OIBD

Для управління засобами телеспостереження, сигналізації і системою контролю доступу використовують програмні засоби.

Системи прихованого спостереження

Системи прихованого спостереження використовують для підвищення ефективності охорони і встановлюються там, де необхідно приховати факт спостереження. Задача систем прихованого спостереження - не вивчати відвідувачів, а контролювати ситуацію на підохоронній території.

Засоби відбиття загроз підключають до центрального пульта або приймально-контрольного приладу за допомогою дротового або бездротового зв'язку.

У системах охоронної сигналізації можуть використовуватися наступні засоби відбиття загроз: сирени, блимаюче світло, графічні панелі з планом приміщень, системи підсвічування, принтери для реєстрації часу, місця і характеру порушення, лампи зовнішнього освітлення, прожектори, стробоскопи, автодозвонщики блоки електромагнітного реле, електрозамки і т.д.

Глава 10. Комп’ютерні технічні засоби захисту інформації

Програми зовнішнього захисту

До таких програм відносяться:

•програми захисту території та приміщень;

•програми управління доступом на територію і в приміщення;

•програми захисту даних в каналах зв'язку.

Більш докладно зупинимося на третьому класі програм. Забезпечення надійного захисту інформації, що передається по каналах зв'язку, які пройшли по неконтрольованій території, пов'язане з великими труднощами. Обумовлено це тим, що при сучасних можливостях перехоплення цілком реальною є загроза регулярного несанкціонованого отримання інформації з таких каналів зв'язку. Вважається, що, єдиним ефективним способом надійного ЗІ в каналах зв'язку є кріптографічне закриття переданої інформації. Проте організація регулярного криптографічного закриття великих потоків інформації, інтенсивно циркулюючих в каналах зв'язку, сполучено з великими труднощами і витрачанням значних ресурсів.

У тих випадках, коли застосування криптографічних засобів є неможливим або недоцільним, рекомендується використовувати наступні програмні методи захисту.

1. Упізнання кореспондентів.

91

2.Перевірка рівня секретності каналу зв'язку.

3.Контроль за граничними адресами ОП.

4.Перевірка адреси кореспондента.

5.Перевірка зворотного коду.

Упізнання кореспондентів полягає в тому, що перед видачею даних в канал зв'язку АС запитує у кореспондента пароль або іншу персональну і таємну інформацію, порівнює цю інформацію з інформацією, що зберігається в ОП еталонною і видає дані в канал лише в разі збігу пред'явленої та еталонної інформації. Як і будь-яке інше упізнання, упізнання кореспондентів може бути простим і ускладненним. Вибір способу впізнання визначається характером і ступенем секретності пред'явлених даних, а також умовами передачі (протяжність і вид каналу зв'язку, характер території, по якій він проходить, і

т.п.).

Особливістю впізнання кореспондентів є те, що інформація, яка використовується в процесі впізнання, також повинна передаватися з цього ж каналу зв'язку. Створення особливих каналів для передачі інформації для впізнання практично нереальне. Тому інформація впізнання також може бути перехоплена зловмисником. Для підвищення надійності впізнання можна використовувати кріптографічне закриття інформації впізнання. Однак при цьому виникають великі складності, пов'язані з розподілом і періодичною зміною ключів, застосовуваних для шифрування і дешифрування цієї інформації.

Перевірка рівня секретності каналу зв'язку є деяким додатковим засобом захисту і полягає в тому, що кожному каналу зв'язку, використовуваному для передачі інформації, присвоюється певний максимальний рівень секретності, так що передача по цьому каналу інформації з вищим рівнем секретності не допускається. Перед видачею даних в канал АС перевіряє відповідність рівня секретності даних, що підлягають передачі, і приймає відповідне рішення. Гриф секретності підготовлених до передачі даних визначається в цьому випадку по максимальному грифу секретності масиву, використаного для формування цих даних.

Контроль за граничними адресами ВП полягає в тому, що для розміщення масиву даних, що передаються в ОП виділяється поле, початкова і кінцева адреса якого розміщується в регістрах або в спеціально виділених зонах ОП. Перед вибіркою для видачі в канал кожного елемента даних проводиться перевірка адреси вибірки за граничними адресами. Якщо адреса вибірки виходить за граничні адреси, видача даних блокується. Цим самим

92

забезпечується захист від випадкової або навмисної видачі в канал зв'язку даних, що знаходяться на сусідніх полях ОП.

Перевірка адреси кореспондента здійснюється наступним чином. При передучі великого обсягу інформації є принципова можливість випадкової або зловмисної зміни адреси кореспондента, що зберігається в регістрі або в спеціально виділеній зоні ОП. У цьому випадку дані (після зміни адреси) будуть передаватися за адресою, яка є модифікованою в результаті змін, або заданою зловмисником. З метою мінімізації обсягу переданих за помилковою адресою даних рекомендується в процесі передачі періодично (через певний інтервал часу і після передачі певного обсягу інформації) перевірити адресу корреспондента. Процедура перевірки є звичайною: адреса кореспондента, що використовується для передачі, порівнюється з еталонною, що зберігається в безпечній зоні ОП. При неспівпадінні порівнюваних адрес передача даних блокується і виробляється відповідний системний сигнал.

Перевірка зворотного коду являє собою процедуру захисту, що здійснюється в процесі передачі даних. Полягає вона в тому, що у кореспондента періодично запитується інформація, що ідентифікує, яка і називається зворотним кодом. Ця інформація порівнюється з еталонною, при розбіжності кодів передача блокується. Перевіркою зворотного коду можна виявити факт зміни (перекомутації) напрямку видачі даних або умисного несанкціонованого використання приймального пристрою зареєстрованого кореспондента.

Програми внутрішнього захисту

Цей клас програм здійснює ЗІ безпосередньо в елементах АС. Сутність такого захисту зводиться до регулювання використання відповідних ресурсів АС (технічних засобів, даних, програм) у суворій відповідності з повноваженнями, наданими суб'єктам (користувачам) та об'єктам (терміналам, груповим пристроям, програмам). Кожен з видів регулювання зазвичай здійснюється в наступній послідовності.

1.Встановлення достовірності (впізнання) суб'єкта або об'єкта, що звертається до ресурсу системи.

2.Визначення відповідності характеру і змісту запиту повноважень, наданим запитувачу суб'єкту чи об'єкту.

3.Прийняття та реалізація рішень відповідно з результатами перевірки повноважень.

Найбільш важливою з перерахованих процедур є перша, тобто встановлення аутентичності (впізнання) суб'єкта або об'єкта, що звертається до

93

ресурсів АС. Тому розробці ефективних засобів надійного впізнання незмінно приділяється підвищена увага.

Встановлення достовірності (аутентифікація, ідентифікація, упізнання) якого-небудь об'єкта або суб'єкта полягає у підтвердженні того, що суб'єкт, який звертається, або пред'явлений об'єкт є саме тим, який повинен брати участь у даному процесі обробки інформації. Основними суб'єктами, справжність яких підлягає встановленню у всіх системах, де обробляється інформація з обмеженим доступом, є різні користувачі. У деяких системах з підвищеними вимогами до забезпечення безпеки передбачається встановлення дійсності програмістів, що беруть участь у розробці та експлуатації програмного забезпечення, адміністраторів банків даних і навіть інженернотехнічного персоналу, залученого до технічного обслуговування системи в процесі обробки інформації, щ захищається.

Складність і обсяг операцій з розпізнавання можуть істотно відрізнятися для кожного конкретного випадку. Вони визначаються такими основними факторами:

•структурною і організаційною побудовою АС (розміри, складність архітектури, територіальний розподіл, розвиненість термінальної мережі, характер розміщення обладнання тощо);

•характером функціонування (наявність дистанційного доступу, режим роботи АС, обсяг і характер обміну інформацією по автоматизованим каналах зв'язку тощо);

•ступенем секретності інформації, що захищається і її об'ємом.

Залежно від складності операцій впізнання, фахівці виділяють три основні групи:

•просте;

•ускладнене;

•особливе упізнання.

За величиною обсягу операцій процедури впізнання також розбивають на три групи:

•контрольне;

•розширене;

•загальне упізнання.

Під контрольним розпізнаванням розуміють упізнання віддалених терміналів в моменти включення їх в роботу і при зверненні їх до системи під час обробки інформації, що захищається. При розширеному упізнанні зазвичай проводиться розпізнавання програмістів, віддалених кореспондентів, пристроїв

94

групового керування введенням / виводом, елементів, що захищаються, баз даних і т.п. При загальному пізнанні забезпечується упізнання всіх суб'єктів і об'єктів, що мають відношення до обробки інформації, що захищається.

Просте упізнання, як правило, зводиться до порівняння коду (пароля), що пред'являється терміналом або користувачем, з еталонним кодом (паролем), що зберігається в ОП АС. При ускладненому упізнанні зазвичай використовується додаткова інформація - система разових паролів, персональна інформація користувача і т.п. Ускладнене впізнання здійснюється в режимі діалогу: система формує питання, на які упізнаваний повинен дати відповіді. За змістом відповідей система приймає рішення про впізнання. При особливому розпізнаванні використовується така сукупність розпізнавальних характеристик, при якій має забезпечуватися надійне розпізнавання суб'єктів і об'єктів.

Існує також поняття прямого і зворотного впізнання. При цьому під прямим впізнанням розуміють упізнання системою суб'єктів, що звертаються до неї і об'єктів, що використовуються, під зворотним - упізнання користувачем елементів системи, що надаються йому для обробки даних, що захищаються.

Захист від копіювання

Система захисту від кодування або система захисту авторських прав - це комплекс програмних або програмно-апаратних рішень, що забезпечують утруднення або заборону нелегального визначення, використання і (або) зміни програмних продуктів.

Найбільш поширений спосіб розповсюдження програм (розсилка або передача на магнітних носіях) накладає найжорсткіші вимоги на систему захисту. При цьому у користувача залишається можливість практично необмежених експериментів із захищеним програмним продуктом.

Сформулюємо деякі апріорні вимоги, виконання яких істотно підвищить надійність системи захисту від копіювання.

•Некопійованість дисків (якщо це необхідно за умовами розповсюдження) автоматичними копіювальниками. Даний пункт гарантує, що для розуміння принципу некопіювання необхідно буде ручне вивчення структури диска.

•Неможливість застосування стандартних налагоджувальних засобів при вивченні ними логіки роботи захищених програм без додаткових маніпуляцій з кодом програми або без плати апаратного відладчика. В даному

95

випадку непрофесіонал або програміст середньої кваліфікації швидше за все не зможе "пройти" захищену програму відладчиком.

•Некоректне дезасемблірування захищеної програми або її істотно важливих фрагментів при застосуванні стандартних пакетів. Це гарантує, що для дезасемблірування, в кращому випадку, доведеться писати спеціальну програму.

•Неможливість трасування по істотно важливим перериваннях за допомогою стандартних засобів. При цьому буде приховано обмін програми з "зовнішнім світом", - диском, DOS тощо.

•Ускладнення вивчення структури розпізнавання індивідуальних параметрів АС або технологічного аналізу застосовуваних апаратних засобів захисту. Мається необхідність такого вибору індивідуальних параметрів, щоб вони рідко повторювалися і важко виявлялися; у разі застосування апаратних ключів - щоб їх розтин не давав суттєвої інформації про їх роботу.

Системи захисту від копіювання, як правило, складаються з наступних компонентів:

•Модуль перевірки недубльованої або оригінальної інформації - перевіряє на відмінність некопійованих ознак на дискеті або оригінальною для даної АС інформації.

По розміщенню цього модуля можна виділити три основні типи системи захисту:

•Система з "навісним" перевірочним модулем, створеним за технологією файлового вірусу;

•Системи з зовнішнім перевірочним модулем, винесеним в окрему

програму;

•Системи з внутрішніми функціями перевірки.

•Модуль захисту від перегляду і аналізу логіки системи.

•Модуль погодження з захищеними структурами - забезпечує правильну роботу захищених програм і адекватне сприйняття захищених даних

уразі легальних копій.

Програми ядра системи безпеки

Всі засоби, методи, заходи, використовувані в АС для ЗІ, повинні об'єднуватися в єдиний механізм захисту. При цьому цілком природно виникає питання про організа-ції управління цим механізмом. Для цього в АС виділяється спеціальний компонент, званий ядром системи безпеки.

Комплекс ядра системи безпеки повинен виконувати такі функції:

•завантаження програм захисту;

96

•установка і контроль установки регістрів межі зон пам'яті;

•контроль своєчасності та надійності, знищення залишкової інформації, тобто даних, що містяться на полях ЗУ, після виконання завдання;

•перевірка умов дозволу доступу;

•перевірка розподілу і використання паролів і кодів;

•включення терміналів користувачів в число працюючих і вимикання їх із цього числа після завершення роботи або після виявлення несанкціонованої діяльності;

•створення та ведення масивів даних і повноважень користувачів;

•поточний контроль використання даних про повноваження користувачів;

•деякі допоміжні функції.

Основними функціями ядра системи безпеки є контроль, реєстрація, знищення та сигналізація.

Глава 11. Аутентифікація користувачів комп’ютерних систем

Ідентифікація і аутентифікація

Ідентифікацію й аутентифікацію можна вважати основою програмнотехнічних засобів безпеки, оскільки інші сервіси розраховані на обслуговування іменованих суб'єктів. Ідентифікація й аутентифікація – це перша лінія оборони, "прохідна" інформаційного простору організації.

Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка дійсності".

Аутентифікація буває однобічної (звичайно клієнт доводить свою дійсність серверу) і двосторонньої (взаємної). Приклад однобічної аутентифікації – процедура входу користувача в систему.

У мережевому середовищі, коли сторони ідентифікації/аутентифікації територіально рознесені, у розглянутого сервісу є два основних аспекти:

що служить аутентифікатором (тобто використовується для підтвердження дійсності суб'єкта);

як організований (і захищений) обмін даними ідентифікації/аутентифікації.

Суб'єкт може підтвердити свою дійсність, пред'явивши принаймні одну з наступних сутностей:

97

щось, що він знає (пароль, особистий ідентифікаційний номер, криптографічний ключ і т.п.);

щось, чим він володіє (особисту картку або інший пристрій аналогічного призначення);

щось, що є частиною його самого (голос, відбитки пальців і т.п., тобто свої біометричні характеристики).

У відкритому мережевому середовищі між сторонами ідентифікації/аутентифікації не існує довіреного маршруту; це значить, що в загальному випадку дані, передані суб'єктом, можуть не збігатися з даними, отриманими й використаними для перевірки дійсності. Необхідно забезпечити захист від пасивного й активного прослуховування мережі, тобто від перехоплення, зміни й/або відтворення даних. Передача паролів у відкритому вигляді, мабуть, незадовільна; не рятує положення й шифрування паролів, тому що воно не захищає від відтворення. Потрібні більш складні протоколи аутентифікації.

Надійна ідентифікація й аутентифікація ускладнена не тільки через мережеві загрози, але й з цілого ряду причин. По-перше, майже всі аутентификаційні сутності можна довідатися, украсти або підробити. По-друге,

єпротиріччя між надійністю аутентифікації, з одного боку, і зручностями користувача й системного адміністратора з іншогої. Так, з міркувань безпеки необхідно з певною частотою просити користувача повторно вводити аутентифікаційну інформацію (адже на його місце могла сісти інша людина), а це не тільки клопітно, але й підвищує ймовірність того, що хтось може підглянути за уведенням даних. По-третє, чим надійніший засіб захисту, тим він дорожчий.

Сучасні засоби ідентифікації/аутентифікації повинні підтримувати концепцію єдиного входу в мережу. Єдиний вхід у мережу – це, у першу чергу, вимога зручності для користувачів. Якщо в корпоративній мережі багато інформаційних сервісів, що допускають незалежний обіг, то багаторазова ідентифікація/аутентифікація стає занадто обтяжною. На жаль, поки не можна сказати, що єдиний вхід у мережу став нормою, що домінантні рішення поки не сформувалися.

Таким чином, необхідно шукати компроміс між надійністю, доступністю за ціною й зручністю використання й адміністрування засобів ідентифікації й аутентифікації.

Цікаво відзначити, що сервіс ідентифікації/аутентифікації може стати об'єктом атак на доступність. Якщо система сконфігурована так, що після

98

певного числа невдалих спроб пристрій уведення ідентифікаційної інформації (таке, наприклад, як термінал) блокується, то зловмисник може припинити роботу легального користувача буквально декількома натисканнями клавіш.

Парольна аутентифікація

Головне достоїнство парольної аутентифікації – простота й звичність. Паролі давно вбудовані в операційні системи й інші сервіси. При правильному використанні паролі можуть забезпечити прийнятний для багатьох організацій рівень безпеки. Проте, по сукупності характеристик їх варто визнати найслабшим засобом перевірки дійсності.

Проте, важливі заходи дозволяють значно підвищити надійність парольного захисту:

накладення технічних обмежень (пароль повинен бути не занадто коротким, він повинен містити букви, цифри, знаки пунктуації й т.п.);

керування терміном дії паролів: їхня періодична зміна;

обмеження доступу до файлу паролів;

обмеження числа невдалих спроб входу в систему, це утруднить застосування "методу грубої сили"):

навчання користувачів;

використання програмних генераторів паролів (така програма, ґрунтуючись на нескладних правилах, може породжувати тільки благозвучні й, отже, запам'ятовувані паролі).

Перераховані заходи доцільно застосовувати завжди, навіть якщо поряд з

паролями використовуються інші методи аутентифікації.

Одноразові паролі

Розглянуті вище паролі можна назвати багаторазовими: їхнє розкриття дозволяє зловмисникові діяти від імені легального користувача. Набагато сильнішім засобом, стійким до пасивного прослуховування мережі, є одноразові паролі.

Найбільш відомим програмним генератором одноразових паролів є система S/KEY компанії Bellcore. Ідея цієї системи полягає в наступному. Нехай є однобічна функція f (тобто функція, обчислити зворотну якої за прийнятний час неможливо). Ця функція відома й користувачеві, і серверу аутентифікації. Нехай, далі, є секретний ключ К, відомий тільки користувачеві.

На етапі початкового адміністрування користувача функція f застосовується до ключа К n разів, після чого результат зберігається на сервері. Після цього процедура перевірки дійсності користувача виглядає таким чином:

99

сервер надсилає на користувальницьку систему число (n-1);

користувач застосовує функцію до секретного ключа К (n-1) разів і відправляє результат по мережі на сервер аутентифікації;

сервер застосовує функцію f до отриманого від користувача значення й порівнює результат з раніше збереженою величиною. У випадку збігу дійсність користувача вважається встановленою, сервер запам'ятовує нове значення (прислане користувачем) і зменшує на одиницю лічильник (n).

Насправді реалізація влаштована навряд чи складніше (крім лічильника, сервер посилає значення, використовуване функцією f), але для нас зараз це не важливо. Оскільки функція f незворотня, перехоплення пароля, так само як і одержання доступу до сервера аутентифікації, не дозволяють довідатися секретний ключ К і передбачити наступний одноразовий пароль.

Система S/KEY має статус Internet-стандарту (RFC 1938).

Інший підхід до надійної аутентифікації складається в генерації нового пароля через невеликий проміжок часу (наприклад, кожних 60 секунд), для чого можуть використовуватися програми або спеціальні інтелектуальні карти (із практичної точки зору такі паролі можна вважати одноразовими). Серверу аутентифікації повинен бути відомий алгоритм генерації паролів й асоційовані

зним параметри; крім того, годинники клієнта й сервера повинні бути синхронізовані.

Сервер аутентифікації Kerberos.

Kerberos – це програмний продукт, розроблений у середині 1980-х років у Масачусетському технологічному інституті і зазнав з тих часів, принципових змін. Клієнтські компоненти Kerberos присутні в більшості сучасних операційних систем.

Kerberos призначений для рішення наступного завдання. Є відкрита (незахищена) мережа, у вузлах якої зосереджені суб'єкти – користувачі, а також клієнтські й серверні програмні системи. Кожен суб'єкт має секретний ключ. Щоб суб'єкт С міг довести свою дійсність суб'єктові S (без цього S не стане обслуговувати С), він повинен не тільки назвати себе, але й продемонструвати знання секретного ключа. С не може просто надіслати S свій секретний ключ, по-перше, тому, що мережа відкрита (доступна для пасивного й активного прослуховування), а, по-друге, тому, що S не знає (і не повинен знати) секретний ключ С. Потрібен менш прямолінійний спосіб демонстрації знання секретного ключа.

100