- •Раздел 1. Общие вопросы обеспечения информационной безопасности
- •1.2. Понятие защищенной операционной системы
- •1.3.Типовая архитектура подсистемы защиты операционной системы Основные функции подсистемы защиты операционной системы
- •Сравнительный анализ приведенных моделей разграничения доступа
- •1.4. Идентификация,аутентификация и авторизация субъектов доступа
- •Идентификацияи аутентификация с помощью имени и пароля
- •Идентификация и аутентификация с помощью внешних носителей ключевой информации
- •Идентификация и аутентификация с помощью биометрических характеристик пользователей
- •Требования к аудиту
- •Интерактивное оповещение аудиторов
Идентификация и аутентификация с помощью биометрических характеристик пользователей
Каждый человек обладает своим неповторимым набором биометрических характеристик, к которым относятся отпечатки пальцев, рисунок сетчатки, рукописный и клавиатурный почерк и т.д. Эти характеристики могут быть использованы для аутентификации пользователя.
Если аутентификация пользователя осуществляется на основе биометрических характеристик, угрозы кражи и подбора ключевой информации перестают быть актуальными -подделать биометрические характеристики человека, как правило, настолько дорого, что затраты злоумышленника на проникновение в защищенную операционную систему превысят выгоды от такого проникновения. Таким образом, механизм аутентификации пользователя на основе биометрических характеристик создает практически непреодолимую защиту на этапе аутентификации.
С другой стороны, практическая реализация данного механизма аутентификации неизбежно создает следующие проблемы:
-поскольку псевдопользователи не являются людьми и, следовательно, не имеют биометрических характеристик, для их аутентификации должен поддерживаться альтернативный механизм. При этом операционная система должна гарантировать, что этот альтернативный механизм не будет использоваться для аутентификации обычных пользователей.
-при двух последовательных входах в систему одного и того же человека его биометрические характеристики никогда в точности не совпадают. Поэтому в процессе аутентификации приходится использовать математический аппарат теории распознавания образов, при этом необходимо мириться с неизбежностью ошибок как первого рода (успешный вход от чужого имени), так и второго рода (отказ в доступе легальному пользователю).
-большинство биометрических характеристик человека постепенно меняются со временем, что заставляет регулярно корректировать эталонный образ аутентифицирующей информации.
-биометрические характеристики человека могут испытывать резкие кратковременные изменения. Например, если пользователь оцарапал палец, система аутентификации, основанная на отпечатках пальцев, не сможет его аутентифицировать до тех пор, пока царапина не заживет.
-аутентификация пользователя на основе биометрических характеристик требует применения дорогостоящей аппаратуры для получения образа используемой характеристики и сложных вычислительных алгоритмов для сравнения этого образа с эталонным, что приводит к большим финансовым затратам на создание системы аутентификации и затратам вычислительных ресурсов компьютера на ее поддержание.
В подавляющем большинстве случаев вышеперечисленные недостатки делают схему аутентификации, основанную на биометрических характеристиках, неприемлемой для практического использования. Однако в отдельных случаях биометрические характеристики могут эффективно применяться для аутентификации.
Наиболее пригодной для аутентификации биометрической характеристикой пользователя, видимо, является рукописный почерк. При использовании рукописного почерка для аутентификации пользователь, входя в систему, должен поставить на специальном сенсорном планшете свою личную подпись. Помимо рисунка подписи сенсорный планшет фиксирует скорость движения и силу нажатия пера. Далее четырехмерный (ширина, высота, скорость движения и сила нажатия пера) образ подписи пользователя сравнивается с эталонным образом, заранее созданным на основе 10 - 30различных экземпляров той же подписи. При сравнении оценивается степень сходства образов. Если различия незначительны, пользователь успешно входит в систему. Если различия очень велики, пользователь получает отказ. Если различия заметны, но не очень велики, пользователь входит в систему, при этом корректируется эталонный образ подписи пользователя. Таким образом, плавные изменения подписи человека с течением времени учитываются автоматически.
Что же касается резких кратковременных изменений почерка, вызванных изменениями физического и эмоционального состояния пользователя, эти изменения система аутентификации учесть неспособна. Если физическое или эмоциональное состояние пользователя таково, что он практически неработоспособен, этот пользователь просто не сможет войти в систему. Например, оператор банка просто не сможет снять деньги со счета "под дулом пистолета" -изменение эмоционального состояния, вызванное испугом, неизбежно приведет к тому, что подпись пользователя будет отвергнута системой аутентификации.
Аудит
Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемомжурналом аудитаилижурналом безопасности,событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называютсяаудиторами.
Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами.
1.Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле -ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз -это явная ошибка. Если же пользователь пытался угадать собственный пароль 20 -30раз —это явная попытка подбора пароля.
2.Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.
3.Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе подсистемы аудита не исключено, что вся необходимая информация содержится в журнале аудита.
Большинство экспертов по компьютерной безопасности сходятся во мнении, что привилегия работать с подсистемой аудита не должна предоставляться администраторам операционной системы. Другими словами, множество администраторов и множество аудиторов не должны пересекаться. При этом создается ситуация, когда администратор не может выполнять несанкционированные действия без того, чтобы это тут же не стало известно аудиторам, что существенно повышает защищенность системы от несанкционированных действий администраторов.