Скачать 222.31 Kb.
|
Мазур Татьяна Викторовна преподаватель информационных дисциплин Краевое государственное бюджетное образовательное учреждение среднего профессионального образования Дальневосточный государственный межрегиональный индустриально-экономический колледж г. Хабаровск, Хабаровский край Бинарный урок по предметам «Информационная безопасность» и «Объектно-ориентированное программирование» Организация парольной защиты на предприятии Цели: образовательная:
воспитательная:
развивающая:
План занятия
Необходимое оборудование и программы: ПК с ОС Windows, среда программирования Delphi, проектор. Применяемые методы занятия:
Ход занятия Ставится вопрос: «Пароль – иллюзия или защита?». Обсуждение. Постановка проблемы: «Что нужно сделать, чтобы пароль был именно защитой, а не её иллюзией?» Мотивационный аспект В настоящее время проблема защиты информации в компьютере от несанкционированного доступа приобретает все более серьезное значение, особенно когда информация в компьютерах становится важной для организации. Причем, не стоят на месте ни разработчики систем защиты, ни взломщики. О проникновении в компьютерные системы банков, страховых компаний и даже в закрытые военные сети сегодня можно узнать из регулярных газетных сообщений. Количество компьютерных преступлений, не смотря на принимаемые специалистами меры, отнюдь не уменьшается год от года, а даже напротив - растет. При этом практически во всех вскрытых системах один из применяемых элементов защиты - пароль (а в некоторых он единственный), который многие пользователи и руководители считают непреодолимым препятствием. Прежде всего, напомним, что защиту информации в компьютерах обязательно следует рассматривать как комплекс мер, включающих организационные, технические, юридические, программные, оперативные, страховые и даже морально-этические меры. Не парадоксально ли, что воровство вещей из квартиры рассматривается как преступление, а воровство информации из компьютера зачастую как показатель высоких интеллектуальных возможностей? И ни какой пароль, как, впрочем, и любая другая система безопасности, не поможет, если каждый пользователь системы лично не заинтересован в соблюдении режима безопасности, не понимает, для чего нужен режим безопасности, и что этот пользователь лично потеряет в случае вскрытия его пароля или любого другого пароля в его организации. Итак, что такое пароль? Военные говорят: "пароль - это секретное слово, позволяющее определить кто 'свой', а кто нет". С точки зрения компьютерной безопасности это определение можно немного добавить и расширить: "пароль - это секретный набор различных символов, позволяющий определить законного пользователя и его права на работу в компьютерной системе". Пароль может применяться для различных целей:
Он может быть в виде текстового набора символов, цифрового кода (например, PIN-код при работе с электронными карточками), электронного файла, последовательности определенных действий и т.п. Но любой, даже самый надежный элемент, не обеспечит защиты, если он один, а не в системе. Значит, и пароль должен быть в системе - в парольной системе, которая является составной частью системы разграничения доступа, а в итоге - в общей системе безопасности. Парольная система состоит из:
Парольная система включает в себя не только программные, но и организационные, юридические, технические вопросы, и, как и вся система безопасности информации, обязательно должна разрабатываться еще на этапе проектирования компьютерной системы Создание пароля Вначале пароль надо придумать. И это один из самых важных и сложных вопросов. Какие слова в качестве пароля возьмет обычный пользователь? Скорее всего, те, какие не сразу забываются. Но ведь чем легче пароль для запоминания, тем легче его подобрать! Способы подбора пароля:
Небезызвестный вирус "Мориса" использовал чуть меньше 400 слов в качестве пароля и поразил около 6000 компьютерных систем. И, конечно, не бедность английского языка, а слабое воображение пользователей открыло двери вирусу. Вдумайтесь в эти цифры: 6000 и 400, то есть, в среднем каждые 15 систем имели одинаковые пароли! По данным одного из исследований по безопасности компьютерных систем при анализе списка паролей, используемых пользователями, лишь каждый двадцатый был таким, что его было трудно угадать. Исследование специалистов по компьютерной безопасности и опыт эксплуатации компьютерных систем говорят о том, что большинство паролей это знаменитые: 111111, 123456, ааа и т.п. 5% компьютеров используют пароль для входа в компьютерную сеть такой же, как и имя пользователя. Например, если имя PUPKIN, значит и пароль PUPKIN. Примерно 35% компьютеров используют пароль, вторичный от имени. Например, имя - PUPKIN, пароль VasilPupkin, PupkinVasil или задом наперед NIKPUK. Таблица 1 – Правильные и неправильные пароли.
Если мы хотим не только сложный пароль, но и что бы его легко можно было запомнить.Предвижу возражения типа: "Бессмысленный набор символов очень трудно запомнить!". Что ж, это действительно так, но в этом случае можно рекомендовать еще одну маленькую хитрость. Составляйте пароль из первых (вторых и т.п.) букв запомнившейся фразы, четверостишья, песни, поговорки. Например, возьмем знакомое всем (или почти всем) стихотворение Некрасова: Однажды, в студеную, зимнюю пору, я из лесу вышел, был сильный мороз. Составляем пароли: "осзпяилвбсм" (из первых букв слов), "дтиозеыыио" (из вторых букв слов, хотя это и сложнее при наборе – сообразить какая буква вторая) и т.п. Получились бессмысленные наборы символов, которые, однако, очень просто запомнить. Приведите примеры правильных и неправильных паролей. Сколько символов может быть в пароле. Разные версии. Обоснование? А обоснованием для какого-либо количества символов может быть время раскрытия паролей. Каково время раскрытия пароля? От чего оно зависит??? Теперь, что касается конкретной организации… Кто должен подбирать пароль? Это отнюдь не праздный вопрос. Существует две основных точки зрения: администратор компьютерной системы (ответственный специалист службы безопасности) или сам пользователь. Выбор схемы должен определяется исходя из конкретной компьютерной системы и самой организации, в которой она эксплуатируется. При этом должны учитываться многие вопросы, такие как:
Основные две системы:Пароль придумывается администратором и самим пользователей самостоятельно. Таблица 2 – Системы создания паролей.
Директор Норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом, и умершему несколько лет тому назад. Комментарии в форуме:
Выполнение задания в малых группах Условия:
Работа 1, 2 и 4 группы. Вы будете отстаивать право пользователя придумать пароль самостоятельно и право администратора настроить параметры Windows таким образом, чтобы проконтролировать пользователя, минимизировать риски. Также в этом случае нужно разработать инструкцию пользователя по разработке пароля. Работа 3 группы. Вы будите отстаивать позицию, что пароли сотрудникам организации придумывает администратор, и кроме пароля он должен для пользователя донести инструкцию по применению пароля в организации (рассмотреть вопросы потери, компрометации, регистрации, хранения паролей и др.) Помним, что чаще всего инструкция содержит ответы на вопросы: Как правильно делать, Что нельзя делать, Что будет тому, кто сделал неправильно. Работа 5 и 6 группы. Правила смены и хранения паролей. Эти правила необходимы при любой системе. Теоретический материал (для контроля правильности выполнения задания в группах). Политика паролей и блокировки учётных записей в Windows Для настройки политики паролей на компьютере с Windows служат оснастки GroupPolicy (Групповая политика) и LocalSecurityPolicy (Локальная политика безопасности). Для настройки политики паролей в консоли Групповые политики необходимо:
В правой области окна показаны текущие значения параметров политики паролей. Таблица 3 - Параметры политики паролей.
Для выбранного параметра откроется диалоговое окно LocalSecurityPolicySetting (Параметры локальной политики безопасности). Настройка политики блокировки учетных записей Повысить безопасность системы позволяет также политика блокировки учетных записей, которая закрывает пользователю доступ к учетной записи при наступлении определенных условий. Эту политику можно настраивать из оснастки Групповая политика, либо в окне LocalSecurityPolicySettings — как при настройке политики паролей. Таблица 3- Параметры политики блокировки учетных записей
Постановка задачи программирования, построение алгоритма Теперь вспоминаем, что урок у нас бинарный.А значит средствами объектно-ориентированного программирования мы будем создавать вспомогательную программу для работы с паролями.Какие программы можно создать:
Мы рассматриваем варианты, когда в качестве пароля используют набор символов. Но ведь еще с древних времен паролем могли служить и некоторые вещи (кольцо, брелок, разорванная пополам бумажная купюра и т.д.), а иногда и действия (определенный жест). Такой подход можно применять и к компьютерным системам. Например, к традиционному паролю добавить еще и определенную последовательность действий. Например, после появления на экране основного меню задачи пробежать по нему курсором слева направо или нажать разные клавиши, щелкнуть мышкой в определенной зоне заставки (в зависимости от ситуации – обычная работа или «работа под контролем») для того, чтобы убрать заставку задачи с экрана. Со стороны это покажется обычными действиями и не вызовет никаких подозрений, но для компьютерной системы - это сигнал, позволяющий распознать истинного пользователя или укравшего пароль "гангстера". Есть еще один вариант. Пароль с "фокусом" - когда он набирается не сразу, а, например, с временным интервалом между набором каких-либо символов (реализация этого способа будет зависеть и от артистичности пользователя). Можно сделать и систему смены таких "паролей". Чем хороши эти "фокусы"? Не страшно случайное подсматривание пароля со стороны. Ведь важна теперь не только сама комбинация, но и порядок ее набора.
Я предлагаю создать программу генерации сложных паролей (каких? что это значит?), которые состоят из букв (строчных и заглавных, русских и английских), цифр. Обсуждение алгоритмов (подведение к строкам, ASCII-коду). Как сделать, чтобы в пароле обязательно присутствовали и различные буквы, и цифры. Как сгенерировать букву, как сгенерировать цифру? У каждого символа на клавиатуре есть цифровой ASCII-код. И вот у цифр ASCII-код начинается с 48 (это цифра 0) и до 57 (цифра 9). Так же и у букв. Но здесь приведена генерация только из английского алфавита. Если надо из русского, то их диапазон 195-255. Алгоритм:
Самостоятельное написание программы. Домашнее задание (на выбор):
Используемые источники
Приложения Задание для группы № 1 Зайдите на виртуальном компьютере в консоль Локальные политики безопасности, просмотрите (Пуск\Все программы\Администрирование) Рассмотрите Политику паролей, её параметры, порекомендуйте значение параметров для организации.
Задание для группы № 2 Зайдите на виртуальном компьютере в консоль Локальные политики безопасности, просмотрите (Пуск\Все программы\Администрирование) Рассмотрите Политику блокировки учётной записи, её параметры, порекомендуйте значение параметров для организации.
Задание для группы № 3 В организации пароль выдаётся администратором. Пароль состоит из цифр, русских, английских строчных и заглавных букв, то есть сложен в запоминании. Напишите инструкцию для пользователя при использовании пароля. 1. 2. 3. 4. 5. Задание для группы № 4 В организации пароль придумывается сотрудником самостоятельно. Напишите инструкцию для составления пароля. 1. 2. 3. 4. 5. Задание для группы № 5 В организации пароль придумывается сотрудником самостоятельно. Ответьте на вопросы. Может ли пользователь самостоятельно, без уведомления администратора сменить пароль? Может ли администратор сменить пароль пользователя? Как часто нужно менять пароль? По результатам ответов напишите инструкцию для смены пароля. 1. 2. 3. 4. 5. Задание для группы № 6. Правила хранения паролей. Копия пароля пользователя обязательно должна храниться у администратора. Где она будет храниться и при каких обстоятельствах вскрываться, на каких условиях? Допишите эти пункты в инструкцию. 1. 2. 3. 4. Инструкция по организации парольной защиты Источник: Журнал "Справочник руководителя дошкольного учреждения" №6 2011 года 1. Общие положения 1.1. Инструкция по организации парольной защиты (далее – Инструкция) призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах дошкольного образовательного учреждения (далее – ДОУ), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. 1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах информационной системы (далее – ИС) ДОУ и контроль за действиями исполнителей и обслуживающего персонала при работе с паролями возлагается на системного администратора ДОУ. 2. Правила формирования паролей 2.1. Личные пароли генерируются и распределяются централизованно либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:
2.2. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников центра дистанционного образования. 2.3. При технологической необходимости использования имен и паролей некоторых работников (исполнителей) в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров. 3. Ввод пароля При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.). 4. Порядок смены личных паролей 4.1. Смена паролей проводится регулярно, не реже одного раза в три месяца. 4.2. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой. 4.3. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов информационной системы и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты. 4.4. Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере-предупреждении (при наличии технической возможности). 4.5. Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему. 5. Хранение пароля 5.1. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у системного администратора или руководителя подразделения в опечатанном пенале. 5.2. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации. 5.3. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем. 6. Действия в случае утери и компрометации пароля В случае утери или компрометации пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 4.3 или п. 4.4 Инструкции в зависимости от полномочий владельца скомпрометированного пароля. 7. Ответственность при организации парольной защиты 7.1. Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле. 7.2. Ответственность за организацию парольной защиты в структурных подразделениях ДОУ возлагается на системного администратора. 7.3. Работники ДОУ и лица, имеющие отношение к обработке персональных данных в информационных системах ДОУ, должны быть ознакомлены с Инструкцией под расписку. |
Урок №4 Тема: Введение в объектно -ориентированное программирование Познакомить учащихся с базовыми понятиями объектно-ориентированного программирования | Объектно-ориентированное программирование на примере размножения и развития живых организмов Данная работа представляет собой методическую разработку четырёх уроков информатики, посвящённых объектно-ориентированному программированию.... | ||
Урок №6 Тема урока: Объектно-ориентированное программирование Умение работать в коллективе, умение делать самоанализ, взаимоконтроль, развитие дисциплины | «Объектно-ориентированное программирование» в 10 – 11 классе Икт: Практикум по программированию, 10-11 класс. Он содержит поурочные разработки по данному учебнику и диск с готовыми проектами... | ||
Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования | Интегрированная среда разработки языка Visual Basic ... | ||
Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Моделирование работы лифтов, wpf, варианты использования, uml диаграммы, пользовательский интерфейс, алгоритмы передвижений | Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Моделирование работы лифтов, wpf, варианты использования, uml диаграммы, пользовательский интерфейс, алгоритмы передвижений | ||
Программа дисциплины Web системы для направления 080700. 62 Бизнес-информатика Требования к студентам: для качественного усвоения материала необходимо знание курсов «Сетевые коммуникационные технологии», «Объектно-ориентированное... | Темы вашего учебного проекта Инструментальной системой будем называть совокупность программного продукта, обеспечивающего разработку информационно-программного... | ||
Курсовая работа выполняется на основании 'Задания на курсовую работу'... Целью курсовой работы является закрепление практических навыков самостоятельной постановки и решения задачи обработки данных с помощью... | Программа по формированию навыков безопасного поведения на дорогах... «Алгоритмизация и объектно-ориентированное программирование» учебно-методического пособия «Профильное обучение. Образовательная область... | ||
Программа учебной дисциплины «web-технологии» Изучение данной дисциплины базируется на успешно усвоенных понятиях программирования и базовых понятиях информатики дисциплины «Алгоритмизация... | Авторская программа учебной дисциплины история (для 1 курса) Спо 230113 Компьютерные системы и комплексы, 210723 Сети связи и системы коммутации, 210709 Многоканальные системы, 280703 Пожарная... | ||
Рабочая программа дисциплины объектно-ориентированное программирование... Фгос впо к структуре и результатам освоения основных образовательных программ бакалавриата по Профессиональному циклу по направлению... | Основная образовательная программа по направлению подготовки 090900 Информационная безопасность «Информационная безопасность», утвержденного 28 октября 2009 г. Приказом Министерства образования и науки Российской Федерации n... |