Программы внутренней защиты 323
умышленником. С целью минимизации объема переданных по ложному адресу данных рекомендуется в процессе передачи периодически (через определенный интервал времени и после передачи определенного объема информации) проверить адрес корреспондента. Процедура проверки является обычной: адрес корреспондента, используемый для передачи, сравнивается с эталонным, хранящимся в безопасной зоне ОП. При несовпадении сравниваемых адресов передача данных блокируется и вырабатывается соответствующий системный сигнал.
Проверка обратного кода представляет собой процедуру защиты, осуществляемую в процессе передачи данных. Заключается она в том, что у корреспондента периодически запрашивается идентифицирующая информация, которая и называется обратным кодом. Эта информация сравнивается с эталонной, при несовпадении кодов передача блокируется. Проверкой обратного кода можно обнаружить факт изменения (перекоммутации) направления выдачи данных или умышленного несанкционированного использования приемного устройства зарегистрированного корреспондента.
Программы внутренней защиты
Этот класс программ осуществляет ЗИ непосредственно в элементах АС. Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС (технических средств, данных, программ) в строгом соответствии с полномочиями, предоставленными субъектам (пользователям) и объектам (терминалам, групповым устройствам, программам). Каждый из видов регулирования обычно осуществляется в следующей последовательности.
1.Установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам системы.
2.Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.
3.Принятие и реализация решений в соответствии с результатами проверки полномочий.
Наиболее важной из перечисленных процедур является первая, т.е. установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам АС. Поэтому разработке эффективных средств надежного опознания неизменно уделяется повышенное внимание.
Установление подлинности (аутентификация, идентификация, опознавание) како- го-либо объекта или субъекта заключается в подтверждении того, что обращавшийся субъект или предъявленный объект являются именно тем, который должен участвовать в данном процессе обработки информации. Основными субъектами, подлинность которых подлежит установлению во всех системах, где обрабатывается информация с ограниченным доступом, являются различные пользователи. В некоторых системах с повышенными требованиями к обеспечению безопасности предусматривается установление подлинности программистов, участвующих в разработке и эксплуатации программного обеспечения, администраторов банков данных и даже инженерно-технического персона-
324 Глава 17. Программные методы защиты
ла, привлеченного к техническому обслуживанию системы в процессе обработки защищаемой информации.
Сложность и объем операций по опознаванию могут существенно отличаться для каждого конкретного случая. Они определяются следующими основными факторами:
•структурным и организационным построением АС (размеры, сложность архитектуры, территориальное распределение, развитость терминальной сети, характер размещения оборудования и т.п.);
•характером функционирования (наличие дистанционного доступа, режим работы АС, объем и характер обмена информацией по автоматизированным каналам связи и т.д.);
•степенью секретности защищаемой информации и ее объемом.
Взависимости от сложности операций опознавания, специалисты выделяют три основные группы:
•простое;
•усложненное;
•особое опознавание.
По величине объема операций процедуры опознавания также разбивают на три группы:
•контрольное;
•расширенное;
•всеобщее опознавание.
Под контрольным опознаванием понимают опознавание удаленных терминалов в моменты включения их в работу и при обращении их к системе во время обработки защищаемой информации. При расширенном опознавании обычно производится опознавание программистов, удаленных корреспондентов, устройств группового управления вводом/выводом, элементов защищаемых баз данных и т.д. При всеобщем опознавании обеспечивается опознавание всех субъектов и объектов, имеющих отношение к обработке защищаемой информации.
Простое опознавание, как правило, сводится к сравнению кода (пароля), предъявляемого терминалом или пользователем, с эталонным кодом (паролем), хранящимся в ОП АС. При усложненном опознавании обычно используется дополнительная информация
— система разовых паролей, персональная информация пользователя и т.п. Усложненное опознавание осуществляется в режиме диалога: система формирует вопросы, на которые опознаваемый должен дать ответы. По содержанию ответов система принимает решение об опознавании. При особом распознавании используется такая совокупность опознавательных характеристик, при которой должно обеспечиваться надежное опознавание субъектов и объектов.
Существует также понятие прямого и обратного опознавания. При этом под прямым опознаванием понимают опознавание системой обращающихся к ней субъектов и используемых объектов, а под обратным — опознавание пользователем элементов системы, предоставляемых ему для обработки защищаемых данных.
Программы внутренней защиты 325
Простое опознавание пользователя
Наиболее распространенной и просто реализуемой процедурой является опознавание по коду или паролю. Под кодом (паролем) понимается некоторая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к системе. Коды (пароли) всех подлежащих опознаванию пользователей и устройств хранятся в ОП той АС,
вкоторой осуществляется процедура опознавания. Символы пароля (кода) выбираются случайно. Однако важнейшей характеристикой пароля является его длина, поскольку при малой длине можно осуществить перебор всех возможных значений и таким образом получить несанкционированный доступ к системе.
Существует реальная возможность перехвата пароля в процессе его передачи по линии связи. Для устранения такой опасности можно прибегнуть к шифрованию пароля (кода). Однако при этом возникают дополнительные трудности, связанные с выбором, распределением, хранением и использованием ключей, поскольку знание злоумышленником системы шифрования и используемых ключевых установок сводит на нет эффект шифрования.
При работе с паролями должна соблюдаться и такая мера предосторожности, как предупреждение их распечатки или вывода на экран дисплеев. При этом понимается, что должны быть приняты особо тщательные и эффективные меры защиты паролей и кодов
вОП АС.
Усложненная процедура опознавания
Для повышения эффективности опознавания по паролю (коду) могут использоваться различные усложненные процедуры: модификация системы простых паролей, использование метода “запрос — ответ” и применение метода перекрестного опознавания.
Наиболее распространенными методами модификации схемы простых паролей яв-
ляются случайная выборка символов пароля и одноразовое использование паролей. При использовании первого метода каждому пользователю (устройству) выделяется достаточно длинный пароль (код), причем каждый раз для опознания используется не весь пароль, а некоторая его часть, выбираемая случайным образом. В этом случае в процессе опознавания АС запрашивает у пользователя не весь пароль, а некоторые его символы, причем количество символов и их порядковые номера в пароле определяются АС с помощью датчика случайных чисел, чтобы при каждом опознавании они изменялись случайным образом.
При одноразовом использовании паролей каждому пользователю выделяется не один, а большее количество паролей, каждый из которых используется только один раз. Пароли могут выбираться последовательно по списку или по схеме случайной выборки. Этому методу присущи следующие недостатки:
•пользователь должен помнить все пароли и их последовательность (что при большом числе паролей весьма затруднительно) или иметь при себе их список (что чревато возможностью их утери или случайного подсматривания злоумышленником);
326 Глава 17. Программные методы защиты
•если пароль передан с ошибкой, пользователь будет, находится в трудном положении при выборе дальнейших действий: повторить ли прежний пароль или использовать следующий. Если при каждой ошибке использовать следующий пароль, то полный список паролей должен быть достаточно большим, а при повторном использовании одного и того же пароля нарушается принцип одноразовости, кроме того, пароль в такой ситуации может быть перехвачен злоумышленником;
•при большом числе пользователей для генерации списка паролей необходимо использовать генераторы случайных последовательностей, что в принципе позволяет злоумышленнику восстановить пароли с помощью статистического анализа.
При использовании метода “запрос — ответ” в памяти АС заблаговременно создается и особо защищается массив вопросов, включающий в себя вопросы общего характера, так и персональные вопросы, относящиеся к конкретному пользователю. Для опознавания пользователя АС последовательно ставит перед ним ряд случайно выбираемых вопросов, на которые пользователь должен дать ответ. Опознавание считается положительным, если в ответах пользователя число ошибок не превышает заданного порога.
Метод перекрестного опознавания заключается в том, что процедура опознавания повторяется периодически в процессе работы пользователя, причем моменты повторения процедуры выбираются случайно. При этом каждый раз могут использоваться различные методы опознавания.
Методы особого надежного опознавания
Особо надежное опознавание должно использоваться в случае обработки информации повышенной секретности, особенно в случае работы в режиме удаленного доступа. При этом используются сугубо индивидуальные характеристики человека: голос, отпечатки пальцев, сетчатка глаза, фотография, личная подпись и т.п.
Реализация методов опознавания по перечисленным характеристикам сопряжена с решением двух групп проблем: проблемы снятия индивидуальных характеристик человека в процессе опознавания и проблемы анализа и обработки полученных характеристик.
При опознавании пользователя по голосу в памяти АС заранее формируется эталон его голоса, для чего пользователь должен произнести перед микрофоном заданную совокупность фраз. В процессе опознавания АС сравнивает произносимые фразы с хранимыми эталонными и принимает решение об опознавании.
Надежность распознавания по голосу в идеальных условиях достаточно высока, однако на нее оказывают значительное влияние такие факторы, как изменение голоса при простуде и некоторых других заболеваниях (а возможно и просто от усталости), возможность имитации голоса злоумышленником. По этим причинам опознавание по голосу до последнего времени не получило широкого распространения.
Опознавание по отпечаткам пальцев и по сетчатке глаза, наиболее традиционный метод опознавания, основанный на общеизвестном факторе, что отпечатки и сетчатка являются строго индивидуальными характеристиками человека. При надлежащей обра-