Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации icon

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации




Скачати 256.07 Kb.
НазваГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Дата конвертації24.11.2012
Розмір256.07 Kb.
ТипЛабораторная работа
1. /ПО СЗИ/Учбов_ матер_али/Модуль 1/ЛЗ1-Механизмы обеспечения информационной безопасности операционной системы и Microsoft Office_1.doc
2. /ПО СЗИ/Учбов_ матер_али/Модуль 1/ЛЗ2-Прикладные программы шифрования данных.doc
3. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 01-Основные понятия программного обеспечения систем защиты информации.doc
4. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 02-Защита операционных систем.doc
5. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 03-Программные средства шифрования.doc
6. /ПО СЗИ/Учбов_ матер_али/Модуль 1/Лекция 04-Программные средства обеспечения безопасности передачи данных в компьютерных сетях.doc
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Программа для защиты информации криптографическими методами. В настоящее время в неё входят средства шифрования и цифрового подписания данных, управления асимметричными ключами, уничтожения файлов и работы с защищёнными логическими дисками
Литература по дисциплине > Методические указания по изучению дисциплины
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации


ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ


Кафедра систем защиты информации


Н.Н. Блавацкая


МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОПЕРАЦИОННОЙ СИСТЕМЫ И MICROSOFT OFFICE


(Лабораторная работа № 1 для студентов )


Модуль 1

Тема № 2. Защита операционных систем и криптографические методы защиты информации


(Время - 2 часа)


Форма обучения: дневная


Лабораторное занятие рассмотрено и одобрено

на заседании кафедры систем защиты информации.

Протокол № ___ от «___» ___________ 2009 года


Киев – 2009


Тема лабораторного занятия:

«Механизмы обеспечения информационной безопасности операционной системы и Microsoft Office»


ПЛАН

Введение

1. Цель и содержание работы

2. Методика выполнения работы

Выводы

Литература

  1. Варлатая С.К., Шаханова М.В. Программно-аппаратная защита информации: учеб. пособие / - Владивосток: Изд-во ДВГТУ, 2007. 318с.

  2. Безбогов А.А., Яковлев А.В., Мартемьянов Ю.Ф..Безопасность операционных систем : учебное пособие / – М. : "Издательство Машиностроение-1", 2007. – 220 с.

  3. Духан Е. И., Синадский Н. И., Хорьков Д. А. Применение программно-аппаратных средств защиты компьютерной информации: учебное пособие / Екатеринбург: УГТУ-УПИ, 2008, 182 с.

  4. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. -264 с

1Цель и содержание работы


Цели лабораторной работы:

  • изучение возможностей обеспечения информационной безопасности операционной системы и Microsoft Office;

  • приобретение практических навыков в обеспечения информационной безопасности операционной системы и Microsoft Office.

Содержание работы:

Требования к отчету:

Отчет по работе должен содержать:

  • название лабораторного занятия, цель работы, порядок выполнения каждого пункта задания, выводы по каждому пункту задания;

2Методика выполнения работы


ЗАЩИТА ДАННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЧТЕНИЯ

Основные средства защиты данных от несанкционированного доступа и чтения – скрытие данных, системная, парольная и криптографическая защиты.

2.1Скрытие файлов и папок


Операционная система Windows унаследовала от своей предшественницы MS DOS возможность не показывать имена отдельных файлов и папок в списковых окнах файловых мониторов (Проводник, Мой компьютер, Windows(Total) Commander и др.). Такой возможностью не следует пренебрегать, особенно если компьютер является рабочей станцией локальной сети. С помощью локальной политики безопасности, управляемой системным администратором, можно защитить установки скрытия от взлома, которые делаются в два приема:

а) устанавливается атрибут Скрытый для выделенного файла (группы файлов) или папки (рис.1);

б) устанавливается запрет на показ файлов и папок с атрибутом Скрытый (рис.2).

После выполнения указанных операций скрытые файлы и папки не видны для постороннего глаза в файловых списках, в том числе в окнах поиска файлов. Но одновременно они исчезают и для хозяев. Чтобы получить доступ к скрытым файлам и папкам, достаточно снять запрет на их показ: а) включить переключатель Показывать скрытые файлы и папки (рис. 2а), б) включить флажок Показывать скрытые/системные файлы (только для опытных) (рис. 2б).

Если компьютер – рабочая станция сети, то хозяева скрытых файлов и папок могут быть наделены сисадмином правами опытного пользователя на управление настройками Windows и файловых мониторов, в том числе установками скрытия, в отличие от прочих пользователей, для которых эти настройки будут недоступны, а скрытые файлы и папки так и не будут видны. От пользователя требуется лишь одно – обратиться к системному администратору с просьбой о предоставлении прав опытного пользователя. Сисадмин организует учетную запись просителя, которая содержит уникальное имя и соответствующий ему пароль доступа. Вход в компьютер с этими именем и паролем обеспечивает права опытного пользователя, включающие и право на изменение установок скрытия данных. При этом системный администратор обычно предоставляет опытному пользователю расширенные права не на всех дисках, а только на тех, где находятся данные, подлежащие защите.

Однако любой пользователь, наделенный правами доступа к логическим областям хранения скрытых файлов, может увидеть последние в окне поиска, если в дополнительных параметрах поиска установит флажок Поиск в скрытых файлах и папках (рис. 3).




В свойствах файла В Total Commander (файл, папка)

а) установка атрибута Скрытый


б) установка атрибута

Скрытый (свойства папки)



Рис. 1. Установка атрибута Скрытый для файлов и папок







а) в свойствах папки (через файловый монитор - Сервис;через настройки Windows – Панель управления)



б) в Total Commander (Конфигурация/Настройка/Экран)


Рис. 2. Установка запрета на показ файлов и папок с атрибутом Скрытый




Кроме того, если знать дату последней редакции файла, его

содержание (хотя бы некоторые ключевые слова), то, даже не зная имени скрытого файла, его можно быстро отыскать в файловом списке, если в опциях поиска установить дату (рис. 3) и/или ключевое слово (фразу) поиска. Отсюда понятно, что и такие приемы, как перемещение файла с новым именем в другие папки, бессмысленны. Кому надо, найдет этот файл.

Поэтому прежде чем уповать на скрытие файлов в своем компьютере, посоветуйтесь с системным администратором (если ваш компьютер в сети) или опытным пользователем (если компьютер автономен), чтобы технология скрытия была надежной.

Рис. 3. Поиск скрытых файлов


2.2Системная защита

2.2.1Защита от сетевого доступа


Права опытного пользователя позволяют ему управлять доступом и к обозреваемым ресурсам, прежде всего к своим папкам, в которых содержатся файлы с данными. Во-первых, без острой необходимости не открывайте общий сетевой доступ к папке с ответственными данными (рис. 4), иначе с любой рабочей станции сети эта папка будет видна всем пользователям, допущенным к работе на этой станции.

Во-вторых, если служебная необходимость заставляет вас сделать папку общедоступной (для коллективного пользования), в пределах разумного ограничьте число допущенных пользователей и разрешения на доступ к данным. Обычно сисадмин предоставляет опытному пользователю (менеджеру группы) право на создание ресурса коллективного пользования. Только при наличии такого права в окне Свойства папки появится вкладка Доступ, с помощью которой и создается общедоступная папка (см. рис. 1б, 5а).

В окне доступа следует переключатель поставить в положение Открыть общий доступ к этой папке и ввести предельное число допущенных пользователей. Следующий этап – выдача разрешений (нажать кнопку Разрешения – рис. 5а). В появившемся окне (рис. 5б) следует удалить группу Все (кнопка Удалить) и с помощью кнопки Добавить перейти к организации своей группы. В окне выбора (рис. 5в) кнопкой Типы объектов выбираем тип Пользователи. Если мы наверняка знаем сетевые імена пользователей, то тут же можем их ввести [Введите имена выбираемых объектов (примеры)]. Если есть сомнения, кнопкой Дополнительно разворачиваем окно выбора (рис. 5г) и, нажав в нем кнопку Поиск, ищем в списке нужные сетевые имена. После группового выделения кнопкой Ок они включаются в список лиц, допущенных к папке.

В
Рис. 4. Запрет на сетевой доступ к папке

ернувшись в окно (рис. 5в), кнопкой Ок выходим на конечный результат (рис. 6). В окне разрешений каждому члену группы оформляем тип доступа к папке. Если все они будут равноправно вводить данные в файлы этой папки, надо либо разрешить полный доступ к папке (установить флажок разрешения Полный доступ, при этом автоматически установятся флажки разрешения Изменение, Чтение), либо разрешить редактирование (установить флажок Изменение, при этом автоматически установится флажок разрешения Чтение).
















Рис. 5. Организация коллективного доступа к папке

Из окна разрешений по Ок выходим в окно свойств (см. рис. 5а), а в нем по Ок закрепляем все сделанные выше установки коллективного доступа. Теперь папка, в которой будет создаваться коллективная база данных, доступна всем членам группы в пределах индивидуальных разрешений, установленных менеджером группы. К ярлыку папки прикрепляется «рука дающего» (рис. 6). Посторонние лица (кроме системного администратора) к данной папке не имеют доступа c других рабочих станций.

Теперь с позиций защиты данных есть смысл проверить, а при необходимости и настроить параметры кэширования файлов (кнопка Кэширование – рис. 5а, 7). Здесь кэширование означает возможность вручную или автоматически скопировать файлы из папки в кэш-память любой рабочей станции, получившей доступ к данным, с тем, чтобы использовать их в дальнейшем в автономном режиме. Если мы ограничиваем пользователя сроком доступа к данным, то есть смысл разрешить кэширование, так как кэш является областью оперативной памяти и позволяет быстро обрабатывать помещенные в него данные (файлы).

Если же мы больше обеспокоены защитой данных от малейших поползновений, то проще запретить кэширование (рис. 7). Правда, без принятия специальных мер это не спасает от копирования файлов из папки общего доступа на диски других рабочих станций.





Рис. 6. Оформление разрешений на тип доступа к папке и ярлык папки в файловом мониторе




frame11

Рис. 7. Запрет кэширования файлов

2.2.2Защита от локального доступа


Если компьютер используется локально несколькими пользователями, то защиту от несанкционированного доступа к папкам и файлам должен осуществлять владелец компьютера, наделенный правами администратора. И первое, что он должен сделать, – создать учетные записи пользователей (Пуск/Настройка/Панель управления/Учетные записи пользователей).

Второе – надо включить режим безопасности, для чего следует войти в опцию Пуск/Настройка/Панель управления/Свойства папки и в окне вкладки Вид снять флажок Использовать простой общий доступ к файлам (рекомендуется). В результате в свойствах папок и файлов появится вкладка Безопасность. Войдя по этой вкладке в окно безопасности (рис. 8), мы увидим нечто подобное (с увеличенным числом разрешений) (см. рис. 5б).

У

правление списком пользователей в окне безопасности аналогично описанному выше для сетевого доступа. Для каждого пользователя, выбранного из списка, владелец (администратор) может установить персональные разрешения и запреты, манипулируя флажками Разрешить и Запретить. При запрете всех видов доступа пользователя к папке или файлу достаточно установить опцию (флажок) запрета полного доступа. Остальные флажки запрета (исключая особые разрешения) установятся автоматически. Теперь все попытки доступа к содержимому папки или файла будут пресекаться (рис. 9).






Рис. 8. Элементы управления локальной безопасностью папки и файла













Р

ис. 9. Защита папки и файла от локального доступа


Эффективным средством защиты от локального доступа к папкам является механизм личных папок. Для каждого пользователя Windows создае

т личную папку
Мои документы, хранящуюся на системном диске и пожеланию пользователя недоступную для других пользователей. Каждыйпользователь имеет доступ только к своей личной папке, если он не переместил ее в папку Общие документы, доступную всем пользователям. Полноценная защита личных папок от несанкционированного доступа реализуется на системном диске, отформатированном в формате NTFS.

Кроме того, для разграничения доступа к файлам и папкам существуют специальные утилиты, например: Security Department (резидентная программа для защиты файлов и папок и разграничения доступа к ним конкретных пользователей и групп пользователей), Folder Guard Pro (установка ограничений на доступ к выбранным данным как на локальном компьютере, так и на сетевых машинах)1.

Обе утилиты имеют легкий и интуитивно понятный интерфейс, позволяющий легко освоить их даже начинающему пользователю.

Эти и им подобные утилиты обычно поставляются пользователям через Интернет в качестве свободного (бесплатного) товара (freeware).

2.2.3Блокировка компьютера и Рабочего стола Windows


К радикальным средствам системной защиты данных от сетевого и локального доступа относится блокировка компьютера (рабочей станции). Блокировка полезна, когда пользователь должен покинуть свое рабочее место, не закрывая открытых окон и не выключая компьютера (перерыв, срочный вызов и т.п.), а в его отсутствие никто не смог бы воспользоваться его машиной и данными на ней. Очевидно, что успешная блокировка невозможна без паролей, которые должны быть предварительно созданы для учетных записей всех пользователей.

При блокировке рабочей станции сети достаточно, не закрывая рабочих окон, нажать одновременно клавиши Ctrl, Alt, Delete и в открывшемся окне Безопасность Windows нажать кнопку Блокировка. При блокировке локального компьютера следует нажать сочетание клавиш Windows ( ), L. После этого можно спокойно уходить – снять блокировку не сможет никто, кроме владельца компьютера и системного администратора (с набором соответствующих паролей). После снятия блокировки экран автоматически восстанавливается в том виде, в каком он был перед блокировкой.

Возможна блокировка с помощью пароля экранной заставки, включаемая через заданное время с момента активизации заставки. Пароль заставки совпадает с паролем пользователя, вошедшего в систему на данном компьютере. Если при входе в систему пароль не использовался, пароль заставки установить нельзя. При переводе компьютера в ждущий режим тоже возможна блокировка, если использовался пароль входа в систему.

Существуют также Интернет-утилиты блокировки Рабочего стола: Black Screen, Winsecure-IT, Access Lock, System Locker (и др.), защищающие экран дисплея от любопытных глаз несанкционированных пользователей.

Особенность утилиты Black Screen в том, что вы не увидите ничего похожего на окошко ввода пароля для разблокирования. Необходимо набрать пароль, и экран автоматически разблокируется, но догадаться о том, что вводить пароль необходимо именно таким образом, согласитесь, довольно непросто.

Утилиты Winsecure-IT и Access Lock позволяют контролировать попытки взлома пароля разблокирования Рабочего стола (со звуковой сигнализацией и аудитом событий).

Если по каким-либо причинам вас не устраивает перспектива использования отдельной программы для контроля доступа к системе и отдельной - для защиты Рабочего стола, альтернативой станет утилита System Locker, представляющая собой некий симбиоз необходимых функций, имеющихся в разных программах. Эта утилита может автоматически загружаться вместе с Windows и при необходимости сразу же блокировать Рабочий стол от доступа. Основные возможности утилиты:

    • автоматическая блокировка Рабочего стола при старте системы и по расписанию, блокировка клавиатуры и мыши в установленный период времени;

    • аудит всех операций с записью в специальный файл аудита событий;

    • звуковая сигнализация об операциях блокирования, разблокирования и ввода неправильного пароля;

    • расширенные опции безопасности, одна из которых — устанавливаемое количество попыток ввода пароля, после чего становится недоступной кнопка разблокирования Рабочего стола;

    • возможность выключения компьютера, когда он заблокирован.

Интерфейс перечисленных утилит ориентирован на конечных пользователей, поэтому он прост и интуитивно понятен.

2.2.4Системная защита приложений MS Office


На этапе сохранения файлов Word, Excel и Access возможна организация системной защиты папок, содержащих эти файлы, т.е. для защиты папок по технологии (см. рис. 4 – 9), вовсе не обязательно работать с ярлыками папок. Эта технология реализуется непосредственно в окнах сохранения файлов, если, повторяем, пользователь наделен соответствующими правами.

Так, в Word (рис. 10а) и Excel в Окне сохранения файла через Сервис/Свойства/Доступ или Сервис/Свойства/Безопасность выходим на теже окна системного доступа и безопасности, что и на рис. 4, 5а, 8.

Поскольку в Access местоположение сохраняемого файла новой базы данных определяется на самом первом этапе ее создания, описанная технология реализуется в окне создания файла БД (рис. 10б).

Кроме описанных мер защиты, общих для всех приложений MS Office, в СУБД Access реализованы специфические меры защиты от несанкционированного доступа к конкретным объектам БД (таблицам, формам, запросам, отчетам, макросам, базе в целом) с дифференциацией по правам пользователей и разрешениям на объекты. Это и понятно – ведь базы данных в СУБД должны охраняться особенно тщательно.

Защитные операции для существующей базы данных Access производятся из меню Сервис/Защита (рис. 11а). Операции защиты от несанкционированного доступа прописаны во всех командах всплывающего меню.

Команда Мастер запускает мощный мастер защиты БД (на рис. 11бпоказан вход в мастер - первый шаг). За 8 шагов мастер защиты, предварительно создав резервную копию БД, защищает базу дифференцированно по каждому из допущенных пользователей и групп пользователей и по объектам БД.




а) сетевой доступ к папке из документа Word (аналогично из книги Excel)

Рис. 10. Сетевой доступ к папке из приложений MS Office





б) сетевой доступ к папке из базы данных Access

Рис. 10. Продолжение



а) защитный сервис Access

Рис. 11. Защитные операции в Access




б) первый шаг мастера защиты Access

Рис. 11. Продолжение


Для запуска мастера защиты нужно снять пароль базы данных (если он существует) и перейти из монопольного режима доступа (без которого парольная защита БД невозможна) в общий режим. Затем в диалоге с мастером устанавливаются (или принимаются по умолчанию) многочисленные параметры безопасности, после чего можно восстановить парольную защиту.

Подробное описание системных защитных операций БД Access не входит в нашу задачу, т.к. займет слишком много места, сравнимого по объему с данным учебным пособием. Интерфейс защитных операций достаточно прост, чтобы в нем смог разобраться конечный пользователь непрофессионал.

В целом можно без преувеличения сказать, что реализованная в Access системная защита от несанкционированного доступа - это не просто защита, а «броня». Поэтому особо важные базы данных с высоким уровнем защиты рекомендуется создавать именно в Access.

2.3Парольная защита


Парольная защита начинается с момента входа в компьютер и затем может встречаться довольно часто в зависимости от степени использования имеющихся мер безопасности. Пароль – это виртуальный аналог караульного, который охраняет объект и никого, кроме допущенных лиц, на этот объект не пропускает. Поэтому политике паролей пользователь, заботящийся о защите данных, должен уделить особое внимание.

Взломать неэффективный пароль не представляет большой сложности для кракеров. Статистика взломов свидетельствует, что более двух третей паролей опасны для использования, из них более половины паролей легко угадать или расшифровать с помощью словарей и специальных программ сканирования. Поэтому не рекомендуется в качестве паролей использовать имена и реальные слова (даже написанные наоборот, с повторами или с клавишей Caps Lock), личную информацию, профессиональный жаргон. Рекомендуется использовать длинные пароли (не менее 6 символов), менять регистр и использовать знаки препинания (например, использовать два не связанных по смыслу слова, разделенных знаком препинания, плюс неожиданные переходы из регистра в регистр), аббревиатуры, сокращенные фразы, придуманные слова (новые или с перестановкой слогов в известных словах).

Пароли рекомендуется регулярно менять. Но при этом не надо усложнять парольную защиту до абсурда. Пароль должен легко и быстро вводиться и хорошо запоминаться. Иначе вы рискуете, что ваш ввод кто-то подсмотрит или в журнале безопасности будут зафиксированы ваши неоднократные попытки входа с неправильным паролем (они квалифицируются как попытки взлома), либо, наконец, вам придется обратиться за помощью к системному администратору.

Выше при обсуждении некоторых задач ввода данных мы попутно сталкивались с паролями. Здесь же систематизируем процедуры парольной защиты файлов от несанкционированного чтения (доступа к их текстам). Ведь даже внутри группы пользователей, проводящих общую работу, не каждому может быть разрешено вскрывать все файлы, видимые в общедоступных папках.


Файлы Word

Парольная защита организуется в окне сохранения файла (Сервис/ Параметры безопасности) или непосредственно в окне Word (Сервис/ Параметры/Безопасность) перед сохранением. При этом включается окно параметров безопасности (рис. 12а), в котором устанавливается и подтверждается пароль для открытия файла (рис. 12б). Теперь, чтобы открыть сохраненный защищенный файл, придется набрать пароль (рис. 12в).


Файлы Excel

В файлах Excel парольная защита от несанкционированного доступа реализуется так же, как и в Word, в окне сохранения (Сервис/Общие параметры) или параметрах безопасности книги. В открывшемся окне устанавливается Пароль для открытия (рис. 13). Далее следует запрос на подтверждение пароля, и повторяются те же операции, что и в Word.


Файлы Access

Парольная защита открытой БД Access производится командой Сервис/Защита/Задать пароль базы данных (см. рис. 11а) в монопольном режиме доступа2. Это значит, что пароль монополизирует право своего обладателя – пользователя – на доступ к базе. И интерфейс Access, соответственно, различает два режима доступа – общий и монопольный. О необходимости перехода в монопольный режим сообщает окно предупреждения (рис. 14а). Режим открытия файла выбирается из списка, включаемого кнопкой, – справа от кнопки Открыть (рис. 14а). После выбора элемента Монопольно задаем пароль базы данных с подтверждением (рис. 14б). Теперь файл базы данных защищен от несанкционированного доступа, даже если он виден в открытой папке (рис. 14в).

Пароли можно (вернее, рекомендуется) периодически изменять. Для этого достаточно открыть файл действующим паролем и заново сохранить с новым паролем. В Word и Excel это делается так же, как показано на рис. 12, 13. В Access после открытия файла БД в монопольном режиме командой Сервис/Защита/Удалить пароль базы данных включается окно удаления (рис. 15), в котором следует набрать действующий пароль (Ок).



Рис. 12. Организация парольной защиты сохраняемого файла






Рис. 12. Продолжение





Рис. 13. Организация парольной защиты сохраняемого файла Excel










б) установка пароля в) вход в защищенную БД

Рис. 14. Организация парольной защиты файла БД Access


Следует помнить, что парольная защита – не панацея. Чтобы идентифицировать пароли, система должна их хранить. Следовательно, опытный кракер сможет найти в компьютере ту папку (или папки), где лежат пароли. А дальше – дело техники. Если же сам компьютер защищен от доступа, то и здесь возможна лазейка. Существуют программы спуфинга3, которые фиксируют коды клавиш, нажимаемых при входе в систему. Если кракеру удалось по сети внедрить такую программу в ваш компьютер (по принципу, аналогичному внедрению компьютерного вируса), то, поддерживая связь со спуфинг-программой и анализируя записанную ею информацию, кракер может прочитать и ваш входной пароль регистрации. При этом спуфинг может предоставлять «услугу» в виде ложного сообщения о том, что регистрация не состоялась из-за ошибок ввода пароля. Расчет прост – после нескольких попыток пользователь покинет рабочее место, а компьютер, будучи включенным, остается доступным для сетевого кракера.

Спуфинг может работать в сочетании с программами удаленного администрирования (Remote Administrator, Symantic PC Anyware и др.), которые позволяют управлять включенными удаленными компьютерами в локальной сети и Интернете (рис. 16, 17). Под управлением здесь понимается полное владение ресурсами удаленного компьютера, как как своими собственными, вплоть до протоколирования действий пользователя и выключения компьютера.

З
Рис. 15. Удаление пароля БД Access
ащиту компьютеров локальной сети и хостов Интернета от программ спуфинга и удаленного администрирования рекомендуется решать совместно с системным администратором. Здесь слишком много проблем, неподъемных для пользователя-непрофессионала. Поэтому лучше не решать их самостоятельно.



Рис. 16. Окно программы удаленного администрирования



Рис. 17. Экран удаленного компьютера в программе Remote Administrator

2.4Скрытие фрагментов данных


На рис. 12 – 15 видно, что пароли при вводе заменяются звездочками. И это не зря! Если бы вводимые символы были видны, пароль можно было бы подглядеть. А так, в лучшем случае, можно узнать только длину пароля (количество символов). Такие меры предосторожности обращают внимание каждого пользователя на необходимость защиты открытых файлов от несанкционированного чтения. Для этого в Excel и Access предусмотрено, например, скрытие столбцов (полей).

На рис. 18 показано скрытие одного столбца в Excel, хотя можно скрывать произвольное число столбцов и, следовательно, все столбцы. Процедура скрытия предварительно выделенных столбцов реализуется через динамическое (рис. 18) или статическое (Формат/Столбец/Скрыть) меню. Если после скрытия столбцов защитить лист (Сервис/Защита/ Защитить лист), да еще с паролем (рис. 19), со стороны злоумышленника потребуются серьезные усилия, чтобы прочитать скрытую информацию.

В Excel можно скрывать не только столбцы, но и выделенные строки: в статическом меню – Формат/Строка/Скрыть), в динамическом меню - Скрыть. Технология скрытия та же, что и при скрытии столбцов. Можно скрывать формулы в ячейках (выделенные ячейки на рис. 20), если нежелательно, чтобы их читали «не посвященные в тайны Мадридского двора».





Рис. 18. Скрытие столбца в Excel





Рис. 19. Защита листа Excel

Отображение (восстановление) ранее скрытых фрагментов (столбцов, строк) осуществляется либо мышью, либо через меню. Для этого в Excel следует: 1) снять защиту листа, если она прежде была установлена; 2) выделить два соседних столбца или две соседних строки, между которыми были скрыты, соответственно, столбцы или строки; 3) поставить курсор мыши на границу между выделенными столбцами (строками) в области обрамления рабочего поля, добившись изменения формы курсора (двунаправленная стрелка); 4) дважды нажать левую кнопку мыши.



Рис. 20. Скрытие формул в Excel


По второму способу вместо п.п. 3, 4 следует войти в статическое (рис. 21) или динамическое меню и выполнить команду Отобразить.




Рис. 21. Отображение скрытых строк (4-й и 5-й) в Excel

Наконец, можно скрывать листы – Формат/Лист/Скрыть (рис. 22а). Отображение скрытых листов производится командой Отобразить (рис. 22а) с последующим выбором отображаемых листов (рис. 22б).

а

) скрытие листа б) отображение листа

Рис. 22. Скрытие и отображение рабочих листов Excel

В Access скрытие выделенных столбцов (полей) в таблице производится из статического (Формат/Скрыть столбцы) или динамического(рис. 23) меню. В конструкторе запроса тоже можно скрывать поля, если снять их флажки Вывод на экран. Но проще не включать эти поля в запрос. Тогда зачем в конструкторе запросов реализовано скрытие полей? Вероятно, единственное объяснение – по скрытым в запросе полям можно производить сортировку данных.

В отличие от Excel, защита скрытых полей в таблице Access отсутствует. Возможно, это объясняется тем, что в таблице Access отсутствуют имена столбцов (A,B,C,D ….), как в Excel, и с первого взгляда трудно уловить, есть скрытые поля или нет. В Excel же это сразу видно (см. рис. 16).

Кроме того, в Access основной упор сделан на защиту от несанкционированного доступа к базе данных, и эта защита, как отмечалось выше, достаточно надежная. Впрочем, когда база открыта, проблема несанкционированного чтения таблиц, запросов, отчетов все равно остается актуальной.

В Access можно скрывать таблицы. Для этого на имени (ярлыке) таблицы следует вызвать динамическое меню и по команде Свойства в открывшемся окне установить флажок атрибута Скрытый (рис. 24а). Чтобы в окне базы данных такая таблица была не видна, в параметрах отображения БД (Сервис/Параметры) флажок Скрытые объекты должен быть снят (рис. 24б). При этом сохраняется возможность ввода данных в скрытые таблицы с помощью форм.



Рис. 23. Скрытие полей в таблице Access

Это в определенной мере защищает конфиденциальные данные от чтения их операторами ввода, особенно при бригадном вводе по сети с использованием разных (от станции к станции) форм ввода, когда разным операторам поручается ввод разных полей таблицы. А такая возможность в Access технологически реализована, значит, возможно и нарушение конфиденциальности данных, если не предпринять указанных мер защиты.

Аналогично таблицам осуществляется скрытие запросов и отчетов.

В таблице Access для отображения скрытых полей с помощью мыши следует, по аналогии с Excel, выполнить п.п. 2 – 4, описанные выше. При этом курсор должен находиться на границе между заголовками выделенных полей. Второй способ реализуется через статическое меню Формат/Отобразить столбцы. Для этого не обязательно выделять соседние столбцы (см. п. 2 для Excel), как в первом способе. В открывшемся окне Отображение столбцов надо установить флажки у имен скрытых столбцов и закрыть окно (рис. 25).

Отображение скрытых таблиц в Access производится установкой флажка Скрытые объекты в параметрах отображения (рис. 24б).

В Word отсутствуют стандартные средства скрытия текстовых фрагментов в открытом документе. Единственное, что можно рекомендовать, – вводить текст цветом фона при отключенной проверке орфографии, чтобы по подчеркиванию ошибок в невидимом тексте (а при вводе «вслепую» ошибки очень вероятны) нельзя было догадаться о его существовании. Впрочем, реально такая защита может помочь только от подглядывания из-за спины в момент ввода данных. В открытом файле несложно догадаться прочитать пустые фрагменты, выделив их и изменив цвет шрифта. И тут не помогут опция сохранения Рекомендовать доступ только для чтения и пароль защиты от изменений (см. рис. 12б).



а) установка атрибута Скрытый



б) обеспечение скрытия объектов в сервисе БД

Рис. 24. Скрытие таблицы в окне базы данных Access



Рис. 25. Отображение скрытых полей в таблице Access


Главное средство защиты – пароль для открытия файла.

Шрифт цвета фона для защиты от наблюдения вводимых данных можно использовать в Excel и Access.

Очевидно, что отображение фрагментов данных, скрытых любым из рассмотренных выше способов, целесообразно лишь тогда, когда нет опасности, что кто-то, кому не положено, сможет прочесть эти фрагменты.

2.5Криптографическая защита


Шифрование файлов (полностью или фрагментарно) считается самым надежным способом защиты от несанкционированного чтения. Действительно, если вместо читаемого текста злоумышленник увидит зашифрованную «абракадабру», которую невозможно или крайне сложно расшифровать (рис. 26), то задача защиты решена даже радикальнее, чем при скрытии файла или применении системно-парольных мер защиты от несанкционированного доступа. Опытный кракер способен взломать защиту от несанкционированного доступа, но вскрыть алгоритм и ключ шифрования способен только технически оснащенный специалист по криптоанализу, причем для этого ему может потребоваться слишком много времени.

Программы криптографической защиты файлов (шифрованная файловая система) поддерживаются Службой криптографии Windows ХР, которая управляется системным администратором. Рядовой пользователь не допущен к данной службе20. Атрибут шифрования содержимого любого файла MS Office или папки включается в файловом мониторе: в окне Свойства (вкладка Общие) предварительно выделенного файла (папки) нажимается кнопка атрибута Другие, и в появившемся окне Дополнительные атрибуты устанавливается флажок Шифровать содержимое для защиты данных (рис. 27). Теперь содержимое файлов (папок) может шифроваться, если в службе криптографии шифрование по умолчанию не отменено, что может быть проверено через сисадмина. Если шифруется папка, все файлы и подпапки, находящиеся в ней, тоже шифруются (автоматически). Рекомендуется использовать шифрование на уровне папки.



Рис. 27. Установка атрибута шифрования содержимого офисного файла

При этом пароль доступа к файлу является стартовым параметром функции, шифрующей содержимое файла. Иными словами, пароль доступа к файлу выполняет функцию ключа шифрования, следовательно, шифрование содержимого файла без пароля доступа бессмысленно. Поэтому пароли доступа к файлам наиболее часто атакуются кракерскими программами и пользователю предоставлена возможность управлять шифрованием паролей доступа.

2.5.1Шифрование файлов в Word и Excel


В Word и Excel шифруемый пароль по умолчанию имеет длину не более 15 символов, что считается слабым шифрованием. Если желательно повысить степень защиты (стойкость ключа), надо в окнах Безопасность (Word, см. рис. 12б) или Параметры сохранения (Excel, см. рис. 13) рядом с окном пароля доступа к файлу нажать кнопку Дополнительно. В открывшемся окне Тип шифрования выбрать шифр, если слабое шифрование (XOR или Совместимое с Office 97/2000) вас не устраивает (рис. 28). При этом, начиная с третьего шифра, минимальная стойкость ключа – 40, а максимальная – от 56 до 128 (по мере усложнения шифра). Длина пароля при усиленном шифровании может быть существенно увеличена.

Шифровать можно и свойства файла (но не при слабом шифровании). Для этого после выбора одного из усиленных типов шифрования следует установить флажок Шифровать свойства документов (рис. 28). В результате, например, по зашифрованному типу файла кракеру будет непросто определить приложение (программу), с помощью которого данный файл был создан. А чем больше трудностей для взломщика, тем лучше для пользователя. Поэтому есть смысл шифровать не только содержимое, но и свойства файла.



Рис. 28. Дополнительное шифрование пароля доступа к файлам Word и Excel

2.5.2Шифрование файлов в Access


В Access шифруются не отдельные объекты, а файл базы данных в целом. Обычно шифрование применяется при электронной передаче БД или сохранении ее на съемных носителях (дискете, компакт-диске и др.). Для шифрования БД используется команда Шифровать/расшифровать в меню Сервис/Защита (см. рис. 11а). При шифровании базы данных ее файл сжимается до меньшего размера и сохраняется под другим именем, становясь недоступным для чтения с помощью служебных программ или текстовых редакторов. Шифрование незащищенной базы данных неэффективно, поскольку каждый сможет открыть такую базу данных и получить полный доступ ко всем ее объектам. Поэтому перед шифрованием следует выполнить описанные выше защитные операции в монопольном режиме (см. рис. 14а). Если к открытой зашифрованной БД снова применить команду Шифровать/расшифровать, то БД расшифруется, ее файл восстановит свой исходный (до шифрования) размер, но образуется новый зашифрованный сжатый файл.

Впрочем, в самой СУБД Access при правильных паролях открытия файла БД эффект шифрования/дешифрования не обнаруживается (кроме как по изменению размеров файлов). Это понятно – ведь база данных защищается не от «своих», а от «чужих» – тех, кто с помощью других программ в обход пароля пытается ее прочесть. Аналогично в Word- и Excel-файлах при правильно вводимых паролях эффекты шифрования/дешифрования тоже незаметны. Иными словами, для пользователя, зашифровавшего файл, шифрование является прозрачным, и такому пользователю файл не нужно расшифровывать перед его использованием. Можно, как обычно, открыть файл и изменить его.

Таким образом, разработчики службы криптографической защиты позаботились о том, чтобы пользователь не испытывал проблем в работе со своими зашифрованными файлами и папками. В то же время для взломщиков служба создает максимальные трудности при попытках несанкционированного доступа к файлам и чтения содержащихся в них данных, когда файлы сохраняются в общей сетевой папке, отправляются в виде вложения в почтовом сообщении или переносятся между служебным и домашним компьютерами на дискетах.

Мастер защиты БД Access создает из существующей базы данных новую зашифрованную базу данных с регулируемым доступом пользователей и незащищенную резервную копию базы данных.

Задание. 1. Освоить средства системной защиты данных: скрытие файлов и папок, сетевая и локальная политики доступа (уровни пользователя и менеджера группы), защита приложений (Word, Excel, Access) от сетевого и локального доступа, блокировка компьютера.

2. Освоить средства парольной защиты офисных приложений.

3. Освоить стандартные средства скрытия фрагментов данных в офисных приложениях.

4. Освоить технологию криптографической защиты файлов.

Выводы

Контрольные вопросы


1. Возможности скрытия ярлыков папок и файлов в файловых мониторах Windows, фрагментов данных в приложениях MS Office.

2. Системные средства защиты данных от несанкционированного доступа по сети.

3. Системные средства защиты данных от локального доступа.

4. Блокировки компьютера.

5. Системная защита приложений MS Office.

6. Пароли и парольная защита офисных приложений от несанкционированного доступа.

7. Алгоритмы криптографической защиты данных.

Задание на самостоятельную работу


  1. Изучить материал лабораторного занятия, представленного в электронной форме.

  2. Выполнить все задания, предусмотренные занятием.

  3. Оформить и защитить отчет по проведенной работе.




 Напомним, что данный режим безопасности возможен для диска в формате NTFS.

1 Утилита Folder Guard Pro хотя и предназначена для всех версий Windows (начиная с Windows-95), но в ранних версиях (-95, -98) поддерживает лишь часть презентуемых функций.

2 Разрешение на монопольный режим по умолчанию имеет владелец базы данных.

3 От spoof (англ.) – мистификация, розыгрыш, обман.



Схожі:

Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconГосударственный университет информационно-коммуникационных технологий кафедра систем защиты информации
Методы противодействия динамическим способам снятия защиты программ от копирования
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационное сообщение Уважаемые коллеги ! Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»
Кафедра экономики промышленности и организации производства гвуз «Украинский государственный химико-технологический университет»...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconМеждународной заочной научно-практической конференции (с публикацией в сборнике научных трудов) «Современные тенденции в науке»
...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconРусское географическое общество Администрация Тамбовской области Московский государственный университет имени М. В. Ломоносова Тамбовский государственный университет имени Г. Р. Державина информационное письмо №1
Международная научная школа-конференция, посвященная 150-летию со дня рождения академика В. И. Вернадского
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТема самообразования Применение информационно-коммуникационных технологий (икт) в образовательном процессе для развития творческой инициативы, мотивации учащихся с целью повышения качества обучения
Математика для большинства представляется «обособленным предметом, а умения, развиваемые посредством математики, минимально используются...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconИнформационный менеджмент в деятельности Научно-технических библиотек и служб информации предприятий
Диссертация выполнена на кафедре информационного менеджмента фгоу впо «Санкт-Петербургский государственный университет культуры и...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconОбщие методические подходы к использованию информационных и коммуникационных технологий информатизация общества
Общие методические подходы к использованию информационных и коммуникационных технологий
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconФгбоу впо «вятский государственный гуманитарный университет» ул. Красноармейская, д. 26, г. Киров (обл.), 610002 Телефон: (8332) 67-89-75 Факс: (8332) 37-51-69 фгбоу впо «Вятский государственный гуманитарный университет»
Приглашаем вас принять участие в региональной научно-практической конференции «Инновационный потенциал молодежного самоуправления:...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТамбовский государственный университет имени Г. Р. Державина Кафедра политической экономии и мирового глобального хозяйства
Конференция проводится в целях развития научного потенциала и интеграции экономической науки с исследованием и разрешением проблем...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconКомпьютерные технологии в обучении русскому языку
Общие сведения об информационных технологиях обучения. Характеристика информационных технологий обучения. Необходимость использования...
Государственный университет информационно-коммуникационных технологий кафедра систем защиты информации iconТульский государственный университет
Каждому участнику будет выслан в электронном виде сборник по итогам конференции с присвоением isbn
Додайте кнопку на своєму сайті:
Документи


База даних захищена авторським правом ©te.zavantag.com 2000-2017
При копіюванні матеріалу обов'язкове зазначення активного посилання відкритою для індексації.
звернутися до адміністрації
Документи