Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд DOS.
Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:
- База данных, содержащая информацию по всем сетевым ресурсам,
пользователям, паролям, шифровальным ключам и т.д.
- Авторизационный сервер (authentication server), обрабатывающий все запросы
пользователей на предмет получения того или иного вида сетевых услуг.
Авторизационный сервер, получая запрос от пользователя, обращается к базе
данных и определяет, имеет ли пользователь право на совершение данной
операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.
- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера “пропуск”, содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий “пропуск”, передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки “пропуска” сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает “добро” на использование сетевой аппаратуры или программ.
Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.
Защита информации при удаленном доступе.
По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Datapro свидетельствует, что уже в 1995 году только в США число работников постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек. Чаще всего для организации удаленного доступа используются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.
В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям что делает невозможным “перехват” данных при незаконном подключении “хакера” к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки “перехваченных” данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.
Разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:
- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
- контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).
Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании
RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радио сетях и технологии шифрования данных при помощи алгоритмов DES и RSA.
Заключение.
В заключении хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях.
В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
Билет 10 11
Вопрос 2
Основы логические устройства компьютера (сумматор).
Базовые логические элементы.
Базовые логические элементы реализуют рассмотренные выше три основные логические операции,
· Логический элемент «И»- логическое умножение,
· Логический элемент «ИЛИ»- логическое сложение,
· Логический элемент «НЕ» – инверсию.
Поскольку любая логическая операция, может быть представлена в виде комбинации трех основных, любые устройства компьютера, позволяющие обработку или хранение информации, могут быть собраны из базовых логических элементов как из кирпичиков.
Логические элементы компьютера оперируют с сигналами, представляющими собой электрические импульсы. Есть импульс- логическое значение сигнала 1, нет импульса- значение 0. На вход логических элементов поступают сигналы –аргументы, на выходе появляются сигнал-функция.
Преобразование сигнала логическим элементом задается таблицей состояния, которая фактически является таблицей истинности, соответствующей логической функции.
Логический элемент «И».
На входы А и В логического элемента последовательно подаются четыре пары сигналов различных значений, на выходу получается последовательность из четырех сигналов, значения которых определяются в соответствие с таблицей истинности операции логического умножения.
F (0,0,0,1)
В (0,1,0,1)
Логический элемент «ИЛИ».
На входы А и В логического элемента последовательно подаются четыре пары сигналов различных значений, на выходе получается последовательность из четырех сигналов, значения которых определяются в соответствие с таблицей истинности операции логического сложения.
ИЛИ
F (0,1,1,1)
В(0,1,0,1)
Логическое элемент «НЕ».
На вход А логического элемента последовательно подаются два сигнала, на выходе получается последовательность из двух сигналов, значение которых определяются в соответствии с таблицей истинности логической инверсии.
А(0,1) F(1,0)
Сумматор двоичных чисел.
В целях максимального упрощения работы компьютера все многообразие математических операций в процессоре сводится к сложению двоичных чисел. Поэтому главной частью процессора является сумматор, которых и обеспечивает такое сложение.
Полусумматор. Вспомним, что при сложении двоичных чисел образуется сумма в данном разряде, при этом возможен перенос в старший разряд. Обозначим слагаемые (А,В), перенос (P) и сумму (S). Таблица сложения одноразрядных двоичных чисел с учетом переноса в старший разряд выглядит следующим образом,
Из этой таблицы сразу видно, что перенос может реализовать с помощью операции логического умножения,
P=A&B.
Получим теперь формулу для вычисления суммы. Значения суммы более всего совпадают с результатом операции логического сложения (кроме случая, когда на вход подаются две единицы, а на выходе должен получится нуль).
Теперь, на основе полученных логических выражений, можно построить из базовых логических элементов схему полусумматора.
По логической формуле переноса легко определить, что для получения переноса необходимо использовать логический элемент «И».
Анализ логической формулы для сумма показывает, что на выходе должен стоять элемент логического умножения «И», который имеет два входа. На один из входов подается результат логического сложения исходных величин АmВ, т.е. на него должен подаваться сигнал с элемента логического сложения «ИЛИ».
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28
