5.4 Экономические методы защиты информации

Экономические методы предполагают применение мер стимулирования по приобретению законным путем легальных программных продуктов и баз данных. К их числу можно отнести следующие меры:

- предоставление скидок при покупке очередной версии программы и регулярное информирование пользователей об изменениях, доработках и новых версиях;

- издание различных средств массовой информации, в которых представляется рынок программных продуктов, указываются поставщики, их реквизиты;

- организация специализированных выставок, курсов, консультаций.

5.5 Аппаратная защита информации

Данный вид защиты предполагает использования специальной аппаратуры, которая обеспечивает проверку целостности компьютерных систем и разграничивает доступ к ней.

К данному виду защиты относятся устройства, работающие с идентификационными карточками и паролями, аппаратура, осуществляющая идентификацию и аутентификацию пользователей по физическим признакам, саморазрушающиеся микросхемы, горячее резервирование серверов и отдельных компьютеров.

Устройства, работающие с идентификационными карточками (смарт-карты), используются в пропускных пунктах, осуществляют идентификацию и регистрацию пользователей. К ним относятся USB- токены, подключаемые к USB-порту компьютера. Накапливаемая информация используется для учета рабочего времени сотрудников.

Идентификация – распознавание пользователя, процесса, устройства компьютерной системой типа «свой», «чужой» для допуска в систему. Для идентификации пользователя используются карточки, шифры, системы «вопрос – ответ».

Система «вопрос – ответ» из определенного банка вопросов задает пользователю несколько случайным образом выбранных вопросов, на которые последний должен дать правильные ответы. Например, называется двузначное число надо назвать сумму цифр или только единицы этого числа. При этом алгоритм преобразования должен быть не очень сложным.

В качестве объекта установления подлинности в компьютерной системе может выступать человек, техническое средство (терминал, монитор, ЭВМ и т.п.), документы, банкноты, носители информации и т.д.

Аутентификация – установление подлинности идентификации пользователя. При аутентификации применяются биометрические методы распознавания пользователя когда используются такие элементы личности, которые носят индивидуальный характер и сохраняются на протяжении всей жизни человека (отпечатки пальцев, ладони, сетчатки и расположение кровеносных сосудов глаза, личной подписи, форма ушных раковин, ладоней и кистей рук, термограмма лица, ДНК, индивидуальный запах человека и т.п.).

Саморазрушающиеся микросхемы уничтожают себя при попытке несанкционированного проникновения в неё.

При горячем резервировании серверов и компьютеров базы данных и ведение расчетов осуществляется на двух ЭВМ.

В системе информационной безопасности важнейшую роль играют пароли, шифры, коды, препятствуя несанкционированному доступу в информационную среду.

Пароли способствуют идентификации пользователей, разграничению доступа к информационным ресурсам. К основным недостаткам паролей являются: пароль можно забыть, возможна кража пароля, пароль может быть подобран и взломан.

В настоящее время в системах безопасности используются пароли двух типов: многоразовые и одноразовые. Многоразовым паролям присущи все перечисленные выше недостатки. Поэтому для повышения надежности идентификации удаленных пользователей используют одноразовые пароли, в которые включаются временные составляющие.

Так как пароли находятся у пользователя и в компьютере, то именно в этих местах происходит его раскрытие и утечка. Для пользователей разработаны следующие правила пользования паролями:

- длина пароля должна быть не менее 8 символов (200 млрд. комбинаций);

- в пароле использовать весь набор символов (различные алфавиты, большие и малые буквы – КошКа, цифры и специальные символы), делать ошибки в словах);

- периодически изменять пароли (время действия пароля не должно превышать 42 дней);

- пароли не должны повторяться;

- нельзя записывать, выставлять на видном месте (наклеивать на монитор, на стену и т.д.);

- менять пароли после каждого случая утечки информации или увольнения сотрудника;

- в случае возникновения проблем с паролем (подозрение в его хищении, трудности ввода, забывчивость) обращаться к системному администратору, который отвечает за генерацию паролей и их качество.

Администраторы в целях повышения надежности системы защиты вынуждены придумывать самые сложные пароли. Пользователи перегружены различными кодами, паролями, шифрами, том числе личными (pin-коды телефонов, пластиковых карт, почтовых ящиков электронной почты и т.п.). Поэтому нельзя доверять им изменение паролей, так как это может привести к использованию упрощенных паролей. Обычно рядовые пользователи придумывают слишком простые коды, используя имя (свое, члена своей семьи, знакомых), дату рождения, фрагменты адреса (домашнего, рабочего).

В помощь забывчивым пользователям рекомендуется кроме обращения к системному администратору использовать следующее:

- на видном месте (на стене, на столе под стеклом) разместить произвольный, полезный текст. Тогда в качестве пароля можно использовать этот текст, из которого пароль формируется по особому алгоритму;

- в сейфе хранить пакет с паролем, хорошо защищенный от несакционированного вскрытия (как конверт с кодом для пластиковой карты);

- использование биометрической аутентификации;

- использование физического ключа совместно с pin-кодом.

В настоящее время для вскрытия пароля, находящегося в компьютере, используются следующие способы:

- подбор пароля методом перебора вариантов;

- угадывание пароля;

- взлом пароля.

Не любой пароль может быть раскрыт методом перебора вариантов. Так, время подбора пароля на современном компьютере зависит от числа знаков в пароле, типа символов (цифры, буквы, алфавит, учет регистра) и структуры пароля (см. табл. 1).

Таблица 1

Среднее время, затрачиваемое современными компьютерами на подбор пароля методом прямого перебора

Структура пароля	Время подбора в зависимости от длины пароля
	4	5	6	7	8	9	10
Только цифры	0 сек.	0,01 сек.	0,08 сек.	0,83 сек.	8 сек.	4 Мин.	14 мин.
Латинские буквы без учета регистра	0,04 сек.	0,9 сек.	25 сек.	12 мин.	4,9 час.	5,2 сут.	0,4 лет
Латинские буквы без учета регистра и цифры	0,14 сек.	5,5 сек.	3 мин.	1,8 час.	2,7 сут.	0,27 сут.	9,6 лет
Латинские буквы с учетом регистра и цифры	1,2 сек.	1,3 мин.	1,3 час.	3,4 сут.	0,58 лет.	35,7 лет.	2220 лет.
Всевозможные символы	6 мин.	1,06 мин.	0,74 лет	190 лет	48,7 тыс. лет	12 млн. лет	3,2 млрд. лет

Поэтому очевидно, что использовать несложные пароли небезопасно.

Угадывание пароля основано на специальных таблицах ассоциации, построенных на статистических и лингвистических свойствах словообразований, словосочетаний и буквосочетаний того или иного языка, и способно на порядок сократить пространство прямого перебора. При этом используются некоторые особенности пароля, что упрощает подбор или угадывание пароля. Например, зная особенности работы пользователя за компьютером и видя или слыша (даже издали), как он набирает пароль, можно установить точное число знаков пароля и приблизительные зоны клавиатуры, которых нажимаются клавиши. Такие наблюдения могут сократить время подбора с миллиардов лет до нескольких часов.

Взлом пароля основан на разгадывании алгоритма шифрования пароля. Для повышения защищенности пароль пользователя хранится в компьютере в виде хеш-функции (односторонняя функция длиною 16 байт). Хеш-функцию из компьютера заполучить не составляет большого труда, но достаточно сложно на его основе получить сам пароль. Поэтому взломщики перебирают возможные пароли, преобразуют в хеш-функцию и сопоставляют ее с хеш-функцией, извлеченной из компьютера. При 16-ти байтовом коде и количестве вариантов равном 256 необходимо перебрать 256¹⁶ =2 х 10³⁰⁸ вариантов. Современный компьютер перебирает 10 млн. паролей в секунду. Для решения данной задачи ему потребуется 10³⁰⁰ лет (для сравнения возраст вселенной составляет 5 х 10⁹ лет).

В некоторых случаях целесообразно использовать ложные пароли, чтобы не подвергать опасности жизнь пользователя, когда его принуждают преступники. В этом случае система доступа срабатывает, но фиксируется несанкционированный доступ со всеми вытекающими последствиями (производится вызов охранной службы и т.п.).

Таким образом, правильное использование паролей для идентификации пользователей позволит повысить информационную безопасность компьютерных систем. В дальнейшем в «чистом» виде пароли будут задействоваться все реже и реже, постепенно уступая системе аутентификации пользователей по биометрическим параметрам.

Так как, не один вид контроля доступа не дает полной гарантии, то для повышения надежности контроля доступа к компьютерным системам необходимо использовать многофакторную аутентификацию:

- пароли и смарт-карты;

- карточка и биометрические параметры;

- контроль по форме лица и отпечаткам пальцев или радужной оболочке глаз и т.п.

Компания «Рускард» разработала сетевую версию программно- аппаратного комплекса «Мастер паролей», предназначенного для идентификации пользователей и разграничения прав доступа к копьютерным сетям.