- •Раздел 2. Угрозы информационной безопасности. 5
- •1.1. Предмет изучения Теории защиты информации
- •1.2. Механизмы обеспечения информационной безопасности
- •1.3. Инструментарий обеспечения информационной безопасности
- •1.4. Основные направления обеспечения информационной безопасности
- •Раздел 2. Угрозы информационной безопасности.
- •Преднамеренные угрозы.
- •2.1. Случайные угрозы компьютерной системе
- •2.2. Преднамеренные угрозы
- •2.2.1. Традиционный шпионаж и диверсии.
- •2.2.2. Несанкционированный доступ к информации.
- •2.2.3. Электромагнитные излучения и наводки.
- •2.2.4. Несанкционированная модификация структур
- •2.2.5. Вредоносные программы
- •2.3. Классификация злоумышленников
- •2.4. Модель системы защиты от угроз нарушения конфиденциальности информации
- •2.4.1. Организационные меры и меры обеспечения физической безопасности.
- •2.4.2. Идентификация и аутентификация.
- •2.4.3. Особенности парольных систем аутентификации
- •2.4.4. Рекомендации по практической реализации парольных систем
- •2.4.5. Оценка стойкости парольных систем
- •2.4.6. Методы хранения паролей
- •2.4.7. Передача паролей по сети
- •2.4.8. Разграничение доступа
- •2.4.9. Криптографические методы обеспечения конфиденциальности информации
- •2.4.10. Методы защиты внешнего периметра
- •2.4.10.1. Межсетевое экранирование.
- •Шлюзы сеансового уровня
- •Шлюзы прикладного уровня
- •Межсетевые экраны экспертного уровня
- •2.4.10.2. Системы обнаружения вторжений.
- •2.4.11. Протоколирование и аудит.
- •2.5. Построение систем защиты от угроз нарушения целостности.
- •2.5.1. Принципы обеспечения целостности.
- •2.5.2. Криптографические методы обеспечения целостности информации.
- •2.6. Построение систем защиты от угроз нарушения доступности.
- •Часть III. Основы формальной теории защиты информации.
- •3.1. Основные определения
- •3.2. Монитор безопасности обращений (мбо)
- •3.3. Формальные модели управления доступом.
- •3.3.1. Модель Харрисона-Руззо-Ульмана (х-р-у).
- •3.3.2. Модель Белла-ЛаПадулы (б-лп).
- •Список литературы
2.4.2. Идентификация и аутентификация.
Под идентификацией принято понимать присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем допустимых.
Аутентификация понимается как проверка принадлежности субъекту доступа предъявленного им идентификатора и тем самым подтверждение его подлинности.
Базовая схема идентификации и аутентификации приведена на рисунке 3.
Рисунок 3 – Базовая схема идентификации и аутентификации
Приведенная схема учитывает возможные ошибки пользователя при проведении процедур идентификации и аутентификации. Если одна из них не выполнена, но допустимое число попыток не превышено, пользователю предлагается пройти процедуры идентификации и аутентификации еще раз.
Все множество используемых в настоящее время методов аутентификации можно разделить на четыре большие группы:
-
Методы, основанные на знании некоторой секретной информации. Классическим примером таких методов является парольная защита, когда в качестве средства аутентификации пользователя предлагается ввести некоторую последовательность символов – пароль.
-
Методы, основанные на использовании уникального предмета. В качестве такого предмета могут быть использованы смарт-карты, электронные ключи и т.д.
-
Методы, основанные на использовании биометрических характеристик человека. На практике чаще всего используют одну или несколько из следующих биометрических характеристик:
-
отпечатки пальцев;
-
рисунок сетчатки или радужной оболочки глаза;
-
тепловой рисунок кисти руки;
-
фотография, тепловой рисунок лица;
-
почерк (роспись);
-
голос.
Наибольшее распространение получили сканеры отпечатков пальцев и рисунка сетчатки и радужной оболочки глаза.
-
Методы, основанные на информации, ассоциированной с пользователем. Примером могут служить данные о местонахождении пользователя. Данный подход вряд ли может быть использован в качестве единственного механизма аутентификации, однако вполне допустимо его применение совместно с другими механизмами.
Широко распространена практика совместного использования нескольких из перечисленных механизмов. В таких случаях говорят о многофакторной аутентификации.
2.4.3. Особенности парольных систем аутентификации
При всем многообразии существующих механизмов аутентификации наиболее распространенной из них остается парольная защита. Для этого есть несколько причин:
-
Относительная простота реализации.
Реализация парольного механизма защиты обычно не требует привлечения дополнительных аппаратных средств.
-
Традиционность.
Механизмы парольной защиты являются привычными для большинства пользователей компьютерных систем и обычно не вызывают психологического отторжения в отличие, например, от сканеров рисунка сетчатки глаза.
В то же время, для парольных систем защиты характерен парадокс, затрудняющий их эффективную реализацию: стойкие пароли мало пригодны для использования человеком. Хотя стойкость пароля вырастает по мере его усложнения, но чем сложнее пароль, тем труднее его запомнить, и у пользователя появляется искушение записать неудобный пароль, что создает дополнительные каналы для его дискредитации.
Остановимся подробно на основных угрозах безопасности парольных систем. В общем случае пароль может быть получен злоумышленником одним из трех способов:
-
за счет использования слабостей человеческого фактора.
Методы получения паролей здесь могут быть самыми разными: подглядывание, подслушивание, шантаж, угрозы и, наконец, использование чужих учетных записей с разрешения их легальных владельцев.
-
путем перебора. При этом используются следующие методы:
-
Полный перебор. Данный метод позволяет подобрать любой пароль вне зависимости от его сложности, однако, для стойкого пароля время, необходимое для данной атаки, будет значительно превышать допустимые временные ресурсы злоумышленника.
-
Подбор по словарю. Значительная часть используемых на практике паролей представляет собой осмысленные слова или выражения. Существуют словари наиболее распространенных паролей, которые во многих случаях позволяют обойтись без полного перебора.
-
Подбор с использованием сведений о пользователе. Данный интеллектуальный метод подбора паролей основывается на том факте, что если политика безопасности компьютерной системы предусматривает самостоятельное назначение паролей пользователями, то в подавляющем большинстве случаев в качестве пароля будет выбрана некоторая персональная информация, связанная с пользователем компьютерной системы. И хотя в качестве такой информации может быть выбрано что угодно от даты рождения какого-нибудь родственника до прозвища собачки, наличие информации о пользователе позволяет проверить наиболее часто используемые варианты.
-
За счет использования недостатков реализации парольных систем. К ним относятся уязвимости сетевых сервисов, реализующих те или иные компоненты парольной системы защиты, или недекларированные возможности соответствующего программного или аппаратного обеспечения.