Министерство образования и науки Российской Федерации
А.В. Кибардин
Электронное текстовое издание
Подготовлено кафедрой вычислительной техники
Научный редактор: проф., д-р техн. наук С.Л. Гольдштейн
Методические указания к лабораторным и самостоятельным работам по дисциплинам «Защита информации» и «Информационная безопасность и защита информации» для студентов всех форм обучения всех специальностей и слушателей курсов повышения квалификации.
УрФУ, 2013
Екатеринбург
ЗАЩИТА ИНФОРМАЦИИ:
АУТЕНТИФИКАЦИЯ
И РАЗГРАНИЧЕНИЕ
ДОСТУПА
2
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ. АУТЕНТИФИКАЦИЯ (УСТАНОВЛЕНИЕ ПОДЛИННОСТИ) И
УСТАНОВЛЕНИЕ ПОЛНОМОЧИЙ ............................................................................................... 3
Методы и принципы парольной защиты ..................................................................................... 4
Физические методы аутентификации .......................................................................................... 5
Установление полномочий ............................................................................................................ 6
ТЕМА 1. ПАРОЛЬНАЯ ЗАЩИТА ДОКУМЕНТОВ ОФИСА .................................................... 10
Лабораторная работа № 1. Защита паролем документов Word ............................................... 10
Запрос пароля при открытии или изменении файла ............................................................. 10
Установка или снятие защиты документа, содержащего примечания и записи исправления .............................................................................................................................. 11
Защита полей электронной формы от изменений ................................................................. 12
Разрешение вопросов, связанных с паролями ....................................................................... 15
Лабораторная работа № 2. Защита паролем документов Excel ............................................... 16
Защита листа или книги паролем ........................................................................................... 16
Защита элементов книги и файлов ......................................................................................... 19
Снятие защиты и паролей ....................................................................................................... 22
Лабораторная работа № 3. Парольная защита баз данных в Microsoft Access ....................... 24
Создание, изменение или удаление паролей ......................................................................... 24
Настройка параметров запуска ............................................................................................... 27
Создание или изменение пароля учетной записи пользователя в базе данных Microsoft
Access ......................................................................................................................................... 28
Снятие пароля учетной записи пользователя ........................................................................ 29
Защита на уровне пользователей ............................................................................................ 30
Общие сведения о защите на уровне пользователей ............................................................ 31
ТЕМА 2. РАЗГРАНИЧЕНИЕ ДОСТУПА В WINDOWS ............................................................. 41
Лабораторная работа № 4. Парольная защита и разграничение доступа в Windows XP ...... 41
Защита паролем компьютера в ждущем и спящем режимах ............................................... 41
Общие сведения об управлении доступом ............................................................................ 41
Пароли и учетные записи пользователей .............................................................................. 43
БИБЛИОГРАФИЧЕСКИЙ СПИСОК ............................................................................................ 49
3
ВВЕДЕНИЕ
АУТЕНТИФИКАЦИЯ (УСТАНОВЛЕНИЕ ПОДЛИННОСТИ)
И УСТАНОВЛЕНИЕ ПОЛНОМОЧИЙ
Существуют различные методы проверки идентичности или установления подлинности пользователей и систем. Определим взаимосвязь между установлением подлинности, идентификацией и определением прав
(полномочий), которые в совокупности определяют, какой доступ разрешается к защищаемым ресурсам. Идентификация – это присвоение объекту уникального имени
(идентификатора).
Установление
подлинности
(аутентификация) заключается в проверке, является ли проверяемое лицо или объект на самом деле тем, за кого он себя выдает. Определение полномочий устанавливает, дано ли лицу или объекту и в какой мере право обращаться к защищаемому ресурсу.
Итак, идентификация пользователя, терминала, файла, программы или другого объекта представляет собой присвоение объекту уникального имени.
Идентификация является заявкой на установление подлинности.
Идентификация нужна не только для опознавания, но и для учета обращений к ресурсу, однако ее нельзя использовать саму по себе, без дополнительного установления подлинности, если в системе требуется определенная степень безопасности.
Для установления подлинности пользователей ЭВМ используются пароли и другие методы диалога. Если пользователь в состоянии правильно представить требуемую информацию, ЭВМ признает его подлинность.
4
Методы и принципы парольной защиты
Парольная защита предполагает, что пользователь вводит свой идентификатор и пароль (уникальную строку символов) для их проверки в
ЭВМ. Рассмотрим существующие схемы парольной защиты.
В схеме с простым паролем пользователю разрешается самому выбирать пароль таким образом, чтобы его легко было запомнить. Следует позаботиться и о том, чтобы пароль не являлся слишком очевидным и был достаточно длинным.
Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для вскрытия пароля. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля.
Введем понятие ожидаемого безопасного времени – это половина произведения числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Пусть R – скорость передачи символов из линии связи, E – число символов в каждом передаваемом сообщении при попытке получить доступ, S – длина пароля, A – число символов в алфавите, из которого составляется пароль. Тогда ожидаемое безопасное время выражается следующей формулой:
R
E
S
безопасн
A
T
2 1
Пусть S = 6, A = 26, E = 20, R = 600 символов/мин.
Тогда T
безопасн
=3,089 10 7
с ≈1 год.
Если после каждой неудачной попытки автоматически предусматривается десятисекундная задержка, то тем самым ожидаемое время, требуемое для раскрытия пароля, становится равным примерно 6 годам.
Недостатком системы с простым паролем является то, что пароль может быть использован другим лицом без ведома зарегистрированного пользователя.
В схеме однократного использования пароля пользователю выдается список из N паролей. После использования пароля пользователь вычеркивает
5 его из списка. Таким образом, если злоумышленник получает использованный пароль из списка, система не будет на него реагировать.
В методе «запрос-ответ» набор ответов на m стандартных и n ориентированных на пользователя вопросов хранится в ЭВМ и управляется операционной системой. При попытке пользователя войти в систему ОС случайным образом выбирает и задает некоторые или все вопросы.
Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение на доступ к системе.
Пароли можно использовать не только для установления подлинности пользователя по отношению к системе, но и для обратного установления подлинности – системы по отношению к пользователю. Это важно, например, в сетях ЭВМ, когда пользователь хочет взаимодействовать только с данной ЭВМ и поэтому желает убедиться в подлинности вычислительной установки.
Физические методы аутентификации
Недостатки парольной защиты делают необходимым использовать носители ключевой информации, представляющей (аутентифицирующей) ее владельца.
Носитель ключевой информации (ключевой носитель) – это техническое устройство, хранящее информацию о пользователе компьютерной системы, необходимую для обеспечения целевой функции защищенной системы и однозначно связанную с пользователем.
Процесс представления компьютерной системе состоит из двух стадий: идентификации (пользователь сообщает свое имя) и аутентификации
(пользователь подтверждает идентификацию, вводя уникальную информацию о себе). Эта информация может храниться на различных носителях ключей – магнитных дисках, пластиковых картах и т.д.
Основное преимущество магнитных дисков как хранителей ключевой информации состоит в том, что оборудование для работы с ними входит в состав штатных средств ЭВМ. Другое важное условие – это стандартный
6 формат хранения информации на дисках и стандартные средства доступа к дискам.
Пластиковая карта представляет собой пластину стандартных размеров
(85,6 53,9 0,76 мм), изготовленную из специальной пластмассы. Карта может содержать внешние признаки идентификации и аутентификации.
Ключевая информация записывается с помощью различных физических механизмов:
1) с помощью штрих-кодов, считываемых в инфракрасном свете;
2) на магнитную полосу, содержащую три дорожки магнитной записи.
В интеллектуальных, или смарт-картах, носителем информации является специальное устройство типа бескорпусной микросхемы. Смарт-карты подразделяются на два класса: карты с процессором и карты памяти.
Носитель ключевой информации Touch Memory (ТМ) представляет собой энергонезависимую память, размещенную в металлическом корпусе, с одним сигнальным контактом и одним контактом земли. Корпус, напоминающий по виду миниатюрную батарейку, имеет размеры: диаметр – 16,25 мм, толщина –
3,1 (5,89) мм. В состав Touch Memory входит ПЗУ, ОЗУ и встроенная батарея.
Особенностью технологии хранения и обмена ключевой информацией между ТМ и внешними устройствами является сравнительно низкая скорость
(обусловленная последовательной передачей данных) и высокая вероятность сбоя в тракте чтения-записи, обусловленная тем, что контакт прибора с устройством чтения производится пользователем вручную без дополнительной фиксации.
Установление полномочий
Иногда после осуществления процедуры установления подлинности могут быть проверены полномочия запросов, вводимых данным пользователем, терминалом или другим ресурсом.
Если дается разрешение на выполнение затребованного действия, то говорят, что объект, осуществляющий запрос, имеет полномочия по
7 отношению к данному элементу данных. Элементом данных может быть файл, запись, поле, отношение или некоторая другая структура. Будет ли дано разрешение на доступ, зависит от нескольких факторов: прав пользователя на доступ, прав терминала на доступ, требуемого действия, самого элемента данных, значения элемента данных и ряда других.
Система обеспечения безопасности компьютерной системы поддерживает профили полномочий каждого пользователя, терминала, процедуры или другого ресурса, который осуществляет доступ к элементам данных. Эти профили устанавливаются в системе с помощью специальной привилегированной программы и их можно представить в виде матрицы установления полномочий.
Матрица установления полномочий
Матрица установления полномочий представляет собой двумерную таблицу, каждый элемент A
ij
определяет права i-го ресурса по отношению к j-му ресурсу. Пример матрицы установления полномочий приведен в табл. 1.
Таблица 1
Пример матрицы установления полномочий
Терминал
Элемент данных
ФИО
Адрес Рег. номер
Квалиф икация
Оклад
Личное транспорт ное средство
Отдел кадров
11 11 11 11 11 11
Касса
01 00 01 00 11 00
Отдел снабжения
00 00 00 00 00 00
Исследователь ский отдел
00 00 01 00 00 00
Стоянка
00 00 00 00 00 11
8 автомобилей
Здесь «01» означает право читать элемент данных; «10» – записывать;
«11» – читать и записывать; «00» – доступ запрещен.
Элементы матрицы установления полномочий обычно содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу данных. Однако если это требуется, элементы матрицы могут содержать указатели на процедуры. Эти процедуры исполняются при каждой попытке доступа с данного терминала к заданному элементу данных и могут принимать те решения о доступе, которые зависят от информации, представленной не столь очевидно, как в простой матрице доступа, приведенной выше. Приведем следующие примеры.
Разрешение о доступе основывается на истории доступов других ресурсов. Пользователь А может записывать данные в файл F только в том случае, если он не читал файл G.
Решение о доступе основывается на динамическом состоянии системы.
Пользователь В может открыть файл H только в то время, когда база данных, в которой размещен файл, открыта.
Решение о доступе принимается на основе предписанного использования ресурса.
Решение о доступе основывается на текущем значении ресурса.
Решение о доступе основывается на значении определенных системных переменных (например, времени дня или даты).
Матрица установления полномочий является в действительности
«сердцем» системы обеспечения безопасности. За счет включения большего или меньшего количества информации в матрицу можно варьировать сложность контрольных проверок.
Обычно матрица установления полномочий хранится как отдельный зашифрованный файл, и его строки помещаются в оперативную память только в случае необходимости. В качестве строк матрицы установления полномочий
9 могут фигурировать пользователи или группы пользователей, а также программы или подсистемы. Колонками могут быть типы запросов.
Уровни полномочий
То, что было описано выше, представляет собой процедуру установления полномочий, основанную на категориях ресурсов: пользователей, терминалов, операций и элементов данных. Но установление полномочий может также основываться на уровнях полномочий, связанных с этими ресурсами. Запросы на доступ отвергаются во всех случаях, когда уровень полномочий терминала или пользователя, запрашивающего разрешение на доступ, ниже уровня полномочий операции и/или запрашиваемых данных.
Можно комбинировать подходы по уровню полномочий и по категориям.
Например, пусть существуют три уровня с последовательно возрастающими полномочиями: «конфиденциально», «секретно» и «совершенно секретно».
Допустим также, что существуют 16 различных по категориям групп данных:
С1, С2, ..., С16. Если правом пользователя является полномочие «совершенно секретно» и разрешен доступ к группам ресурсов С1, С3, С4, С7, С13, С14, а правом используемого терминала является полномочие «секретно» и группы
С11, С14, то пользователю с данного терминала будет разрешен доступ только к данным с грифом «конфиденциально» и «секретно» в группе С14. Если правом терминала является «секретно» и разрешен доступ к группам С11 и
С15, а пользователь имеет описанные выше полномочия, то пользователь с этого терминала не будет иметь доступ ни к какой из 16 групп, так как пересечение прав пользователя и терминала является пустым.
Аналогично могут быть скомбинированы права прикладной программы и пользователя.
При необходимости управление доступом может быть осуществлено вне уровня файлов, т.е. на уровне каталогов. С помощью каталогов могут быть установлены иерархии последовательно более ограниченных доступов.
10
ТЕМА 1. ПАРОЛЬНАЯ ЗАЩИТА ДОКУМЕНТОВ ОФИСА
Лабораторная работа № 1. Защита паролем документов Word
Запрос пароля при открытии или изменении файла
При задании пароля к текстовому документу следует записать его и хранить в надежном месте. В случае утери пароля открыть защищенный паролем документ или получить к нему доступ будет невозможно
1
1.
Откройте файл.
2.
В меню Сервис выберите команду Параметры, а затем откройте вкладку Безопасность.
3.
Выполните одно из следующих действий.
Задание пароля для открытия файла
1.
В поле Пароль для открытия файла введите пароль, а затем нажмите кнопку OK.
2.
В поле Введите пароль еще раз повторно введите пароль, а затем нажмите кнопку OK.
Задание пароля для изменения файла
1.
В поле Пароль разрешения записи введите пароль, а затем нажмите кнопку OK.
2.
В поле Введите пароль еще раз повторно введите пароль, а затем нажмите кнопку OK.
Совет
Чтобы задать пароль, содержащий до 255 знаков, нажмите кнопку
Дополнительно, а затем выберите тип шифрования RC4.
1
Существуют программы для восстановления паролей к документам Офиса. Они позволяют восстановить утерянный пароль. Программы можно найти в свободном доступе в сети Интернет.
11
Задание 1
Защитите первый документ паролем для открытия файла. Сохраните файл. Повторно откройте его и проверьте функцию защиты.
Задание 2
Защитите второй документ паролем для изменения файла. Сохраните файл. Повторно откройте его и проверьте функцию защиты.
Установка или снятие защиты документа, содержащего примечания
и записи исправления
Если вы хотите предоставить доступ к вашему документу другим лицам с целью совместной работы над документом, (например для внесения исправлений или примечаний), выполните одно из следующих действий.
Установка защиты примечаний и исправлений
1.
В меню
1 2 3