- •Лекция 2 Основные понятия программно-технического уровня информационной безопасности
- •Особенности парольных систем аутентификации
- •Аутентификация по некоторому предмету, которым физически обладает пользователь.
- •Биометрическая идентификация и аутентификация пользователя
- •100% Вероятность обнаружения «чужака».
- •Типовые схемы идентификации и аутентификации пользователя
Лекция 2 Основные понятия программно-технического уровня информационной безопасности
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно- технические меры способны им противостоять. Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.
Сущность аппаратной (технической) защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специальных технических решений, обеспечивающих защиту и контроль информации, например экранирующие устройства, локализующие электромагнитные излучения или схемы проверки информации на четность, осуществляющей контроль за правильностью передачи информации между различными устройствами ИС.
Программные методы защиты — это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.
Центральным для программно-технического уровня является понятие сервиса безопасности. Рассмотрим следующие сервисы:
* идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• шифрование;
• контроль целостности;
• экранирование;
• анализ защищенности;
• обеспечение отказоустойчивости;
• обеспечение безопасного восстановления;
• туннелирование;
• управление.
2. Идентификация и аутентификация пользователей кс-субъектов доступа к данным
2.1. Основные понятия и концепции
Их можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, «проходная» информационного пространства организации. Эти функции необходимы для подтверждения подлинности субъекта, законности его прав на данный объект или на определенные действия, а также для обеспечения работы субъекта в системе. При наличии удаленных пользователей проблема аутентификации и контроля доступа носит критический характер для обеспечения безопасности всей сети.
Идентификация требует, чтобы пользователь был так или иначе известен ИС. Она обычно основана на назначении пользователю идентификатора пользователя. С каждым объектом компьютерной системы (КС) связана некоторая информация, однозначно идентифицирующая его. Это может быть число, строка символов, алгоритм, определяющий данный объект. Эту информацию называют идентификатором объекта. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется законным (легальным) объектом; остальные объекты относятся к незаконным (нелегальным). Однако ИС не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя уникальных особенностей и чем их больше, меньше риск подмены законного пользователя. Требование, определяющее необходимость аутентификации, должно учитываться (явно или неявно) в большинстве политик безопасности ИС.
Под идентификацией («кто это?) понимают присвоение субъектам доступа уникальных идентификаторов и сравнение этих идентификаторов с перечнем возможных, т.е. определение тождественности пользователя или пользовательского процесса, необходимое для управления доступом. Цель идентификации: отслеживание действий пользователя в системе. После идентификации обычно производится аутентификация. Под аутентификацией пользователя (субъекта) понимается установление его подлинности. Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. (он ли это на самом деле?)
При входе в систему пользователь должен предъявить идентифицирующую информацию, определяющую законность входа и права на доступ. Эта информация проверяется, определяются полномочия пользователя (аутентификация), и пользователю разрешается доступ к различным объектам системы (авторизация).
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
1. Классическим примером таких методов является парольная защита, когда в качестве средства аутентификации пользователю предлагается ввести пароль – некоторую последовательность символов. Данные методы аутентификации являются наиболее распространёнными.
2. Методы, основанные на использовании уникального предмета. В качестве такого предмета могут быть использованы смарт-карта, электронный ключ и т.д.
3. Методы, основанные на использовании биометрических характеристик человека. На практике чаще всего используются одна или несколько из следующих биометрических характеристик:
- отпечатки пальцев;
- рисунок сетчатки или радужной оболочки глаза;
- тепловой рисунок кисти руки;
- фотография или тепловой рисунок лица;
- биомеханические характеристики "клавиатурного почерка".
- голос.
Широко распространена практика совместного использования нескольких из перечисленных выше механизмов – в таких случаях говорят о многофакторной аутентификации.
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации — процедура входа пользователя в систему. При защите каналов передачи данных подтверждение подлинности (аутентификация) объектов означает взаимное установление подлинности объектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса в процессе установления соединения абонентов. (Термин "соединение" указывает на логическую связь (потенциально двустороннюю) между двумя объектами сети.
После того как объект идентифицирован и подтверждена его подлинность, можно установить сферу его действия и доступные ему ресурсы КС. Такую процедуру называют предоставлением полномочий (авторизацией). Авторизация - предоставление субъекту прав на доступ к объекту. Авторизованный (разрешенный) доступ имеет только тот субъект, чей идентификатор удовлетворяет результатам аутентификации.
Перечисленные три процедуры инициализации являются процедурами защиты и относятся к одному объекту КС. Они необходимы для поддержания разрешительного порядка доступа к системе и соблюдения политики безопасности. Они выполняются как в процессе работы (при обращении к наборам данных, устройствам, ресурсам), так и при входе в систему.