Тема: Технические и программные
средства защиты информации. Принципы идентификации и аутентификации.
План:
· Идентификация
и аутентификация;
· Контроль
и управление доступом;
· Протоколирование
и аудит;
· Шифрование:
· Контроль
целостности;
· Экранирование.
Для надежной ЗИ необходима комплексная
реализация всех перечисленных механизмов. Некоторые из них могут быть
реализованы в более полной мере, другие – нет. Защита ИС в первую очередь
зависит от реализации механизма идентификации и аутентификации.
Идентификатор –уникальный
набор символов, однозначно соответствующий объекту или субъекту в данной
системе .
Идентификация –
распознавание участника процесса информационного взаимодействия (ИВ) перед тем,
как к нему будут применены какие-либо аспекты ИБ.
Пароль –
секретный набор символов, позволяющий подтвердить соответствие субъекта
предъявленному им идентификатору.
Аутентификация –
обеспечение уверенности в том, что участник ИВ идентифицирован верно.
Профиль –
набор установок и конфигураций для данного субъекта или объекта и определяющий
его работу в ИС.
Авторизация –
формирование профиля прав для конкретного участника ИВ.
Субъект может подтвердить свою
подлинность, предъявив по крайней мере одну из следующих сущностей:
· нечто,
что он знает (пароль, криптографический ключ и т.п.);
· нечто,
чем он владеет (электронный ключ, смарт-карта и т.п.);
· нечто,
что есть часть его самого (свои биометрические характеристики).
Аутентификация бывает односторонней (обычно
субъект доказывает свою подлинность системе) и двусторонней (взаимной).
Надежная идентификация и аутентификация
затруднена по целому ряду причин.
· В ИС
между сторонами может не существовать доверенного маршрута; это значит, что в
общем случае данные, переданные субъектом, могут не совпадать с данными,
полученными и использованными для проверки подлинности.
· Почти
все аутентификационные сущности можно узнать, украсть или подделать.
· Имеется
противоречие между надежностью аутентификации, с одной стороны, и удобствами
субъекта с другой. Так, из соображений безопасности необходимо с определенной
частотой просить пользователя повторно вводить аутентификационную информацию.
· Чем
надежнее средство защиты, тем оно дороже.
Парольная аутентификация
Главное достоинство парольной аутентификации
– простота. Недостаток – это самое слабое средство проверки подлинности.
Основные нарушения при создании и
использовании паролей:
· простой
пароль,
· использование
стандартных значений из какой-либо документации, которые никогда не изменяют,
· запись
пароля на тех предметах, где его можно прочитать, подсмотреть и т.д.
· сообщение
пароля другому сотруднику.
Меры, позволяющие повысить надежность
парольной защиты:
· наложение
технических ограничений (длина, использование букв, цифр, знаков);
· управление
сроком действия паролей;
· ограничение
доступа к файлу паролей;
· ограничение
числа неудачных попыток входа в систему;
· обучение
пользователей;
· использование
программных генераторов паролей, которые основываясь на некоторых правилах,
могут порождать сложные, но запоминающиеся пароли,
· одноразовые
пароли.
Одноразовые пароли
Пусть имеется односторонняя функция f (то
есть функция, вычислить обратную которой за приемлемое время не представляется
возможным). Эта функция известна и пользователю, и серверу аутентификации.
Пусть имеется секретный ключ K, известный
только пользователю.
На этапе начального администрирования
пользователя функция f применяется к ключу K n-раз, после чего результат
сохраняется на сервере.
После этого процедура проверки подлинности
пользователя выглядит следующим образом:
1.
сервер присылает на пользовательскую систему число (n-1);
2.
пользователь применяет функцию f к секретному ключу K (n-1) раз и
отправляет результат по сети на сервер аутентификации;
3.
сервер применяет функцию f к полученному от пользователя значению
и сравнивает результат с ранее сохраненной величиной. В случае совпадения
подлинность пользователя считается установленной, сервер запоминает новое
значение (присланное пользователем) и уменьшает на единицу счетчик (n).
Поскольку функция f необратима, перехват
пароля и получение доступа к серверу аутентификации, не позволяют узнать
секретный ключ K и предсказать следующий одноразовый пароль.
Другой подход к реализации одноразовых
паролей состоит в генерации нового пароля через небольшой промежуток времени
(например, каждые 60 секунд), для чего могут использоваться программы или
smart-карты. Для этого необходимо выполнение условий:
Сервер аутентификации должен знать
алгоритм генерации паролей и ассоциированные с ним параметры;
Часы клиента и сервера должны быть
синхронизированы.
Аутентификация с использованием токенов
возможна в следующих вариантах:
· На
запрос системы токен предъявляет ей секретное значение, служащее для
подтверждения подлинности. Один раз перехватив этот ответ, злоумышленник может
имитировать ответ токена.
· Токен
и система имеют общую, синхронизированную систему генерации одноразовых
паролей. На запрос системы токен выдает пароль, действительный для данного
промежутка времени. Система генерирует в это время свой вариант пароля, который
и сравнивает с полученным.
· Токен
зарегистрирован в системе (она знает его секретный параметр). Для
аутентификации она формирует случайную величину, которую токен преобразует с
использованием своего параметра. Система выполняет аналогичное преобразование и
сравнивает результат с полученным от токена. В этом случае перехват запроса и
ответа ничего не дает злоумышленнику. И синхронизация токена и системы не
требуется.
Варианты использования токена совместно с
паролем:
· Пароль
служит для доступа к токену, который без пароля не действует.
· Пароль
вместе с параметром токена служат основой для выработки одноразовых паролей.
· Токен
генерирует ответ системе на запрос со случайной величиной на основе своего
параметра и пароля пользователя.
Аутентификация с помощью
биометрических данных
Биометрия представляет собой совокупность
автоматизированных методов идентификации и аутентификации людей на основе их
физиологических и поведенческих характеристик.
К числу физиологических характеристик
принадлежат особенности:
· отпечатков
пальцев,
· сетчатки
и роговицы глаз,
· геометрия
руки и лица.
К поведенческим характеристикам относятся:
· динамика
подписи,
· стиль
работы с клавиатурой.
К характеристикам, включающим физиологию и
поведение относят анализ особенностей голоса и распознавание речи.
В общем виде работа с биометрическими
данными организована следующим образом. Сначала создается и поддерживается база
данных характеристик потенциальных пользователей. Для этого биометрические
характеристики пользователя снимаются, обрабатываются, и результат обработки
(называемый биометрическим шаблоном) заносится в базу данных. При этом исходные
данные, такие как результат сканирования пальца или роговицы, обычно не
хранятся.
В дальнейшем для идентификации и
одновременно аутентификации пользователя процесс снятия и обработки
повторяется, после чего производится поиск в базе данных шаблонов.
В случае успешного поиска личность
пользователя и ее подлинность считаются установленными. Для аутентификации
достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на
основе предварительно введенных данных.
Обычно биометрию применяют вместе с
другими аутентификаторами, такими как smart-карты. Иногда биометрическая
аутентификация служит для активизации smart-карт, в этом случае биометрический
шаблон хранится на той же карте.
Биометрия подвержена тем же угрозам, что и
другие методы аутентификации.
Биометрический шаблон сравнивается не с
результатом первоначальной обработки характеристик пользователя, а с тем, что
пришло к месту сравнения.
Биометрические методы не более надежны,
чем база данных шаблонов.
Следует учитывать разницу между
применением биометрии на контролируемой территории и в "полевых"
условиях.
Биометрические данные человека меняются,
так что база шаблонов нуждается в сопровождении.
Но главная опасность состоит в том, что если биометрические данные
окажутся скомпрометированы, придется как минимум производить существенную
модернизацию всей системы.
СПИСОК
ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Конеев И.Р., Беляев А.В. Информационная безопасность
предприятия. – СПб.: БХВ-Петербург, 2003.
- Барсуков
В.С. Безопасность: технологии, средства, услуги. – М.: Кудиц-Образ, 2001.
- Ярочкин
В.И. Информационная безопасность / учеб. для вузов. – М.: Академпроект,
2004.
- Информационная
безопасность. Защита информации//URL: http://all-ib.ru/.
- МИНКОМСВЯЗЬ
РОССИИ.Информационная безопасность.//URL: http://minsvyaz.ru/ru/directions/?direction=44
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.