Программы внутренней защиты 327
ботке отпечатков и сетчатки надежность опознавания может быть весьма высокой. Схема процедуры опознавания для этого случая понятна и общеизвестна. Основную трудность при решении этой задачи составляет преобразование рисунков отпечатков пальцев
исетчатки глаза в цифровую форму для последующей их обработки на ЭВМ. Разработка
иреализация программного обеспечения для решения этой задачи не представляет особых трудностей.
Опознавание по длине пальцев основывается на менее очевидном и менее известном факте — длина пальцев, и соотношение длин отдельных пальцев также являются индивидуальными характеристиками человека. Измерение длины четырех пальцев (без большого) позволяет опознать человека с вероятностью не ниже 95%. В то же время устройство для измерения длины пальцев является настолько простым, что им можно оборудовать даже небольшие терминалы пользователей.
Опознавание по фотографии связано с наличием в строении лица устойчивых индивидуальных характеристик, совокупность которых не может быть имитирована даже при искусном гримировании. В эту совокупность входят: строение и расположение ушей, геометрические соотношения черт лица, снятого в анфас и в профиль, геометрические параметры положения глаз и т.п.
Аналогично приведенным выше методом может производится опознание по личной подписи, причем в системах такого типа используются не только геометрические характеристики подписи, но и динамические характеристики процесса ее написания. Эти параметры также образуют совокупность характеристик, позволяющих достаточно надежно произвести опознавание пользователя.
Следует отметить, что высокую надежность опознавания может обеспечить только комбинированная система, использующая несколько различных методов, хотя она и будет достаточно сложной и дорогой.
Методы опознавания АС и ее элементов пользователем
Такое опознавание необходимо для того, чтобы пользователь мог убедиться в том, что предоставляемые ему ресурсы есть именно те, которые предназначены для работы с ним, а не являются ложными, фальсифицированными злоумышленником для получения секретных данных, в том числе и паролей.
Опознавание пользователем системы и ее отдельных элементов также можно осуществить с помощью паролей, только в этом случае сама система будет предъявлять свой код (пароль) пользователю. Совершенно очевидно, что пользователь должен знать такой пароль заранее. Такой метод опознавания при большом числе пользователей не может быть надежным.
Наиболее эффективным методом решения рассматриваемой задачи в настоящее время считается реализация так называемой “схемы рукопожатия”. При ее реализации заранее выбирается не очень сложное, но далеко не тривиальное преобразование А(х, кt), где х — аргумент, а кt — ключ, зависящий от текущего времени. Это преобразование должно содержаться в секрете, но быть известным пользователю, и системе. Пользователь вместе с запросом на работу посылает выбранное им значение аргумента х (напри-
328 Глава 17. Программные методы защиты
мер, свое имя). Система вычисляет Ас (х, кt) и посылает это значение пользователю. Пользователь вычисляет Ап (х, кt). Если Ас = Ап, опознавание считается положительным (“рукопожатие состоялось”).
Такая схема опознавания может быть достаточно эффективной даже при большом числе пользователей, поскольку для каждого пользователя нетрудно подобрать отдельное преобразование. Особенно просто реализуется режим “рукопожатия” при наличии шифровальной аппаратуры, сопрягаемой как с терминалом, так и с АС. Тогда в качестве преобразования А(х, кt) может использоваться криптографическое преобразование, реализуемое в имеющейся криптографической системе.
Проблемы регулирования использования ресурсов
Регулирование использования технических средств обычно осуществляется по таким параметрам, как общее право на доступ, время доступа и выполняемая функция.
Регулирование по общему праву на доступ заключается в том, что для каждого тех-
нического устройства с ограничениями на доступ составляется список субъектов и объектов, имеющих право доступа к нему. Тогда регулирование будет заключаться в разрешении доступа в том случае, когда обращающийся субъект или объект содержится в списке имеющих право доступа, и запрещения доступа в противном случае.
Регулирование доступа по времени состоит в том, что для всех субъектов или объектов может быть установлено не общее право доступа, а право доступа в определенное время (дни недели, число, часы). Аналогично, регулирование доступа по выполняемым функциям состоит в разрешении субъекту или объекту выполнять лишь строго определенные функции. На практике могут использоваться и комбинированные системы регулирования доступом.
Регулирование доступа к базам (массивам) данных получило широкое распростране-
ние при ЗИ в АС. Заметим, что данный вид регулирования доступа является одним из основных, который предусматривается в любой системе защиты.
В качестве элементарной (наименьшей) защищаемой единицы информации чаще всего принимается файл, что обусловлено двумя обстоятельствами: во-первых, именно файл чаще всего выступает единицей информационного обмена, и, во-вторых, на уровне файла проще всего решаются задачи регулирования доступа.
Все защищаемые файлы по признаку принадлежности обычно делят на общие, групповые и личные. К общим относятся файлы сервисных программ: операционные системы, библиотеки общего пользования и т.п. К общим файлам разрешается доступ всем пользователям, зарегистрированным в данной АС. Групповыми обычно являются файлы данных справочного характера (относящиеся к определенной сфере деятельности или принадлежащих какой-либо организации), библиотеки программ группового пользования и иные подобные файлы. Доступ к групповым файлам разрешается некоторой заранее определенной группе пользователей. Личные файлы принадлежат одному пользователю, который их создает и имеет право доступа к ним. Другим лицам доступ может быть предоставлен только по разрешению владельца файла.
Программы внутренней защиты 329
Информации, организованной в файлы и подлежащей защите, присваивается соответствующий гриф секретности. Порядок присвоения грифа секретности регламентируется законодательными актами.
К настоящему времени разработано несколько способов разграничения доступа:
•разграничение по спискам;
•матричное разграничение;
•разграничение по уровням (кольцам) секретности;
•страничная организация памяти;
•мандатная система доступа.
Разграничение по спискам осуществляется в том случае, если права пользователей на
доступ заданы в виде списков. При этом либо для каждого элемента базы задан список пользователей, имеющих право доступа к нему, либо для каждого пользователя задан перечень тех элементов базы, к которым ему разрешен доступ. В любом случае процедура разграничения реализуется в следующей последовательности.
1.По данным, содержащимся в запросе, выбирается соответствующая строка списка: перечень пользователей, допущенных к запрашиваемому элементу или перечень элементов баз данных, к которым допущен обратившийся с запросом пользователь.
2.В выбранной строке проверяется наличие имени пользователя, обратившегося с запросом, или имени элемента базы данных, к которому обращается пользователь.
3.По данным проверки принимается решение о допуске к запрашиваемым данным. Кроме того, могут предусматриваться санкции за попытку несанкционированного доступа, причем в качестве санкций могут быть приняты следующие меры: предупреждение пользователя о том, что им допущены несанкционированные действия; отключение пользователя от системы полностью или на некоторое время; подача сигнала контрольным органам о попытке несанкционированных действий.
Матричное разграничение является более гибким по сравнению с разграничением по спискам, поскольку оно позволяет не только регулировать доступ к данным, но и характер выполняемых процедур (чтение, запись, реконструирование данных и т.д.). Обеспечивается это тем, что права пользователей задаются в виде матрицы, по строкам которой представлен список пользователей, а по столбцам — перечень имен элементов базы данных. Элементами матрицы являются коды, каждый из которых содержит информацию о полномочиях соответствующих пользователей относительно соответствующих элементов базы данных. Множество возможных прав определяется разрядностью кода.
Недостатками метода разграничения по матрице полномочий считаются два следующих обстоятельства: для больших систем с большим объемом защищаемых данных матрицы полномочий оказываются громоздкими, динамическое ведение матриц в процессе функционирования системы является достаточно сложной процедурой.
Разграничение доступа по уровням (кольцам) секретности заключается в том, что базы (массивы) защищаемых данных делятся на части в соответствии с уровнями их секретности. Полномочия каждого пользователя задаются максимальным уровнем сек-
330 Глава 17. Программные методы защиты
ретности данных, доступ к которым ему разрешен. В соответствии с этим пользователю разрешается доступ ко всем данным, уровень секретности которых не выше уровня его полномочий. Нетрудно заметить, что такое разграничение является наименее гибким из всех рассмотренных.
Страничная организация памяти заключается в разделении объема ОП АС на блоки
(страницы) фиксированного размера. При этом средствами операционной системы организуется управление использованием страниц программами пользователя. Любая попытка несанкционированного вхождения в поле страницы будет вызывать прерывание.
Мандатная система доступа или доступ по пропускам заключается в том, что поль-
зователю выдается мандат (пропуск) на доступ к соответствующим массивам данных или сегментам памяти. При каждом обращении осуществляется проверка наличия мандата. Сама процедура разграничения является достаточно простой: предъявляемый мандат сравнивается с эталонным и по результатам сравнения принимается решение о допуске. Однако при этом возникают те же трудность, что и при работе с паролями — возможны перехват, разгадывание мандатов и т.п.
Основным средством разграничения доступа в больших банках данных является программный механизм замков управления доступом. Этот механизм позволяет объявить любой элемент базы закрытым и присвоить ему персональный замок. После этого доступ к данному элементу базы будет разрешен только в том случае, если в запросе будет представлен ключ именно к этому замку. Используемый язык описания данных позволяет закрыть замком любую структуру на всех иерархических уровнях. Сам замок может быть задан в виде постоянного кода, значениями переменной или результатом некоторой процедуры. Если замок задан константой или значением переменной, то для доступа к данным необходимо простое совпадение замка и предъявленного ключа. Если же замок задан процедурой, то доступ к данным будет разрешен только в случае получения вполне определенного результата процедуры.
Разграничение доступа с помощью механизма замков управления доступом считается весьма эффективным методом защиты данных. Однако одной этой защиты недостаточно. В современных автоматизированных банках данных, ориентированных на коллективное использование и долговременное хранение информации, механизм защиты должен быть развитым и многофункциональным. Такой механизм должен обладать следующими характеристиками.
1.Иметь средства опознавания терминалов и пользователей, причем система опознавания должна быть развитой и надежной.
2.Обеспечивать защиту по различным аспектам и на различных уровнях:
•по компонентам банка данных, к которым относят компоненты структур данных, компоненты структур памяти, служебные данные, и т.д.;
•по операциям разграничения доступа и выполнения программ и процедур, разграничения возможностей перемещения данных в оперативной памяти, контроля санкционированности реорганизации баз и т.п.;