- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
На основе изложенной концепции средства обеспечения безопасности информации в комплексе средств автоматизации обработки информации делятся на средства обеспечения безопасности информации от преднамеренного несанкционированного доступа и от случайного несанкционированного доступа. Средства управления обеспечением безопасности информации от несанкционированного доступа являются объединяющими, дающими возможность с помощью целенаправленных и взаимоувязанных функций в сочетании с наиболее полным охватом возможных каналов несанкционированного доступа объекта отдельными средствами защиты создать законченную и строгую систему защиты в комплексе средств автоматизации (информационной системе). Пример структуры такой системы приведен на рис. 1.
Согласно принятой концепции системы обеспечения безопасности информации от преднамеренного несанкционированного доступа включают
1-й контур защиты— систему контроля доступа на территорию объекта (СКДТО),
2-й контур защиты— систему контроля и разграничения доступа в помещения (СКРДП) и
основной контур защиты (ОКЗ).
Система контроля доступа на территорию объекта (СКДТО), содержащая систему охранной сигнализации (СОС) и контрольно-пропускные пункты (КПП), служит для ограничения доступа лиц на территорию объекта, а также совместно со специальными аппаратными решениями составляет средство защиты от побочных электромагнитных излучений и наводок информации.
Основной контур защиты перекрывает каналы доступа по периметру комплекса средств автоматизации обработки информации. Система контроля вскрытия аппаратуры (СКВА) перекрывает доступ к внутреннему монтажу аппаратуры, технологическим органам управления (включая средства загрузки программного обеспечения) и кабельным соединителям. Система опознания и разграничения доступа к информации (СОРДИ) закрывает несанкционированный доступ и обеспечивает возможность контроля санкционированного доступа к информации законных пользователей и разграничения их полномочий в соответствии с их функциональными обязанностями. Средства вывода аппаратуры из рабочего контура (СВАРК) обмена информацией в комплексе средств автоматизации обработки информации обеспечивают блокировку несанкционированного доступа к информации, подлежащей защите, при ремонте и профилактике аппаратуры. Средства защиты информации на носителях закрывают несанкционированного доступа к ней при их транспортировке по неохраняемой территории, при съеме носителя с работающей системы для хранения или ремонта. В числе средств по созданию основного контура защиты применяются также средства защиты ресурсов (СЗР) комплекса средств автоматизации обработки информации и организационные меры. Средства защиты ресурсов используются в целях исключения блокировки пользователем—нарушителем работы других пользователей, а также для контроля и ограничения доступа пользователей к ресурсам комплекса средств автоматизации обработки информации.
Рис. 1. Структурная схема системы обеспечения безопасности информации в комплексе средств автоматизации ее обработки.
Спецификация к рисунку 1: СКДТО – система контроля доступа на территорию объекта; СКРДП – система контроля и разграничения доступа в помещения; СКЗ – система криптографической защиты; КПП – контрольно-пропускной пункт; СЗИ ПЭМИН – система защиты информации по каналам побочного электромагнитного излучения и наводок; СОС – система охранной сигнализации; СЗИН – средства защиты информации на ее носителях; СШД – средства шифрования данных; СУОИ – средства уничтожения остатков информации; САИН – средства аутентификации информации на носителях; СВПО – средства верификации программного обеспечения; СВАРК – средства вывода аппаратуры из рабочей конфигурации комплекса средств автоматизации; СЗР – средства защиты ресурсов; СОРДИ – система опознания и разграничения доступа к информации; СКВА – средства контроля вскрытия аппаратуры; ФЗ ПО – функциональные задачи программного обеспечения; ФЗ УЗИ – функциональные задачи управления защитой информации; АРМ СБ – автоматизированное рабочее место службы безопасности; ЖУРД – журнал учета и регистрации доступа к информации; ТСБИ – технические средства безопасности информации; НКП – носители кодов-паролей; СЗКП – средства защиты кодов паролей; АЗКП – аппаратура записи кодов паролей; АРДИ – аппаратура регистрации и документирования информации; УКВА – устройство контроля вскрытия аппаратуры; ЦСС - цепи сбора сигналов; СПДИ – средства повышения достоверности информации; СЗИ АС – система защиты информации от аварийных ситуаций; СФК – система функционального контроля; СКЦ ПО – средства контроля целостности программного обеспечения; СТР – специальные технические решения; СЗПП – средства защиты от переадресации памяти; СИФЗ – изоляция функциональных задач.
Средства защиты информации на носителях (СЗИН) включают средства шифрования данных (СШД), средства уничтожения остатков информации (СУОИ), средства аутентификации информации на носителях (САИН), средства верификации программного обеспечения (СВПО) и организационно-технические мероприятия. Система контроля вскрытия аппаратуры включает датчики вскрытия, установленные на контролируемой аппаратуре, цепи сбора сигналов (ЦСС) и устройство контроля вскрытия аппаратуры (УКВА).
Система опознания и разграничения доступа к информации содержит терминал службы безопасности информации (ТСБИ), функциональные задачи программного обеспечения (ФЗ ПО) комплекса средств автоматизации обработки информации, реализующие на программном уровне идентификацию и аутентификацию пользователей, а также разграничение их полномочий по доступу к информации и функциям управления. Кроме того, система опознания и разграничения доступа к информации может содержать физические ключи-пароли или специальные карточки пользователя, имеющие необходимые коды паролей и их преобразователи. В целях защиты кодов паролей от несанкционированного доступа для них также должны быть предусмотрены средства защиты (СЗКП).
Средства защиты от случайного несанкционированного доступа включают средства повышения достоверности информации (СПДИ) и средства защиты информации от аварийных ситуаций (СЗИ АС).
Средства повышения достоверности информации содержат систему функционального контроля (СФК), устройство защиты от ошибок в каналах связи (УЗО КС); средства контроля целостности программного обеспечения (СКЦ ПО) и специальные технические решения (СТР). Специальные технические решения закладываются на этапе проектирования системы. Они включают средства защиты от переадресации памяти (СЗПП), изоляции функциональных задач (СИФЗ) и другие технические решения, способствующие повышению достоверности обрабатываемой информации в современных информационных системах.
Средства управления защитой информации содержат автоматизированное рабочее место службы безопасности (АРМ СБ) информации, функциональные задачи программного обеспечения, специально разработанные для выполнения функций управления защитой на программном уровне, включая ведение журнала учета и регистрации доступа к информации, входных и выходных документов (ЖУРД), фактов несанкционированного доступа и т. д., и организационные мероприятия. Автоматизированное рабочее место службы безопасности включает терминал безопасности информации, входящий в систему опознания и разграничения доступа, устройство контроля вскрытия аппаратуры, аппаратуру записи кодов в физические ключи-пароли (АЗКП) или карточки пользователей, необходимое количество ключей-паролей (карточек) и аппаратуру регистрации и документирования информации (АРДИ). В дополнение к указанным средствам, выполненным на аппаратном и программном уровнях, в необходимых случаях применяются организационные меры, содержание которых будет изложено ниже в отдельном разделе.
В данном разделе учебного пособия, возможно было бы изложить темы «Системы охранной сигнализации на территории и в помещениях объекта с обеспечением безопасности информации», а также «Система контроля вскрытия аппаратуры (СКВА), но по данным темам достаточно много учебных пособий, с учетом специфики разделов, производителей аппаратной части и программного обеспечения. Авторы посчитали возможным пропустить данные темы.
Задачи и общие принципы построения системы опознания и разграничения доступа
Основная задача системы опознания и разграничения доступа — это перекрытие несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа" к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц - пользователей, обслуживающего персонала, просто пользователей.
Основной принцип построения системы состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий.
В указанных целях осуществляются идентификация и аутентификация пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полномочий.
Деление информации и функций ее обработки обычно производится по следующим признакам:
по степени важности;
по степени секретности;
по выполняемым функциям пользователей, устройств;
по наименованию документов;
по видам документов;
по видам данных;
по наименованию томов, файлов, массивов, записей;
по имени пользователя;
по функциям обработки информации:
чтению,
записи,
исполнению по областям оперативной и долговременной памяти;
по времени дня.
Выбор конкретных признаков деления и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения информационной системы.
Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, что доступ к информационному объекту осуществляется через единственный охраняемый проход. В функцию "охраны" входят опознание пользователя по коду предъявленного пароля и при положительном результате проверки допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т. д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в информационную систему должен вставляться пользователем в специальное гнездо в терминале. Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную, необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного терминала. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного терминала, т. е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером терминала, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с терминала ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терминал должно быть выдано сообщение. Для проверки последней операции полезно повторить одно из предыдущих обращений без пароля и убедиться по отрицательной реакции информационной системы, что обращение в обработку не принимается.
Типовой пример алгоритма контроля и управления разграничением доступа приведен на рис.1.
Разграничение полномочий пользователей
Для реализации указанной процедуры в защищенной области памяти информационной системы хранятся таблицы полномочий, которые содержат профили полномочий каждого пользователя, терминала, процедуры, процесса и т. д. Эти профили устанавливаются в системе с помощью специальной привилегированной программы, и их можно представить в виде матрицы установления полномочий.
Каждый элемент Аij в матрице установления полномочий определяет права доступа i-го пользователя к j-му элементу данных. Типичный пример такой матрицы табл. 1, где определенным терминалам пользователей разрешается доступ к определенным элементам данных. Здесь "01" означает право ЧИТАТЬ и "10" — право ЗАПИСАТЬ; "00" в i-й строке и j-м столбце означает, что терминалу из i-й строки запрещены все виды доступа к элементу данных, описанному в j-м столбце, и "11" означает, что с терминала можно как читать, так и записывать элемент данных.
Если дается разрешение на выполнение затребованного действия, это означает, что объект, осуществляющий запрос, имеет необходимые полномочия по отношению к этому элементу данных. Наличие же самого разрешения на доступ зависит от факторов, заложенных в программе разграничения доступа: прав пользователя на доступ, прав терминала на доступ, требуемого действия, самого элемента информации, значения элемента информации, или, например, времени дня, согласования или санкции руководства.
Дополнительно к правам ЧТЕНИЕ и ЗАПИСЬ существуют и другие общие типы прав:
ИСПОЛНЕНИЕ (исполнить процедуру, когда элементом информации является процедура);
УДАЛЕНИЕ (удалить элемент информации из информационной базы или данных);
ПРИСОЕДИНЕНИЕ (добавить что-либо к концу элемента информации без изменения его первоначального содержания).
Элементы матрицы установления полномочий в этом случае содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу информации. Однако если это требуется, элементы матрицы могут содержать и указатель на соответствующие процедуры. Эти процедуры исполняются при каждой попытке доступа с данного терминала к заданному элементу информации и могут ограничивать доступ к информации в зависимости от определенных условий.
Приведём несколько примеров:
1) решение о доступе зависит от предыстории. Пользователь А может записывать данные в файл F только в том случае, если он не читал файл G;
2) решение о доступе основывается на динамическом состоянии системы. Пользователь В может открыть файл H только в то время, когда информационная база или данных, в которой размещен файл, находится в открытом состоянии;
3) решение о доступе основывается на текущем содержании информации. Данному пользователю может быть не разрешено читать поле зарплаты, величина которой превышает 20 000 долларов;
Таблица 1. Матрица установления полномочий
Место расположения терминала |
Имя служащего |
Адрес служащего |
Регистрационный номер служащего |
Регистрационный номер в фонде социального обеспечения |
Квалификация служащего |
Данные об окладе |
Прогноз объема продаж |
Цены на закупки |
Отдел кадров |
11 |
11 |
11 |
10 |
11 |
11 |
00 |
00 |
Касса |
01 |
00 |
01 |
01 |
00 |
11 |
00 |
00 |
Отдел сбыта |
00 |
00 |
00 |
00 |
01 |
00 |
11 |
01 |
Отдел материально-технического снабжения |
00 |
00 |
00 |
00 |
00 |
00 |
00 |
11 |
Исследовательский отдел |
00 |
00 |
01 |
00 |
01 |
00 |
00 |
01 |
4) решение о доступе основывается на значении определенных внутрисистемных переменных. Доступ может быть осуществлен пользователями данной группы только в определенное время с 7 до 19 ч, исключая работу со специального терминала.
При необходимости эти процедуры можно сделать взаимодействующими.
Для входа в таблицу полномочий требуется специальная таблица паролей, которая должна содержать список пользователей, процессов, процедур и т. д., обладающих правом доступа к информации. Ниже приведен пример такой таблицы (табл. 2).
Таблица 2. Таблица кодов паролей
Учетный номер |
Имя пользователя, процесса, |
Принадлежность |
Код пароля |
Условный номер терминала |
001 |
Петров Иван Сидорович |
Отдел связи |
01324647 |
С 10 |
002 |
Сидорова Ангелина Даниловна |
Отдел кадров |
12345678 |
К 20 |
003 |
Петухова Мария Игоревна |
Бухгалтерия |
0321687 |
Б 30 |
004 |
Васильев Назар Никанорович |
Отдел информационных технологий |
5417218 |
И 33 |
Предложенные формы таблиц могут быть усовершенствованы или изменены в конкретной информационной системе.
В реальных ситуациях обработки данных число строк матрицы полномочий может быть весьма значительным, а число элементов данных чрезвычайно большим. Матрица установления полномочий обычно может быть сжата до приемлемых размеров путем использования некоторых или всех следующих методов:
|
|
|
|
Рис. 1. Алгоритм контроля и управления разграничением доступа
к информации: УНДЛ — условный номер должностного лица; КП — ключ-пароль; ТКП — таблица КП; АРМ СБ — АРМ службы безопасности
1) установление групп "виртуальных" пользователей, каждая из которых представляет собой группу пользователей ("клик") с идентичными полномочиями с точки зрения безопасности;
2) установление, групп "виртуальных" терминалов — в действительности распределение терминалов по классам;
3) группировка элементов данных в некоторое число категорий с точки зрения безопасности данных.
Разработаны средства управления доступом в системе управления реляционной базой данных и применяемых в информационных системах, позволяющие пользователю видеть только его собственный авторизованный разрез базы данных (рис. 2).
|
|
|
|
Рис. 2. Автоматическая модификация запроса
Эта схема не требует никакой сложной защиты со стороны операционной системы или аппаратных средств. Она естественным образом получается из модели реляционной базы данных и довольно просто позволяет принимать решения, зависимые и независимые от содержания данных.
Спецификации безопасности S(R), связанные с запросом R, вводятся в запрос в форме нового запроса N= R ^ S(R). Запрос N является тем запросом, с которым работает информационная система или база данных.
В качестве примера допустим, что сотрудник бухгалтерии С1 имеет право на доступ к данным о заработной плате всех служащих, кроме сотрудников бухгалтерии. Если он представит запрос: НАЙТИ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ ЗАПИСЕЙ С (ИМЯ = АНДРЕЙ), то запрос будет автоматически изменен на: НАЙТИ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ ЗАПИСЕЙ С (ИМЯ = АНДРЕЙ) И (ПОДРАЗДЕЛЕНИЕ ≠ БУХГАЛТЕРИЯ). В результате будут найдены только заработные платы Андреев, работающих во всех подразделениях, кроме бухгалтерии.
Таким образом, при создании системы опознания и разграничения доступа к информации в информационной системе решаются следующие задачи:
деление информации в соответствии с требованиями по разграничению доступа;
размещение элементов информации в разделенных областях оперативной и долговременной памяти в соответствии с заданным разграничением доступа;
разработка, разделение и распределение функциональных задач прикладного программного обеспечения в соответствии с заданным разграничением доступа;
разработка специальной привилегированной программы опознания и контроля доступа к информации ограниченного пользования.
Кроме перечисленных, в компьютер добавляются аппаратные и программные средства изоляции пользователей друг от друга и от операционной системы. Эти средства осуществляют эффективный контроль каждой выборки или посылки на хранение, которые пытается сделать компьютер. Для этой цели на аппаратном уровне используются специальные регистры границ памяти, замки памяти и ключи, сегментация, дескрипторы, "кольца" изоляции и другие методы. На программном уровне используются создание мониторов виртуальной машины, мандатные системы, системы со списками допуска к информации и т. п. методы.
Выбор метода изоляции определяется требованиями к уровню защиты информации и техническими возможностями проектируемой системы, связанными с обеспечением заданных вероятностно-временных характеристик. С позиций излагаемой в пособии концепции построения защиты следует отметить, что методы изоляции решают задачу защиты информации только от случайных воздействий.
Средства контроля и управления доступом
К системе опознания и разграничения доступа относятся: специальное программное обеспечение по управлению доступом, терминал службы безопасности информации (ТСБИ), с которого осуществляется централизованное управление доступом, комплект физических носителей кодов паролей — магнитных карт, пропусков, кредитных карточек и т. д., а также аппаратура записи кодов паролей (АЗКП) на эти носители. Необходимой составной частью системы опознания и разграничения доступом к информации должны быть также средства защиты кодов паролей (СЗКП). Учитывая накопленный опыт, рекомендуется действительные значения кодов паролей в информационной системе не хранить. В информационной системе хранятся только значения паролей, преобразованных с помощью криптографических методов. Подобный метод обеспечивает высокий уровень защиты кодов паролей и, следовательно, малую вероятность обхода защиты.
На эффективность работы системы опознания и разграничения доступом к информации влияют:
выбор параметров паролей;
метод защиты кодов паролей, хранимых в информационной системе;
метод запоминания и хранения кодов паролей для пользователя вне информационной системы;
организация контроля и управления доступом к информации и средствам ее обработки в информационной системе.
Выбор паролей (кодов паролей)
Объектом аутентификации может быть некоторый объем знаний человека. В случае ввода кода пароля пользователем вручную с клавиатуры терминала идентификатор физически неотделим от человека, но способности человека по запоминанию ограничены, и при увеличении объема информации он стремится записать ее на листке бумаги, который может быть легко утерян или похищен. При выборе пароля естественно возникает вопрос, каким должен быть его размер и стойкость к несанкционированному подбору? Какие существуют способы его применения?
Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для его отгадывания. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля или ожидаемого безопасного времени.
Ожидаемое безопасное время (Тб) — полупроизведение числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Представим это в виде формулы:
(1)
где t — время, требуемое на попытку введения пароля, равное E/R;
R — скорость передачи (символы/мин) в линии связи;
Е — число символов в передаваемом сообщении при попытке получить доступ (включая пароль и служебные символы);
S — длина пароля;
А — число символов в алфавите, из которых составляется пароль (т. е. 26, 36 и т. д.).
Например: при R = 600 симв./мин., Е = 6, S = 6 и А = 26 ожидаемое безопасное время:
Если после каждой неудачной попытки подбора автоматически предусматривается десятисекундная задержка, то безопасное время резко увеличивается.
Если в дополнение к R, Е, М и А примем, что Р — задаваемая вероятность того, что соответствующий пароль может быть раскрыт посторонним лицом, и М — период времени, в течение которого могут быть предприняты эти попытки (в месяцах при работе 24 час/день), то получим формулу Андерсона:
(2)
Если R, Е, М и А фиксированы, то каждое значение (длина пароля) будет давать различную вероятность Р правильного его отгадывания. Если мы хотим построить систему, где незаконный пользователь имел бы вероятность отгадывания правильного пароля не большую, чем Р, то нам следует выбрать такое S, которое удовлетворяло бы выражению (2).
Допустим, что мы хотим, используя стандартный английский алфавит, установить такой пароль, чтобы вероятность его отгадывания была не более 0,001 после трехмесячного систематического тестирования. Допустим, что скорость передачи по линии связи 600 символов/мин и что за одну попытку посылается 20 символов.
Используя соотношение (2), получаем:
Для S=6
S=7
Следовательно, при данных обстоятельствах нам следует выбирать
S = 7.
Нетрудно заметить, что в выражениях (1) и (2) величина S является показателем возведения в степень и, следовательно, оказывает большое влияние на безопасное время и вероятность раскрытия пароля. Так, если безопасное время для трехсимвольного пароля, выбранного из 26-символьного алфавита, составит три месяца, то для четырехсимвольного — 65 лет. Прогресс в создании быстрых и производительных компьютеров (которые могут использоваться не только для работы с информацией, но и для взлома паролей) сильно изменяет приведенные примерные расчеты.
Выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базы и быстродействия. В настоящее время широко применяются многосимвольные пароли, где S > 10. В связи с этим возникают вопросы: как и где его хранить и как связать его с аутентификацией личности пользователя? На эти вопросы отвечает комбинированная система паролей, в которой код пароля состоит из двух частей. Первая часть состоит из 3 - 4-х десятичных знаков, если код цифровой, и более 3 - 4-х, если код буквенный, которые легко могут быть запомнены человеком. Вторая часть содержит количество знаков, определяемое требованиями к защите и возможностями технической реализации системы, она помещается на физический носитель и определяет ключ-пароль, расчет длины кода которого ведется по указанной выше методике. В этом случае часть пароля будет недоступна для нарушителя.
При расчете длины кода пароля, однако, не следует забывать о том, что при увеличении длины пароля нельзя увеличивать периодичность его смены на новые значения более 1 года. Коды паролей необходимо менять обязательно, так как за большой период времени увеличивается вероятность их перехвата путем прямого хищения носителя, снятия его копии, принуждения человека. Выбор периодичности необходимо определять из конкретных условий работы системы, но не реже одного раза в год. Причем дата замены и периодичность должны носить случайный характер.
Некоторые изменения в схеме применения простого пароля создают большую степень безопасности. Например, при обращении пользователя к системе у него могут быть запрошены отдельные символы из пароля по выбору компьютером. В схеме однократного использования пароля пользователю выдается список из N паролей. Такие же пароли хранятся в компьютере (конечно, в зашифрованном виде). После использования 1-го по списку пароля в следующий раз должен быть применен 2-й пароль, так как 1-й пароль в памяти компьютера стирается и т. д. Этот способ весьма эффективен, но не всегда удобен. Он используется при относительно редких обращениях или передаче специальной информации.
Пароли однократного использования могут применяться также для проверки подлинности сообщения об окончании обслуживания пользователя или завершении его работы на компьютере. В этом случае уменьшается вероятность использования системы опытным нарушителем, который может послать пользователю ложное сообщение об отключении компьютера и продолжать с ней работу от его имени.
Схема применения паролей однократного использования имеет следующие недостатки:
пользователь должен помнить или иметь при себе весь список паролей и следить за текущим паролем;
в случае если встречается ошибка в процессе передачи, пользователь оказывается в затруднительном положении: он не знает, следует ли ему передать тот же самый пароль или послать следующий;
если пароли однократного использования передаются с терминалов, а сами пароли были получены из линейной последовательности псевдослучайных чисел Х1, Х2, ... , Хk, они могут быть перехвачены определенными ловушками.
В качестве пароля может быть использован набор ответов на т стандартных и n ориентированных на пользователя вопросов. Метод называется "запрос - ответ". Когда пользователь делает попытку включиться в работу, операционная система информационной системы случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение на доступ к информации. Вопросы при этом выбираются такие, чтобы ответы были легкозапоминаемы. Возможны варианты данного метода.
Защита кодов паролей от несанкционированного доступа
Средства разграничения и контроля доступа работают лишь тогда, когда действительные значения кода паролей недоступны посторонним лицам.
Во избежание компрометации кодов паролей их тоже необходимо защищать от несанкционированного доступа. Компрометация паролей может произойти при следующих обстоятельствах:
случайном высвечивании или распечатке паролей в присутствии посторонних лиц;
анализе остатков информации в запоминающих устройствах во время профилактики и ремонта технических средств комплекса средств автоматизации обработки информации;
отказах аппаратуры, приводящих к невозможности стирания секретной информации;
наличии возможности доступа к паролям со стороны технического обслуживающего персонала;
прямого хищения носителей кодов паролей;
аварийных ситуациях, приводящих к невозможности контроля доступа к информации и средствам ее обработки;
умышленном считывании паролей при доступе через сеть и использовании специального программного обеспечения.
В этой связи перечислим основные меры предосторожности, рекомендуемые для защиты кодов паролей:
1) пароли никогда не следует хранить в информационной системе в явном виде, они всегда должны быть зашифрованы;
2) пароли не следует печатать (отображать) в явном виде на терминале пользователя (за исключением терминала оператора службы безопасности информации, который должен находиться в изолированном помещении). В системах, где характеристики терминалов не позволяют это сделать, пароль печатается на маску, закрывающую его значение;
3) чем больший период времени используется один и тот же пароль, тем больше вероятность его раскрытия. Следовательно, его надо менять как можно чаще и по случайному закону;
4) система никогда не должна вырабатывать новый пароль в конце сеанса связи даже в зашифрованном виде, так как это позволит нарушителю легко им воспользоваться.
Для закрытия кодов паролей можно использовать методы необратимого шифрования или более сложный метод "необратимой беспорядочной сборки", когда пароли с помощью специального полинома преобразуются в зашифрованный пароль. В этом случае не существует никакой схемы для возвращения к оригиналу пароля. При вводе пароля система преобразует его по данному закону во время процесса регистрации и сверяет результат с преобразованным ранее паролем, хранящимся в системе. Примером такого преобразования может быть полиномиальное представление:
где р = 264 - 59;
n = 224 + 17,
n1 = 224 + 3,
аi — любое произвольное 19-разрядное число (i = 1, 2, 3, 4, 5),
х— пароль в явной форме,
f(х) — зашифрованный пароль.
Более детально выбор полиномов рассмотрен в специальной литературе
Однако при выборе данного метода следует защититься от возможного его обхода путем перебора значений пароля. В первую очередь обязателен контроль несовпадений, который состоит в том, что при количестве несовпадений, например, более трех, должен вырабатываться сигнал тревожной сигнализации и блокировки обращения с указанием времени и места события. В ответственных случаях рекомендуется также введение временной задержки на выдачу результата совпадения введенного и хранимого паролей для того, чтобы увеличить ожидаемое время раскрытия пароля. Расчет временной задержки приведен в подразделе 4.
Возможен и другой способ защиты паролей, использующих метод гаммирования (наложения) при наличии в компьютере (комплексе средств автоматизации обработки информации) по меньшей мере двух (не считая резервных) конструктивно разделенных областей памяти.
Если обозначить через X1, Х2 ... Хп коды паролей, подлежащие защите, а через К1, К2 ... Кп — соответствующие коды их закрытия, то, используя метод гаммирования, можно получить закрытые значения кодов паролей Y1, Y2,•••,Yn путем сложения чисел X и К по тоd 2
Значения К и Y хранятся в компьютере в разных областях памяти, а значения X не хранятся. При поступлении в компьютер кода пароля от пользователя производится сложение по mod 2 его значений с соответствующим кодом закрытия "К". Результат сложения проверяется на совпадение с хранимым значением Y. Смысл защиты заключается в раздельном хранении значений “K” и “Y” (так как ), доступ к которым должен быть открыт только программе опознания пользователей и программе ввода их значений. Последняя должна работать только на оператора службы безопасности, у которого должен быть свой пароль из числа тех же паролей, но со своим идентификатором. Значение его идентификатора можно также сделать переменным. При вводе новых паролей оператор службы безопасности выбирает случайные значения паролей и кодов их закрытия.
Любая система защиты паролей сохраняет свою силу лишь при обязательном наличии контроля службой безопасности доступа к программе защиты как со стороны штатных средств комплекса средств автоматизации обработки информации, так и посторонних. Защита от подбора пароля также необходима, как и в первом случае.
Для повышения степени защиты кодов паролей в компьютере можно применить на программном уровне метод генератора псевдослучайных чисел, позволяющий из одного числа получить группу чисел, которые можно использовать в качестве кодов закрытия.
При этом первое число, называемое главным паролем, может на время работы храниться в памяти терминала службы безопасности, а выбранные из него коды закрытия в оперативном запоминающем устройстве комплекса средств автоматизации обработки информационной системы. В случае ремонта оперативного запоминающего устройства значения паролей и кодов закрытия заменяются новыми. Данная мера необходима для исключения несанкционированного доступа к паролям на случай содержания значений "К" и "Y" в остатках информации в оперативном запоминающем устройстве. Поэтому съем оперативного запоминающего устройства должен производиться с разрешения службы безопасности.
Необходимо отметить, что благодаря прогрессу в электронной технике, разработке и удешевлении больших интегральных схем и реализации на них не только процессоров, но и контроллеров и микросхем памяти описанные операции сильно упрощаются.
Возможны и другие методы защиты кодов паролей. Выбор криптографического метода для конкретной системы должен быть обязательно проверен специалистами по криптографии.
Наиболее эффективной защитой пароля от несанкционированного перехвата считается разделение его на две части: одну — для запоминания пользователем, вторую — для хранения на специальном носителе. В этом случае при утере или хищении носителя пароля у пользователя будет время заявить об этом службе безопасности информации, а эта служба успеет изменить пароль.
Принципы построения носителей кодов паролей
В настоящее время существует много различных носителей кодов паролей. Такими носителями могут быть пропуска в контрольно-пропускных системах, кредитные карточки для идентификации личности или подлинников документов и т. п. Выбор того или иного носителя определяется требованиями к автоматизированной системе, ее назначению, режиму использования, степени защиты информации, количеству пользователей, стоимости и т. д. Рассмотрим некоторые из них, получившие наибольшее распространение.
Применяемые носители кодов паролей (НКП) можно разделить на контактные, бесконтактные и смешанного типа. Каждый вид носителя обладает своими достоинствами и недостатками. При частом применении контактных носителей кодов паролей (стыковке и расстыковке с ответной частью) предъявляются высокие требования к качеству контактной поверхности и механической прочности контактов. С увеличением числа контактов эти характеристики ухудшаются.
Еще недавно существенную роль в выборе конструкции носителей кодов паролей играл объем записываемой информации и физический процесс записи информации в носитель. Бесконтактные носители могут быть простыми, а аппаратура записи или применяемое для этой цели оборудование — относительно сложным и дорогим, объем записываемой информации небольшой. Простые носители часто не отвечают требованиям защиты от компрометации, которые в последнее время существенно возросли. Развитие технологии изготовления элементов памяти позволило получить перепрограммируемые полупроводниковые энергонезависимые запоминающие устройства с достаточно большим объемом памяти, что почти решило проблему создания носителей кодов паролей широкого применения с высокими показателями. Возможно применение и других типов носителей кодов паролей. В качестве носителей кодов паролей целесообразно применять более дешевые и унифицированные серийные аппаратные средства. При этом необходимо принимать во внимание не только стоимость самого носителя, но и стоимость аппаратуры записи информации на него, а также стоимость терминалов, для которых он предназначен, т. е. стоимость всего комплекса технических средств. При выборе типа носителя существенную роль также играет количество пользователей, режим работы, назначение и сроки эксплуатации информационной системы. Основная функция, которую носитель кодов паролей выполняет, — хранение кода пароля его предъявителя. В этом смысле содержание записанной в нем информации от владельца скрывать не стоит. Однако слишком очевидная и легко читаемая информация может быть доступна и для посторонних лиц. В ответственных системах может потребоваться защита кода пароля от компрометации. Большей стойкостью к компрометации обладают носители, требующие для считывания информации специальной аппаратуры. Логично утверждать, что стойкость носителя кодов паролей к компрометации тем выше, чем сложнее аппаратура считывания информации. Этим требованиям наиболее полно отвечает запоминающие устройства постоянной памяти. Процесс усложнения несанкционированного считывания информации далее идет по пути применения криптографических методов, когда на носители кодов паролей, кроме памяти, помещаются защитные схемы и преобразователи, не позволяющие считать информацию с носителя кодов паролей без дополнительных специальных, периодически заменяемых парольных процедур. При этом следует иметь в виду, что непосредственное шифрование только кода пароля его стойкость к компрометации не увеличит, так как по сути паролем становится результат преобразования, а он остается легкодоступным. Поэтому подделка и фальсификация носителя кодов паролей должны быть существенно затруднены.
С переходом на "электронные деньги" потребовалось создание носителей кодов паролей массового применения (кредитных карточек), надежных и удобных в обращении, с высокой достоверностью хранения и стойкостью к компрометации информации.
При выборе и создании носителей кодов паролей для проектируемой системы следует учитывать следующие требования:
количество пользователей;
характер и стоимость защищаемой информации;
необходимость в защите пароля от пользователя и стойкость к компрометации паролей;
возможность многократной записи информации;
объем записываемой в носитель информации;
стойкость к подделке и фальсификации носителя с паролем;
устойчивость к внешним воздействиям, механическим, климатическим,
магнитным полям, свету и др.;
время хранения записанной информации; скорость считывания информации;
периодичность повторной записи информации в носитель;
условия и способ хранения носителя у пользователя; взаимозаменяемость конструкции носителя; габариты и вес носителя;
конструкцию и принцип работы ответной части устройства считывания пароля с носителя;
согласование содержания и объема информации на носителе с идеологией применения кодов паролей в системе опознания и разграничения доступа;
надежность хранения информации и функционирования;
срок службы;
стоимость работ, связанных с изготовлением и эксплуатацией носителей.
Влияние перечисленных требований на выбор конструкции носителя кодов паролей и системы их применения выражается следующим образом. При большом количестве пользователей увеличивается вероятность потери, хищения, фальсификации носителя и компрометации кода пароля. Характер и высокая стоимость защищаемой информации могут быть привлекательными для нарушителя. Защита кода пароля от пользователя вряд ли целесообразна при невысоких стоимости и важности информации, так как пароль является его идентификатором, и носитель выполняет вспомогательную роль в запоминании пароля. Возможность многократной записи в носитель кодов паролей позволяет использовать одни и те же носители при замене кодов паролей, выполняемой в интересах сохранения уровня эффективности защиты информации в системе, что может потребовать наличия у владельца комплекса средств автоматизации обработки информации соответствующей аппаратуры записи. Использование носителей с готовой записью кодов, произведенной на заводе-изготовителе, требует соблюдения некоторых условий:
записи кодов паролей в виде случайных чисел;
изготовления носителей кодов паролей с разными значениями паролей в количестве, превышающем количество пользователей, и с учетом периодичности замены и выполнения требуемой стойкости к подбору паролей;
соблюдение при записи и поставке носителей кодов паролей режима секретности.
Однако, принимая во внимание один из принципов построения защиты (исходить из наихудших условий), следует считать, что записанные на заводе значения паролей независимо от грифа секретности будут храниться постоянно и, следовательно, могут быть известны нарушителю.
Случайный характер значений паролей в данном случае теряет свой смысл, а стойкость к подбору пароля с первой попытки будет равна
Р = 1/N, где N — количество записанных паролей. По этой причине запись паролей на заводе менее предпочтительна.
Объем записываемой в носитель информации определяется исходя из длины записываемого пароля и технических возможностей носителя по выбранной технологии записи информации. Ранее уже отмечалось, что чем длиннее пароль, тем выше его стойкость к подбору. Стойкость компрометации пароля и фальсификации носителя нужна только для особых систем, связанных с большим риском потери или искажения ценной информации, и должна быть такой, чтобы стоимость работ нарушителя по вскрытию пароля или фальсификации носителя кодов паролей превышала его материальную выгоду от несанкционированного доступа.
Другим критерием оценки стойкости к компрометации пароля и фальсификации носителя может быть сравнение ожидаемого времени, затрачиваемого потенциальным нарушителем на несанкционированный доступ, и времени действия данного пароля в информационной системе, т. е. периода его замены. Если первое превышает второе, стойкость обеспечена.
Время надежного хранения паролей в носителе кодов паролей должно быть не меньше периода замены паролей в информационной системе на новые, а скорость считывания информации с него должна удовлетворять требованиям быстродействия информационной системы, в которой применяется данный носитель кодов паролей. Периодичность повторной замены информации в носителе связана с его техническими возможностями по времени хранения информации. Условия и способ хранения носителя у пользователя связаны с назначением информационной системы, с габаритом и весом носителя, его конструкцией, которые должны быть минимальными, желательно в виде плоской карточки, помещающейся в кармане одежды пользователя. Взаимозаменяемость конструкции носителя необходима для обеспечения его работы на ответных частях всех терминалов данной информационной системы. Содержание и объем паролей и служебной части информации носителей кодов паролей должно строго соответствовать идеологии применения паролей в системе опознания и разграничения доступа, так как носители кодов паролей, если таковые применены, являются неотъемлемой ее частью, разработанной по единому техническому заданию.
Перечисленные требования говорят о том, что создание носителей кодов паролей — проблема комплексная. Решению об их создании должна предшествовать глубокая и всесторонняя оценка всех взаимосвязанных вопросов, в первую очередь характера и стоимости защищаемой информации, затрат на создание и применение носителей кодов паролей и аппаратуры записи для них.
Важную роль при применении носителей кодов паролей на практике играет вопрос синхронизации записи паролей на носители кодов паролей и ввод их значений в компьютер. При значительном количестве пользователей возникает необходимость в увеличении объемов этих работ. Однако не следует торопиться автоматизировать этот процесс путем совмещения ввода паролей в компьютер и записи их значений на носитель кодов паролей, так как это потребует разработки специальной аппаратуры, что может усложнить техническую задачу и увеличит расходы.
При сохранении раздельной записи большой объем работ действительно будет, но только при первоначальной загрузке информационной системы. Необходимая в процессе эксплуатации системы замена паролей может производиться в течение долгого времени по группам паролей без ущерба уровню безопасности. Для этого в таблице кодов паролей на переходный период (например в течение суток) могут храниться одновременно старое и новое значения пароля. После выдачи пользователю носителя кодов паролей с новым значением пароля старое значение стирается. При этом надо еще принять во внимание психологический аспект в работе службы безопасности, выполняющей эту работу. Напомним, что ее функции в основном контрольные и сводятся к наблюдению, т. е. пассивной роли, которая на практике притупляет бдительность и внимание. Живая и активная деятельность повышает эффективность работы исполнителей.
Для защиты носителей кодов паролей от потери можно снабдить его простым механическим креплением.
Все рассмотренные системы (и в особенности те из них, в которых кодовые карты снабжены магнитными элементами) не требуют точной установки кодовой карты вследствие относительно больших размеров обнаруживаемых элементов или относительно большой величины магнитного поля, благодаря чему проблема совмещения не является в этом случае очень критичной. В них не предусмотрено средство фиксации кодовой карты для ее точной установки, а также отсутствуют схемные средства обнаружения фальсифицированного кода или защиты от попыток привести устройство в действие с помощью примитивной намагниченной или ненамагниченной металлической пластинки.
Для решения подобных проблем существует масса конструкций и устройств, но их описание выходит за рамки данного учебного пособия.
Отметим, что все большее значение на рынке подобных средств находят смарт-карты (smart - интеллектуальная), которые сейчас широко применяются, в том числе и как карта доступа, идентификации и аутентификации.
Наиболее известные из них – карты банкоматов, кредитки и т.п.