной безопасности весьма разнообразны.

Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях. Инженерное-технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам - например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности. Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них - это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе - а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача - строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.

Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёх стадийная разработка таких мер.

I стадия - выработка требований - включает:

определение состава средств информационной системы

анализ уязвимых элементов информационной системы

оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов)

анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы)

II стадия - определение способов защиты - включает ответы на следующие вопросы:

какие угрозы должны быть устранены и в какой мере?

какие ресурсы системы должны быть защищаемы и в какой степени?

с помощью каких средств должна быть реализована защита?

какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз?

III стадия - определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.2

Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются:

разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности;

разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения;

развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности.

Реализация вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах.

Заключение

Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб. Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам. В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации. Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др. Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.

Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,

Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.

Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.

Список литературы

1. Информационная безопасность - http://protect.htmlweb.ru

2. Информационная безопасность - http://wikipedia.org

3. Фигурнов В.Э. "IBM РС для пользователя".

4. Информационная безопасность и защита информации. Учебное пособие - М.: 2004 - 82 c. http://bezopasnik.org›article/book/23.pdf

Размещено на Allbest.ru

...