книги / Основы информационной безопасности

Таблица 11.2 Классификационная структура каналов несанкционированного получения

информации

КНПИ 1-го класса – каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использованиезлоумышленникомвизуальных, оптическихиакустических средств. Данный канал может проявиться и в виде хищения носителей информации в момент их нахождения за пределами помещения, где расположена АС.

КНПИ 2-го класса – каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления, подключение к информационно-вычислитель- ной сети генераторов помех и регистрирующей аппаратуры. К этому же классу может быть отнесен осмотр отходов производства, попадающих за пределы контролируемой зоны.

391

КНПИ 3-го класса – каналы, проявляющиеся безотносительно

кобработке информации с доступом злоумышленника к элементам АС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.

КНПИ 4-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также пораженности программного обеспечения вредоносными закладками, маскировка под зарегистрированного пользователя.

КНПИ 5-го класса – каналы, проявляющиеся безотносительно

кобработке информации с доступом злоумышленника к элементам АС и с изменением последних. Среди этих каналов подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа «троянских коней», компьютерный червь и т. п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов.

КНПИ 6-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение

каппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.

Вопросы для самоконтроля к главе 11

1.Какие есть подходы к классификации угроз безопасности информации?

2.В чем заключается классификация НСД?

3.Раскройтеклассификационнуюструктуруканаловнесанкционированного получения информации.

4.Как классифицируются угрозы безопасности информации?

5.Что является источником угроз информации?

6.Какие бывают предпосылки угроз информации?

392

ГЛАВА 12

ЗАЩИТА ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

12.1. Методы идентификации и аутентификации пользователей

Реализация конкретных моделей защиты от несанкционированного доступадолжнаопиратьсянасоответствующиеадминистративные(процедурные) мероприятияитехническиесредства, направленныевпервую очередь на идентификацию и аутентификацию пользователей автоматизированной системы.

Идентификация пользователей АС заключается в установлении

изакреплении за каждым из них уникального идентификатора в виде номера, шифра, кодаит. п. Этосвязаностем, чтотрадиционныйидентификатор вида фамилия – имя – отчество не всегда может быть использован в конкретной АС. Для целей идентификации в различных автоматизированных системах широко, например, применяется так называемый персональный идентификационный номер (PIN – Personal Identification Number), социальный безопасный номер (SSN – Social Security Number),

личный номер, код безопасности и т. д. [42]. Такие идентификаторы используются при построении различных систем разграничения доступа

изащиты информации.

Аутентификациязаключаетсявпроверкеподлинностипользователя по предъявленному им идентификатору, например, при входе в систему. Такая проверка должна исключать фальсификацию пользователей в системе и их компрометацию. Без проверки подлинности теряется смысл в самой идентификации пользователей и применении средств разграничения доступа, построенных на базе личных идентификаторов. Отсутствие надежных средств проверки подлинности пользователей может существенно затруднить реализацию принципа персональной ответственности, о котором говорилось выше.

Проверка подлинности (аутентификация) может проводиться различными методами и средствами. В настоящее время в автоматизированных системах используются три основных способа аутентификации по следующим признакам:

393

–паролю или личному идентифицирующему номеру (пользователь «знает»);

–некоторомупредмету, которыйестьупользователя(пользователь «имеет»);

–каким-либо физиологическим признакам, свойственным конкретным лицам (пользователь «есть»).

Первый способ реализуют программные средства аутентификации, применяемые в большинстве операционных систем, систем управления базамиданных, мониторовтелеобработки, сетевыхпакетов. Сутьэтогоспособа заключается в том, что каждому зарегистрированному пользователю выдаетсяперсональныйпароль, которыйондолжендержатьвтайнеивводить в автоматизированную систему при каждом обращении к ней. Специальная программасравниваетвведенныйпарольсэталоном, хранящимсявпамяти, иприсовпадениипаролейзапроспользователяпринимаетсякисполнению.

Простота данного способа очевидна, но очевидны также и его явные недостатки: пароль может быть подобран перебором возможных комбинаций, а искусный злоумышленник может проникнуть в ту область памяти, где хранятся эталонные пароли. Например, в операционной системе (ОС) RSX-11 M, применявшейся в свое время в банковской сфере, в стандартной конфигурации отсутствовали средства шифрования паролей в файле счетов пользователей. В процессе загрузки этой ОС можно было легко просмотреть пароли всех пользователей. Более безопасные системы осуществляют хранение списков паролей в зашифрованном виде. В то же время перехват даже зашифрованного пароля, например в сети типа DECnet, позволяет при его использовании получить несанкционированный доступ к удаленной ЭВМ.

К мерам повышения безопасности парольных систем аутентификации помимо упомянутого хранения списков паролей в зашифрованном виде может быть отнесено сокращение сроков действия паролей вплоть до применения паролей однократного использования. В последнее время для целей аутентификации широко используется так называемый метод «запрос-ответ», который позволяет не только аутентифицировать пользователя, но и дает возможность пользователю осуществлять аутентификацию системы, с которой он работает. Это имеет принципиальное значение при работе в сети, так как использование подставной ЭВМ, ОС или программы является одним из путей несанкционированного полу-

394

чения сообщений или паролей законных пользователей. Следует отметить, что необходимость такой взаимной аутентификации подтверждена международным стандартом по взаимодействию открытых систем.

Разновидностью первого способа аутентификации является и так называемое опознавание в диалоговом режиме, осуществляемое по следующей схеме. В файлах механизмов защиты заблаговременно создаются записи, содержащие персонифицирующие пользователя данные (дата рождения, рост, вес, имена и даты рождения родных и близких и т. п.) или достаточно большой и упорядоченный набор паролей. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи, которые сравниваются с хранящимися в файле. По результатам сравнения принимается решение о допуске. Для повышения надежности опознавания запрашиваемые у пользователя данные могут выбираться каждый раз разные.

В качестве предмета, имеющегося у пользователя (второй способ аутентификации), применяются так называемые карты идентификации (КИ), на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т. п. Эти данные заносятся на карточку в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку он может быть известен только пользователю, вводится им каждый раз при обращении к системе и уничтожается сразу же после использования.

Информация, находящаяся на карте, может быть записана и считана различными способами или комбинацией нескольких способов. Например, КИ помещается в считывающее устройство, источник света освещает микрокристаллическую точечную матрицу, установленную на карте. Поскольку только неполяризованные элементы матрицы будут прозрачны для света, то будет прочитан соответствующий код, содержащий информацию о конкретном пользователе.

Еще одним типом КИ является информационная карточка с нанесенными на ее поверхность особым способом с применением фосфора несколькими рядами знаков, букв и т.п. Считывающее устройство в этом случае представляет собой два электрода, один из которых прозрачен. Карточка помещается между электродами, и при подаче на них напряжения электроны, возбуждаемые между изолирующим слоем (основой кар-

395

точки) и слоем фосфора, вызывают свечение последнего. Таким образом, информационные знаки могут быть считаны только специальным способом, исключающим визуальное распознавание информации.

Другим типом КИ является электронная идентифицирующая карта, построенная на интегральной микросхеме. У этой карты на короткой стороне печатной платы располагаются катушки индуктивности, через которые передается электропитание на плату и осуществляется обмен кодированной информацией с опознающим устройством. Интегральная схема содержит арифметический блок, а также постоянное и оперативное запоминающие устройства.

На поверхность карты может также наноситься покрытие, позволяющее видеть изображение или текст только в инфракрасном или ультрафиолетовом диапазоне. Над текстом или изображением можно разместить жидкокристаллическую матрицу, прозрачную только при определенной ориентации кристаллов.

Наибольшее распространение среди устройств аутентификации по типу «пользователь имеет» получили индивидуальные магнитные карты. Популярность таких устройств объясняется универсальностью их применения (не только в автоматизированных системах), относительно низкой стоимостью и высокой точностью, они легко комплексируются с терминалом и персональной ЭВМ. Поскольку считыватели этих устройствидентифицируютнеличность, амагнитнуюкарту, тооникомплектуются специальной, часто цифровой, клавиатурой для ввода владельцем карты своего шифра, пароля. Для защиты карт от несанкционированного считывания и подделки, как и в предыдущих случаях, применяются специальные физические и криптографические методы.

В качестве разновидностей КИ можно рассматривать специально помеченные дискеты, предназначенные для аутентификации законного владельца программного пакета. Обычно поверхность такой дискеты искусственно повреждается при помощи лазера или тонкой иглы. Иногда применяют нестандартное форматирование отдельных треков или всей дискеты, а также специальную нумерацию секторов.

Дляопознавания компонентов обработки данных, тоесть ЭВМ, ОС, программ функциональной обработки, массивов данных (такое опознавание особенно актуально при работе в сети ЭВМ) используются специальные аппаратные блоки-приставки, представляющие собой устройст-

396

ва, генерирующие индивидуальные сигналы. В целях предупреждения перехватаэтихсигналовипоследующегоихзлоумышленногоиспользования они могут передаваться в зашифрованном виде, причем периодически может меняться не только ключ шифрования, но и используемый способ (алгоритм) криптографического преобразования.

Все возрастающее значение в последнее время начинают приобретать системы опознавания пользователей по физиологическим признакам. Только при таком подходе действительно устанавливается, что пользователь, претендующий на доступ к терминалу, именно тот, за кого себя выдает. Прииспользовании данногокласса средств аутентификации возникает проблема «социальной приемлемости»: процедура аутентификации не должна унижать человеческое достоинство, создавать дискомфорт, просто быть слишком хлопотной и занимать много времени.

Существует достаточно физиологических признаков, однозначно указывающих на конкретного человека. К ним относятся: отпечатки ног и рук, зубы, ферменты, динамика дыхания, черты лица и т. д. Для аутентификации терминальных пользователей автоматизированных систем наиболее приемлемыми считаются отпечатки пальцев, геометрия руки, голос, личная подпись.

Аутентификация по отпечаткам пальцев. Установление личности поотпечаткампальцев– старыйипроверенныйприем. Внастоящеевремя существует два возможных способа использования этого приема для аутентификации терминального пользователя:

–непосредственное сравнение изображений отпечатков пальцев, полученных с помощью оптических устройств, с отпечатками из архива;

–сравнение характерных деталей отпечатка в цифровом виде, которые получают в процессе сканирования изображений от-

печатка.

На сегодняшний день разработаны специальные чувствительные материалы, обеспечивающие получение отпечатков без использования краски, основанныенаспособностивеществизменятьсвоиотражательныехарактеристикивзависимостиоттемпературыприкладываемыхпредметов.

При непосредственном сравнении изображений отпечатков устройство аутентификации определяет оптическое соотношение двух изображений и вырабатывает сигнал, определяющий степень совпадения от-

397

печатков. Сравнение отпечатков обычно выполняется непосредственно на месте установки устройства. Передача изображения отпечатка по каналам связи не применяется из-за ее сложности, высокой стоимости и необходимости дополнительной защиты этих каналов.

Большое распространение получил способ, построенный на сравнении деталей отпечатков (метод соотнесения бороздок на отпечатках). При этом пользователь вводит с клавиатуры идентифицирующую информацию, по которой устройство аутентификации проводит поискнеобходимогоспискадеталейотпечаткавархиве. Послеэтогоонпомещает палец на оптическое окошко устройства, и начинается процесс сканирования, в результате которого вычисляются координаты 12 точек, определяющих относительное расположение бороздок отпечатка. Объем информации при этом составляет около 100 байт на отпечаток. Сравнение производится в ЭВМ по специальным алгоритмам. Недостатком данного способа, однако, является то, что практически невозможно обеспечить точную центровку и стабильную пластичность пальца, поэтому невозможно получить и точное положение бороздок, вследствие чего оценка соответствия имеет вероятностный характер.

Однимизпримеровустройствааутентификациипоотпечаткампальцев можетслужитьамериканскаясистемаFingerscan [10]. Этасистемасостоит изцентральногоустройствауправленияиустройствдляснятияотпечатков пальцев. Компания Fingermatrix Inc. поконтракту сминистерством обороны США разработала другое устройство аутентификации пользователей по отпечаткам пальцев Ridge Reader (устройство считывания рельефа). Пользователь вводит свой идентифицирующий номер, помещает палец в специальную щель, и устройство производит оптическое сканирование кожи. В состав устройства входит лазерная оптическая сиcтема, аппаратура обработки сигналов и микропроцессор с программами построения «образа» отпечатка пальца. Рельеф кожи считывается устройством почти безошибочно. Для занесения эталона отпечатка одного пальца требуется от 3 до 5 мин, требуемый объем памяти 256 байт.

Аутентификация по форме кисти руки. Принцип действия таких устройстваутентификацииоснованнатом, чтонарукуиспытуемомунаправляют яркий свет и анализируют освещенность чувствительных элементов, которая зависит от длины пальцев, закругленности их кончиков и прозрачности кожи. Выходная информация от каждого фоторезистора

398

преобразуется в цифровой код. Идентифицирующая информация может храниться централизованно в главной ЭВМ. Преимуществом подобных систем является большое число анализируемых параметров, что уменьшает вероятность ошибки.

Аутентификация с помощью автоматического анализа подписи.

Известно, что почерк каждого человека строго индивидуален, еще более индивидуальна его подпись. Она становится чрезвычайно стилизованной и со временем приобретает характер условного рефлекса. В настоящее время существует два принципиально разных способа анализа подписи: визуальное сканирование и исследование динамических характеристик движения руки при выполнении подписи (ускорения, скорости, давления, длительности пауз). Считается, что второй способ предпочтительней, так как очевидно, что две подписи одного и того же человека немогутбытьабсолютноидентичными. Сдругойстороны, обладаяоригиналом подписи, можно научиться повторять ее практически точно.

При втором способе аутентификации предполагается применение специальных измерительных авторучек с датчиками, чувствительными к указанным выше динамическим характеристикам движения. Эти параметры уникальны для каждого человека, их невозможно подделать. В авторучку встроен двумерный датчик ускорения, позволяющий измерять характеристики на плоскости, а также датчик давления, фиксирующий параметры вертикальной силы. Существует два способа сравнения результатов измерений. Первый основан на сравнении амплитуд ускорения каждые 5–10 мс. Требуемая память в этом случае – 2 кбайт. Второй способ основан на вычислении средних величин полного времени написания, промежутков «молчания», скорости и ускорения по осям X и Y и средней силы по оси Z. Требуемая память для хранения одного эталонного вектора в этом случае составляет 200 байт. Специалисты считают, что система установления подлинности подписи при меньшей стоимости и большей социальной приемлемости не уступает по надежности устройствам, сверяющим отпечатки пальцев.

Аутентификация по характеру голоса. По мнению ряда специали-

стов, наиболее надежными средствами аутентификации пользователей являются средства верификации по голосам. Это направление очень перспективно потому, что для аутентификации могут быть использованы телефонные каналы связи, а алгоритм опознавания может быть реа-

399

лизован в центральной ЭВМ. Можно выделить три основных направления реализации данного способа аутентификации:

– анализ кратковременных сегментов речи (длительностью до 20 мс) – выбирается серия коротких фрагментов, обрабатывается, составляется статистический образ, который и сравнивается с эталоном;

–контурныйанализречи– изфрагментаречивыделяетсянесколько характеристик, например высота тона, для них определяется характеристическая функция, которая сравнивается с эталонной;

–статистическая оценка голоса – речь должна звучать достаточно долго (около 12 с), на протяжении всего этого периода собирается информация о нескольких параметрах голоса, на основе которой создается цифровой образ и сравнивается с эталоном.

В качестве примера практической реализации последнего подхода можно привести устройство, разработанное фирмой Philips, включающее 43-канальный фильтр с полосой пропускания 100–6200 Гц, что практически покрывает весь диапазон частот человеческого голоса. Каждый канал опрашивается один раз в 18 мс. В результате определяются амплитудно-частотные характеристики всех каналов и сравниваются с эталоном. Слова, которые произносит пользователь, выбираются по принципу наибольшего разнообразия звуков и предварительно выводятся на экран дисплея в случайной последовательности, что исключает подделки, в том числе использование магнитофонной записи.

Основными характеристиками устройств аутентификации являются:

–частота ошибочного отрицания законного пользователя;

–частота ошибочного признания постороннего;

–среднее время наработки на отказ;

–число обслуживаемых пользователей;

–стоимость;

–объем информации, циркулирующей между считывающим устройством и блоком сравнения;

–приемлемость со стороны пользователей.

Исследования и испытания устройств аутентификации различных типовпоказали, чточастотаошибочногоотрицаниянесколькопревышает частоту ошибочного признания и составляет величину, как правило не превышающую 1–2 %. Так, отечественное устройство аутентифика-

400