- •Введение
- •Раздел 1 Теоретические основы информационной безопасности Тема 1.1 Основные понятия и задачи информационной безопасности
- •Тема 1.2 Основные составляющие и уровни информационной безопасности
- •Тема 1.3 Угрозы информационной безопасности
- •Раздел 2 Законодательный уровень информационной безопасности Тема 2.1 Нормативно-правовое регулирование информации
- •Тема 2.2 Обеспечение информационной безопасности в Российской Федерации
- •Глава 14 Кодекса регулирует вопросы, связанные с защитой персональных данных работника.
- •Тема 2.3 Национальная и ведомственная и нормативная правовая база в области информационной безопасности
- •Раздел 3 Средства и способы обеспечения информационной безопасности Тема 3.1 Состав и основные свойства защищаемой информации
- •Тема 3.2 Организационно-распорядительная защита информации
- •Тема 3.3 Инженерная защита и техническая охрана объектов информатизации
- •Тема 3.4 Защита информации от утечки по техническим каналам
- •Тема 3.5 Обнаружение и нейтрализация средств технической разведки
- •Тема 3.6 Управление доступом к информации
- •Статические методы
Тема 3.6 Управление доступом к информации
Доступ в компьютерную систему трактуется как любая форма проникновения, позволяющая манипулировать информацией.
Соответственно, неправомерным доступом считается доступ к информации постороннего лица, не санкционированный ее обладателем или произведенный ее пользователем с нарушением установленного порядка.
За неправомерный доступ к компьютерной информации, повлекший за собой копирование, удаление, модификацию или блокирование компьютерной информации либо нарушение работы ЭВМ, предусмотрено уголовное наказание (ст. 272 УК РФ). В иных нормативных документах чаще можно встретить термин «несанкционированный доступ» (НСД), которым мы и будем пользоваться.
В информационной сфере исторически сформировались два направления защиты от несанкционированного доступа.
В системах физической защиты они называются системами управления доступом (СУД), а в компьютерной сфере - системами идентификации и аутентификации.
Система физической защиты в компьютерной сфере
Различные системы контролируемого обеспечения доступа можно разделить на три группы в соответствии с тем, что человек собирается предъявлять системе:
1) Парольная защита. Пользователь предъявляет секретные данные (например, PIN-код или пароль).
2) Использование ключей. Пользователь предъявляет свой персональный идентификатор, являющийся физическим носителем секретного ключа. Обычно используются пластиковые карты с магнитной полосой и другие устройства.
3) Биометрия. Пользователь предъявляет параметр, который является частью его самого.Биометрический класс отличается тем, что идентификации подвергается личность человека - его индивидуальные характеристики (рисунок папиллярного узора, радужная оболочка глаза,отпечатки пальцев,термограмму лица и т.д.).
Общие термины систем доступа
Санкционирование – процедура присвоения пользователю персонального идентификатора, регистрация его в системе, задание для него прав доступа (по времени и уровню полномочий).
Авторизация – проверка полномочий (времени и уровня доступа), установленных в процессе санкционирования.
Аутентификация – установление подлинности идентифицированного пользователя.
Идентификатор – некое уникальное количество информации, позволяющее различать субъекты и объекты доступа.
Идентификация – процедура опознавания пользователя по предъявленному идентификатору.
Пароль – некоторое количество секретной информации, известной пользователю и парольной системе, которое пользователь может на определенное время запомнить и предъявить для прохождения процедуры аутентификации.
Парольная система – аппаратно-программный комплекс, реализующий идентификацию и аутентификацию.
Реагирование – реакция системы или персонала охраны на несанкционированные действия пользователя (нарушителя).
Регистрация – процедура ввода идентифицирующей и аутентифицирующей информации с протоколированием действий.
Регистрация пользователей – процедура создания администратором учетных записей пользователей.
Учетная запись – совокупность идентификатора и пароля.
Процедура распознавания в общем случае состоит из двух этапов: идентификации и аутентификации. Идентификация – это требование назвать свое имя (не обязательно данное от рождения; это должно быть имя, под которым пользователь был зарегистрирован в системе). Аутентификация – это требование подтвердить свою подлинность. Для аутентификации используются:
вещественное доказательство, подтверждающее личность (документ, ключ, носитель ключевой информации);
парольная информация, известная только пользователю и проверяющей системе;
уникальный индивидуальный признак, свойственный лишь этому пользователю (голос, отпечаток пальца).
Наиболее распространены так называемые парольные системы. Многие авторы используют этот термин для обозначения всех механизмов аутентификации.
Человек является наиболее слабым звеном не только во всей системе информационной защиты, но и в системах управления доступом. Человека можно принудить к разглашению парольной информации. У человека можно похитить или отобрать идентифицирующий предмет. Наконец (автор просит прощения за такие подробности), человека можно убить или привести в бессознательное состояние с целью использования его индивидуальных признаков (и даже частей тела). Издержки человеческого фактора заключаются в том, что пользователь может:
выбрать простой пароль, который злоумышленник может легко подобрать или угадать;
записать сложный пароль на настольном календаре, листке бумаги, на корпусе компьютера или в иных доступных местах;
ввести пароль так, что процесс ввода могут увидеть и зафиксировать посторонние;
намеренно или по заблуждению передать пароль другому лицу.
Поскольку обладание верным паролем почти всегда гарантирует злоумышленнику власть над информационной системой, атаки на парольные системы являются наиболее распространенными формами действий информационных нарушителей.
Атаки нарушителя на парольные системы включают:
угадывание пароля;
подбор пароля путем «лобовой» атаки (brute force attack);
подбор пароля по словарю и частоте символов (оптимизированный перебор);
подбор, оптимизированный благодаря использованию сведений о конкреном пользователе (дата его рождения, кличка его собаки и иные числа и слова, которые люди часто используют в качестве паролей);
исследование программы, содержащей пароль, с последующей подменой или обходом этого фрагмента кода;
использование специальных программ для «взлома» парольной системы;
подмену подсистемы аутентификации операционной системы.
Требования к парольным системам
Сложность пароля — мера эффективности, с которой пароль способен противостоять его угадыванию или методу полного перебора. В своей обычной форме сложность пароля является оценкой того, как много попыток в среднем потребуется взломщику, без прямого доступа к паролю, для его угадывания
Личные пароли должны выбираться пользователями автоматизированной системы самостоятельно, но с учетом следующих требований:
Минимальная длина пароля в пределах от 12 до 14 символов. Увеличение пароля всего на 2 символа дает в 500 раз больше вариантов, чем увеличение алфавита на 18 символов
Генерирование случайных паролей, если это возможно
Избегать пароли, основанные на повторении, словарных словах, буквенных или числовых последовательностях, имени пользователя, именах родственников или домашних животных, романтических отсылках (нынешних или прошлых), биографической информации.
Включение в пароль цифр и иных символов, если это разрешено системой.
Использовать как прописные, так и строчные буквы, когда это возможно.
Избегать использовать один и тот же пароль для различных сайтов или целей.
Администратор, настраивая парольную систему аутентификации, должен установить минимальную длину пароля, минимальный и максимальный срок его действия (чтобы пользователь не имел возможности отказаться от нового пароля, выбранного администратором, и вернуть себе старый, привычный пароль), ограничить число попыток ввода пароля.
Следует помнить, что самый хороший пароль становится плохим, стоит записать его где-нибудь в открытом месте.
Использование ключей
Ключ — секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений, постановке и проверке цифровой подписи, вычислении кодов аутентичности (MAC). При использовании одного и того же алгоритма результат шифрования зависит от ключа. Для современных алгоритмов сильной криптографии утрата ключа приводит к практической невозможности расшифровать информацию.
Биометрическая аутентификация
Совершенно избавляет человека от необходимости что-либо запоминать или бережно хранить наличие у него уникальных признаков, присутствующих от рождения. Такими врожденными признаками являются папиллярные узоры на подушечках пальцев, форма руки, рисунок радужной оболочки или узор капиллярных сосудов сетчатки глаза, тембр голоса. Возможна биометрическая аутентификация на основе приобретенных признаков: рукописного письма или клавиатурного почерка. Некоторые системы биометрической аутентификации обеспечивают очень высокие показатели, но пока они относительно дороги.
Биометрическая аутентификация - процесс доказательства и проверки подлинности заявленного пользователем имени, через предъявление пользователем своего биометрического образа и путем преобразования этого образа в соответствии с заранее определенным протоколом аутентификации.
В настоящее время широко используется большое количество методов биометрической аутентификации, которые делятся на два класса.
Статические методы биометрической аутентификации основаны на физиологических характеристиках человека, присутствующих от рождения и до смерти, находящиеся при нём в течение всей его жизни, и которые не могут быть потеряны, украдены и скопированы.
Динамические методы биометрической аутентификации основываются на поведенческих характеристиках людей, то есть основаны на характерных для подсознательных движений в процессе воспроизведения или повторения какого-либо обыденного действия.[4].