- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.6Ідентифікація і автентифікація
8.6.1Основні поняття
Ідентифікацію і автентифікацію можна вважати основою програмно-технічних засобів безпеки, оскільки решта сервісів розраховані на обслуговування іменованих суб'єктів. Ідентифікація і автентифікація - це перша лінія оборони, "прохідна" інформаційного простору організації.
Ідентифікація дозволяє суб'єкту (користувачу, процесу, що діє від імені певного користувача, або іншому апаратний-програмному компоненту) назвати себе (повідомити своє ім'я).
За допомогою автентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "автентифікація" іноді використовують словосполучення "перевірка достовірності".
Відмітимо в дужках, що походження російськомовного терміну "автентифікація" не зовсім зрозуміло. Англійське "authentication" швидше можна прочитати як "автентикація"; важко сказати, звідки у середині узялося ще "фі" - може, з ідентифікації? Проте, термін устоявся, він закріплений в Керівних документах, використаний в численних публікаціях, тому виправити його вже неможливо.
Автентифікація буває односторонньою (звичайно клієнт доводить свою достовірність серверу) і двосторонній (взаємній). Приклад односторонньої автентифікації - процедура входу користувача в систему.
У мережевому середовищі, коли сторони ідентифікації/автентифікації територіально рознесені, у даного сервісу є два основні аспекти:
1. Що служить автентифікатором (тобто використовується для підтвердження достовірності суб'єкта).
Суб'єкт може підтвердити свою достовірність, пред'явивши принаймні одне з наступного:
щось, що він знає (пароль, особистий ідентифікаційний номер, криптографічний ключ і т.п.);
щось, чим він володіє (особисту картку або інший пристрій аналогічного призначення);
щось, що є частина його самого (голос, відбитки пальців тощо, тобто свої біометричні характеристики).
2. Як організований (і захищений) обмін даними ідентифікації/ автентифікації.
У відкритому мережевому середовищі між сторонами ідентифікації/автентифікації не існує довіреного маршруту; це означає, що в загальному випадку дані, передані суб'єктом, можуть не співпадати з даними, одержаними і використаними для перевірки достовірності. Необхідно забезпечити захист від пасивного і активного прослуховування мережі, тобто від перехоплення, зміни та/або відтворення даних. Передача паролів у відкритому вигляді, очевидно, незадовільна; не рятує положення і шифрування паролів, оскільки воно не захищає від відтворення. Потрібні складніші протоколи автентифікації.
Надійна ідентифікація утруднена не тільки із-за мережевих загроз, але і з цілого ряду причин. По-перше, майже всі автентифікаційні параметри можна дізнатися, вкрасти або підроблювати. По-друге, є суперечність між надійністю автентифікації, з одного боку, і зручностями користувача і системного адміністратора з іншою. Так, з міркування безпеки необхідно з певною частотою просити користувача повторно вводити автентифікаційну інформацію (адже на його місце могла сісти інша людина), а це не тільки складно, але і підвищує вірогідність того, що хтось може підглянути за введенням даних. По-третє, чим надійніше засіб захисту, тим він дорожче.
Сучасні засоби ідентифікації/автентифікації повинні підтримувати концепцію єдиного входу в мережу. Якщо в корпоративній мережі багато інформаційних сервісів, що допускають незалежне звернення, то багатократна ідентифікація/автентифікація стає дуже обтяжливою. На жаль, поки не можна сказати, що єдиний вхід в мережу став нормою, домінуючі рішення поки не сформувалися.
Таким чином, необхідно шукати компроміс між надійністю, доступністю за ціною і зручністю використання і адміністрування засобів ідентифікації і автентифікації.
Цікаво відзначити, що сервіс ідентифікації/автентифікації може стати об'єктом атак на доступність. Якщо система сконфігурована так, що після певного числа невдалих спроб пристрій введення ідентифікаційної інформації (таке, наприклад, як термінал) блокується, то зловмисник може зупинити роботу легального користувача буквально декількома натисненнями клавіш.