Аутентификация пользователей с использованием биометрических данных.
Под биометрикой понимается использование для аутентификации личности индивидуальных признаков человека. В качестве биометрических характеристик, которые могут быть использованы при аутентификации субъекта доступа, достаточно часто применяют следующие:
1. отпечатки пальцев;
2. геометрическая форма рук;
3. узор радужной оболочки и сетчатки глаз;
4. форма и размеры лица;
5. особенности голоса;
6. биомеханические характеристики почерка;
7. биомеханические характеристики «клавиатурного почерка».
Особенностью применения биометрических систем идентификации и аутентификации личности по сравнению с другими классами систем И/АУ являются следующие:
1. Необходимость обучения биометрической системы для конкретных пользователей, зачастую, достаточно длительного.
2. Возможность ошибочных отказов и ошибочных подтверждений при аутентификации пользователей.
3. Необходимость использования специальных технических устройств для чтения биометрических характеристик, как правило, достаточно дорогостоящих (за исключением, быть может, аутентификации по клавиатурному подчерку).
36. Угрозы защиты информации в сетях и противодействие им
Основные определения
Уязвимостью называется любая характеристика компьютерной информационной системы, которая позволяет злоумышленнику выполнить действия, представляющие угрозу целостности и конфиденциальности информации, хранимой в системе. Эти действия могут предприниматься любым субъектом - пользователем системы, вычислительным процессом и включают в себя самые различные операции над компьютерной системой, например, чтение, копирование и удаление информации или кражу компьютерного оборудования. Точкой приложения (адресатом) таких операций могут быть компоненты баз данных, файлы, процессы или физические компоненты компьютера.
Комбинации действие/адресат называются событием безопасности информационной системы. Совокупность действий, нарушающих безопасность системы, называется атакой, а совокупность атак, имеющих общие характеристики и направленность - инцидентом. Таким образом, если лицо предпринимает несколько атак, направленных на получение неавторизованного доступа к общим ресурсам, меняя программные средства и методы взлома, его деятельность попадает под определение инцидента, которое включает в себя такое юридическое понятие, как инициатор атаки.
Классификация уязвимостей и угроз
Одна из наиболее используемых классификаций уязвимостей (по их происхождению).
1. Уязвимости, появившиеся в результате ошибок разработки программного или аппаратного обеспечения. Это наиболее опасный тип уязвимостей, так как их сложно (или даже порой невозможно) исправить.
2. Уязвимости, созданные поставщиком ПО, возникшие, например, по причине некорректно инсталлированной операционной системы, отсутствия установленных обновлений или сервисных пакетов.
3. Уязвимости, привнесенные некорректным администрированием. Например, использование простых или коротких паролей или «забывчивость» администратора, который не удалил сразу после инсталляции системы установленные производителями стандартные пароли.
4. Уязвимости, привнесенные эксплуатацией, связанные с невыполнением пользователями предписанной политики безопасности.
Наиболее удобной классификацией хакерских атак признана классификация, основанная на функциональных возможностях средств, применяемых атакующей стороной.
1. Атаки, использующие средства удаленного администрирования системой. К этим атакам относятся все методы, которые позволяют внедрять в атакуемую систему агентов, позволяющих удаленно управлять системой.
2. Атаки, направленные на расширение прав доступа.
3. Удаленные атаки DoS (Denial of Service - отказ в обслуживании), которые направлены на нарушение функционирования информационной системы путем рассылки пакетов, перегружающих сетевые серверы.
4. Локальная атака DoS, которая сводится к запуску, например, злонамеренного апплета на Web-странице, загружающего процессор бесконечным циклом отображения диалогов на мониторе компьютера.
5. Атаки с использованием анализаторов сетевых уязвимостей, выполняющие, в сущности, поиск брешей в системе безопасности вместе с попытками взлома, что позволяет проверить надежность защиты.
6. Взлом посредством подбора паролей доступа.
7. Применение сетевых анализаторов, предназначенных для перехвата сетевого трафика с целью получения конфиденциальных данных.
Для предотвращения этих атак в любой компьютерной системе следует позаботиться о системе защиты, позволяющей обнаружить атаки всех перечисленных типов и блокировать их выполнение.
Системы обнаружения атак
Традиционно системы защиты компьютерной информации опираются на три основных средства.
1. Аутентификация - означает средство, позволяющее одному участнику компьютерного взаимодействия доказать своему партнеру свою идентичность. Чаще всего она сводится к указанию имени и пароля.
2. Авторизация означает средство распределения ресурсов, позволяющее определить, какие ресурсы должны быть доступны аутентифици- рованному пользователю.
3. Аудит означает наблюдение за событиями, происходящими в системе, в том числе, событиями безопасности.
Системы защиты, основанные на указанных методах, имеют один существенный недостаток. Все они позволяют блокировать атаки на компьютер, но совершенно неспособны упредить атаку.
Системы защиты, построенные на основании современных технологий, должны включать в себя следующие функциональные возможности:
1. Сканеры безопасности, которые действуют как средство анализа защищенности системы путем имитации хакерской атаки на этапе выявления уязвимостей атакуемой системы.
2. Классические средства выявления вторжений, действующие в режиме реального времени и позволяющие обнаруживать атаки на этапе их реализации.
3. Контроль целостности, обнаруживающий изменения в контролируемых ресурсах, например, в ресурсах файловой системы, для выявления последствия выполнения атаки.
- Эти возможности должны обеспечить выявление вторжений на всех трех этапах хакерской атаки.
Средства анализа защищенности компьютерных сетей
Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек и конфигурации, установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимо- стей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей.
К числу средств анализа данного класса относится программное средство администратора ASET (Automated Security Tool), которое входит в состав ОС Solaris, пакет программ COPS (Computer Oracle and Password System) для администраторов Unix-систем, и система System Scanner (SS) фирмы Internet Security System Inc. для анализа и управления защищенностью операционных систем Unix и Windows NT/ 95/98.
Использование в сетях Internet/Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые сервисы и представляющих реальную угрозу защищенности информации. Средства анализа защищенности сетевых сервисов применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание возможных угроз и рекомендации по их устранению. Поиск уязвимостей основывается на использовании базы данных, которая содержит широко известные уязвимости сетевых сервисных программ и может обновляться путем добавления новых уязвимостей.
К числу средств анализа данного класса относится программа SATAN (автор В. Венема), Netprobe фирмы Qualix Group и Internet Scanner фирмы Internet Security System Inc.
Наибольшая эффективность защиты информации достигается при комплексном использовании средств анализа защищенности и средств обнаружения опасных информационных воздействий (атак) в сетях. Средства обнаружения атак в сетях предназначены для осуществления контроля всего сетевого трафика, который проходит через защищаемый сегмент сети, и оперативного реагирование в случаях нападения на узлы корпоративной сети.
Большинство средств данной группы при обнаружении атаки в сети оповещают администратора системы, регистрируют факт нападения в журнале системы и завершают соединение с атакующим узлом. Дополнительно отдельные средства обнаружения атак позволяют автоматически реконфигурировать межсетевые экраны и маршрутизаторы в случае нападения на узлы корпоративной сети.