Автор работы: Пользователь скрыл имя, 20 Февраля 2011 в 14:59, курс лекций
Программные и аппаратные механизмы защиты
Карты
с микропроцессором используются для
защиты, хранения и обработки информации,
хранимой на них.
Архитектура
SMART-карт
Данные карты содержат следующие основные компоненты:
Файловая
система – система каталогов,
каждый из которых отвечает за поддержку
какого – либо приложения. В этих каталогах
хранятся различные типы файлов. Каждый
из каталогов ответственен за определенное
приложение, например, электронный кошелек,
ключи VPN для создания криптозащищенных
тоннелей, защищенной электронной почты,
ЭЦП. Для доступа к конкретному приложению
и связи с ним файла требуется применение
ключа, для каждого приложения такой ключ
уникален. Для каждого типа объектов файловой
системы определены свои операции, которые
могут быть выполнены над одним типом
объектов, но не могут быть применены к
объектам других типов. Например, для файла
ключей не определено операций чтения,
зато определена операция «использовать».
Лекция № 5
Идентификация и аутентификация пользователей с помощью биометрических устройств
Архитектура
Например, (390, 418, 502,471,355)
(389, 416, 501, 468, 353)
. Устанавливается пороговое значение.
N – количество попыток аутентификации легальных пользователей
M – количество отказов легальным пользователям
- коэффициент ошибочных отказов
K – общее количество попыток аутентификации нелегальных пользователей
L – количество процедур аутентификации
- коэффициент ошибочных
Системы контроля доступа (СКД)
Системы контроля доступа используется для реализации заданного режима доступа на охраняемый объект и реализуют следующие основные функции:
- обеспечение
- сигнализация при попытках НСД;
- ведение списка пользователей;
- учет рабочего времени сотрудников;
- учет движения сотрудников по организации;
- определение текущего местоположения;
- ведение архивов событий.
Основными составными элементами СКД являются:
- устройство чтения идентификаторов;
- исполнительные устройства (электронные замки, турникеты, шлюзы, шлагбаумы);
- ПО, которое управляет
СКД, содержит политику
- контроллер управления
доступом, принимает решения о
допуске\недопуске
По способу управления преграждающими устройствами СКД можно поделить на следующие типы:
- автономные (локальные) используется для управления одним или несколькими преграждающими устройствами без передачи информации на центральный пульт и без контроля со стороны оператора;
- централизованные (сетевые) используется для управления преграждающими устройствами с обменом информацией с центральным пультом, контролем и управлением системой со стороны оператора;
- универсальные – включает в себя функции как автономных, так и централизованных СКД. Работают в сетевом режиме под руководством центрального пульта, но способны перейти в автономный режим при отказе сети.
По количеству точек доступа СКД делится на 3 класса:
- малые, для которых единица точек доступа - это офис;
- средние – десятки
точек доступа, тысячи
- большие – сотни точек доступа, десятки тысяч пользователей.
Схемы СКД
Автономные
Такая
система состоит из автономного
контроллера, который хранит в себе
БД идентификаторов. Он управляет работой
всех остальных элементов системы.
В качестве исполняющего устройства
выступает электронный замок, либо защелка,
которой контроллер дает команды на открывание.
Для идентификации пользователя используются
Proximity или iButton, подсоединенный к считывателю.
Этот считыватель работает только на вход,
как правило. Для выхода пользователя
из помещения предусмотрена кнопка открывания
двери. Дверной контакт фиксирует открывание
двери и используется для обеспечения
корректной работы системы. В подобных
системах может использоваться компьютерная
техника для управления автономным контроллером,
загрузки и считыванию из него информации.
Через специальную плату данный контроллер
подключается к ЭВМ, стоящей в помещении,
на которую загружается специальное ПО,
позволяющее обновлять перечень зарегистрированных
идентификаторов в автономном контроллере,
изменять политику разграничения доступа.
Это ПО позволяет в удобном для пользователя
виде предоставлять информацию о проходах
пользователей через эту дверь, вести
учет рабочего времени, визуально контролировать
личность сотрудника.
Сетевые СКД
Контроллеры УД выполняют принятие решения о допуске\недопуске пользователя с конкретным идентификатором. В зависимости от типа СКД контроллер может использовать для хранения от 2000 до 32000 идентификаторов, обладает внутренней памятью определенного объема, в которой накапливается информация о проходах.
Диспетчерский
пункт, общаясь с контроллером, загружает
в него списки идентификаторов и
политику разграничения доступа. С
контроллера на диспетчерский пункт
загружается статистика проходов. В
случае потери связи с диспетчерским
пунктом КУД переходит в автономный режим
работы. Адаптеры используются для непосредственного
подключения исполняющих устройств и
передачи от них информации КУД.
Лекция № 6
Защита программного обеспечения от несанкционированного использования
Включает в себя:
1. Организационно-правовые меры
2. Правовые
меры (распространение на
3. Технические меры
Модульная архитектура технических средств защиты ПО от несанкционированного копирования
Особенностью всех технических мер защиты является то, xто их реализация построена на выделении, либо принудительном введении каких – либо идентифицирующих элементов в среде функционирования программы, на которые настраивается система защиты. В качестве таких характеристик среды может быть использованы серийный номер, ключевой файл, информация в реестре, в конфигурации файлов, конфигурация аппаратуры, физический дефект носителей информации.
Основные требования к системе защиты ПО от несанкционированного копирования:
Система защиты ПО от несанкционированного копирования работает по следующему алгоритму:
снимают текущие характеристики среды, они сравниваются с эталонными. Если сравнение дало положительный результат, то запуск программы считается санкционированным. Программа запуска продолжает работать. Если сравнение дало отрицательный результат, то запускается блок ответной реакции.
За
установку текущих
По способу внедрения защитного кода в защищаемую программу различают встроенную и пристыковочную защиты.
Встроенные механизмы защиты основываются на том, что система как самостоятельный программный модуль отсутствует. Эти механизмы защиты внедряет сам разработчик в исходный текст программы, используя, например набор готовых API-функций защиты.
Преимущества:
1. Простота. С помощью
библиотек и функций,
2. при реализации встроенной защиты, разработчик может запрограммировать любую ответную реакцию программы на несовпадение характеристик с эталонными, что в свою очередь позволяет более хорошо реализовать маркетинговые функции. Например, при отсутствии электронного ключа, может запускать программу в демонстрационном режиме.
3. защита производится
не по детерминированному
Недостаток: сложная реализация.
Модуль противодействия нейтрализации защитных механизмов затрудняет анализ злоумышленником защитного кода, противодействует вмешательству в его работу и выполняется по 2 направлениям:
При
статической нейтрализации
При
динамической нейтрализации вмешательство
в работу программы производится
в момент работы в реальном времени
с помощью существующих средств отладки,
например, Soft Ice.
Пристыковочные
механизмы защиты внедряются непосредственно
в исполнительный код, реализуется непосредственно
некого автоматического обработчика исполнительных
файлов. Эти обработчики заключают исполнительный
код программы в некую защитную оболочку,
которой при старте программы передается
управление. При старте программы запускается
защитная оболочка, реализующая все защитные
функции, проверки, по результатам которых
принимается решение о запуске/незапуске
программы. Они поставляются в виде неких
wizad-ов. При использовании подобных wizard-ов
от пользователя требуется минимум действий,
например, указать программу, требующую
защиту и способ защиты.