 |
|
ВОПРОС 2 Подсистемы защиты информации
Рассмотрим в отдельности каждую из этих подсистем.
К базовым функциям подсистемы управления доступом относятся (Слайд 4):
· Идентификация и аутентификация (проверка подлинности) пользователей;
· Управление доступом пользователей к защищаемым ресурсам;
· Создание замкнутой рабочей среды для пользователей.
Рисунок 4 – Базовые функции подсистемы управления доступом
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации (Слайд 5).
Рисунок 5 – Идентификация и аутентификация (проверка подлинности)
пользователей
Идентификатор – уникальный признак субъекта или объекта доступа
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов(Руководящий документ ФСТЭК. Защита от несанкционированного доступа к информации. Термины и определения)
Аутентификация – проверка принадлежности субъекту доступа предъявленного им иденти фикатора, подтверждение подлинности ((Руководящий документ ФСТЭК. Защита от несанкционированного доступа к информации. Термины и определения)).
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:
· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
· нечто, чем он владеет (личную карточку, смарт-карта или бейдж или иное устройство аналогичного назначения);
· нечто, что есть часть его самого (голос, отпечатки пальцев, снимок сетчатки глаза и т.п., то есть свои биометрические характеристики).
Таким образом, методами аутентификации пользователей являются:
· Парольная аутентификация;
· Маркеры аутентификации;
· Биометрическая аутентификация.
Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности по следующим причинам:
1. К сожалению, многие не знают, как выбрать сильный пароль. Очень часто используются короткие пароли (меньше четырех символов). Короткий пароль позволяет применить атаку "в лоб", т. е. хакер будет перебирать предположительные пароли, пока не подберет нужный. Если пароль имеет длину два символа (и это буквы), то возможных комбинаций будет всего 676. При восьмисимвольном пароле (включающем только буквы) число комбинаций увеличивается до 208 миллионов. Естественно, гораздо легче угадать двухсимвольный пароль, чем восьмисимвольный!
2. Применяются легко угадываемые пароли. Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф. Наглядный пример того, как слабые пароли помогают взламывать системы, - червь Морриса. В 1988 г. студент Корнеллского университета Роберт Моррис разработал программу, которая распространялась через интернет. Эта программа использовала несколько уязвимых мест для получения доступа к компьютерным системам и воспроизведения самой себя. Одним из уязвимых мест были слабые пароли. Программа наряду со списком наиболее распространенных паролей использовала следующие пароли: пустой пароль, имя учетной записи, добавленное к самому себе, имя пользователя, фамилию пользователя и зарезервированное имя учетной записи. Этот червь нанес ущерб достаточно большому количеству систем и весьма эффективно вывел из строя интернет.
3. Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.
4. Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.
Вопрос. Существует ли надежная альтернатива паролям?
Ответ. Альтернативой паролям являются смарт-карты(маркеры аутентификации) и биометрия. Однако развертывание таких систем связано с дополнительными расходами.
Для установления личности используются смарт-карты (они - то, что вы имеете), и таким образом уменьшается риск угадывания пароля. Однако если смарт-карта украдена, и это - единственная форма установления подлинности, то похититель сможет замаскироваться под легального пользователя компьютерной системы. Смарт-карты не смогут предотвратить атаку с использованием уязвимых мест, поскольку они рассчитаны на правильный вход пользователя в систему.
Еще одна проблема - это стоимость смарт-карт, ведь за каждую нужно заплатить от 50 до 100 долларов. Организации с большим количеством служащих потребуются серьезные затраты на оплату такой безопасности.
Биометрические системы - еще один механизм аутентификации (они - то, чем вы являетесь), значительно уменьшающий вероятность угадывания пароля.
Существует множество биометрических сканеров для верификации следующего:
· отпечатков пальцев;
· сетчатки/радужной оболочки;
· отпечатков ладоней;
· конфигурации руки;
· конфигурации лица;
· голоса.
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи. Каждый подход предполагает использование определенного устройства для идентификации человеческих характеристик. Обычно эти устройства довольно сложны, чтобы исключить попытки обмана. Например, при снятии отпечатков пальцев несколько раз проверяются температура и пульс. При использовании биометрии возникает множество проблем, включая стоимость развертывания считывающих устройств и нежелание сотрудников их использовать.