Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:
· нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
· нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;
· нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;
· нечто, ассоциированное с ним, например координаты.
Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.
Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи.
Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:
· наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
· управление сроком действия паролей, их периодическая смена;
· ограничение доступа к файлу паролей;
· ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
· обучение и воспитание пользователей;
· использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.
Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.
Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобныхтокенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.
Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.
Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.
Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.
Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на следующие категории:
· Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой;
· Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала;
· Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.
Управление доступом
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа – какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска(объект), право доступа на модификацию данных в каком-то каталоге(объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.
Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. Например - кто и когда пытался входить в систему, чем завершилась эта попытка, кто и какими информациоными ресурсами пользовался, какие и кем модифицировались информационные ресурсы и много других.
Аудит- это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.
Реализация протоколирования и аудита преследует следующие главные цели:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
4. Шифрование больших сообщений и потоков данных
Эта проблема появилась сравнительно недавно с появлением средств мультимедиа и сетей с высокой пропускной способностью, обеспечивающих передачу мультимедийных данных.
До сих пор говорилось о защите сообщений. При этом под ними подразумевалась скорее некоторая текстовая или символическая информация. Однако в современных ИС и информационных системах начинают применяться технологии, которые требуют передачи существенно больших объемов данных. Среди таких технологий:
* факсимильная, видео и речевая связь;
* голосовая почта;
* системы видеоконференций.
Объем передаваемой информации разных типов можно представить на условной диаграмме.
Так как передача оцифрованной звуковой, графической и видеоинформации во многих случаях требует конфиденциальности, то возникает проблема шифрования огромных информационных массивов. Для интерактивных систем типа телеконференций, ведения аудио или видеосвязи, такое шифрование должно осуществляться в реальном масштабе времени и по возможности быть «прозрачным» для пользователей.
Это немыслимо без использования современных технологий шифрования.
Наиболее распространенным является потоковое шифрованиеданных. Если в описанных ранее криптосистемах предполагалось, что на входе имеется некоторое конечное сообщение, к которому и применяется криптографический алгоритм, то в системах с потоковым шифрованием принцип другой.
Система защиты не ждет, когда закончится передаваемое сообщение, а сразу же осуществляет его шифрование и передачу.
Наиболее очевидным является побитовое сложение входящей последовательности (сообщения) с некоторым бесконечным или периодическим ключом, получаемым например от генератора ПСП. Примером стандарта потокового шифрования является RC4, разработанныйРивестом. Однако, технические подробности этого алгоритма держатся в секрете.
Другим, иногда более эффективным методом потокового шифрования является шифрование блоками. Т.е. накапливается фиксированный объем информации (блок), а затем преобразованный некоторым криптографическим методом передается в канал связи.
Заключение
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем, основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, то есть с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.
Криптография сегодня - это важнейшая часть всех информационных систем: от электронной почты до сотовой связи, от доступа к сети Internet до электронной наличности. Криптография обеспечивает подотчетность, прозрачность, точность и конфиденциальность. Она предотвращает попытки мошенничества в электронной коммерции и обеспечивает юридическую силу финансовых транзакций. Криптография помогает установить вашу личность, но и обеспечивает вам анонимность. Она мешает хулиганам испортить сервер и не позволяет конкурентам залезть в ваши конфиденциальные документы. А в будущем, по мере того как коммерция и коммуникации будут все теснее связываться с компьютерными сетями, криптография станет жизненно важной.
Но присутствующие на рынке криптографические средства не обеспечивают того уровня защиты, который обещан в рекламе. Большинство продуктов разрабатывается и применяется отнюдь не в сотрудничестве с криптографами. Этим занимаются инженеры, для которых криптография - просто еще один компонент программы. Но криптография - это не компонент. Нельзя обеспечить безопасность системы, «вставляя» криптографию после ее разработки. На каждом этапе, от замысла до инсталляции, необходимо осознавать, что и зачем вы делаете.
Для того, чтобы грамотно реализовать собственную криптосистему, необходимо не только ознакомится с ошибками других и понять причины, по которым они произошли, но и, возможно, применять особые защитные приемы программирования и специализированные средства разработки.
На обеспечение компьютерной безопасности тратятся миллиарды долларов, причем большая часть денег выбрасывается на негодные продукты. К сожалению, коробка со слабым криптографическим продуктом выглядит так же, как коробка со стойким. Два криптопакета для электронной почты могут иметь схожий пользовательский интерфейс, но один обеспечит безопасность, а второй допустит подслушивание. Сравнение может указывать сходные черты двух программ, но в безопасности одной из них при этом зияют дыры, которых лишена другая система. Опытныйкриптограф сможет определить разницу между этими системами. То же самое может сделать и злоумышленник.
На сегодняшний день компьютерная безопасность - это карточный домик, который в любую минуту может рассыпаться. Очень многие слабые продукты до сих пор не были взломаны только потому, что они мало используются. Как только они приобретут широкое распространение, они станут притягивать к себе преступников. Пресса тут же придаст огласке эти атаки, подорвав доверие публики к этим криптосистемам. В конце концов, победу на рынке криптопродуктов определит степень безопасности этих продуктов.
Список литературы
1. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=27&pa=13&ar=5
2. СОВРЕМЕННЫЕ КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИМиргородскаяИ.А.ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЭКОНОМИКЕ, ОБРАЗОВАНИИ И БИЗНЕСЕ Материалы VIII международной научно-практической конференции. 2014. С. 62-64.
3.http://www.studentlibrary.ru/doc/ISBN5898180648-SCN0001/002.html
4.http://www.studentlibrary.ru/doc/ISBN9785238014104-SCN0001/000.html
5. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Фомичев В.М., Мельников Д.А.Учебник: в 2 частях / Москва, 2016. Сер. 58 Бакалавр. Академический курс Том ЧАСТЬ 1 Учебник: в 2 частях
6.http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
7.https://ru.wikipedia.org/wiki/Криптография
8.http://infosecmd.narod.ru/gl5.html
9.КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Запечников С.В., Казарин О.В., Тарасов А.А.Москва, 2015. Сер. 58 Бакалавр. Академический курс (1-е издание)
10. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Васильева И.Н.Учебник и практикум / Москва, 2016. Сер. 58 Бакалавр. Академический курс (1-е изд.)
11.http://www.studentlibrary.ru/doc/ISBN5898180648-SCN0000/000.html
12.http://fb.ru/article/141969/skzi---eto-chto-sredstva-kriptograficheskoy-zaschityi-informatsii
13.Защита компьютерной информации. Эффективные методы и средства / Шаньгин В. . - М. : ДМК Пресс, 2010. - 544 с. : ил.
14.http://itsphera.ru/it/cryptographic-methods-and-tools-for-information-protection.html
15. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Фомичев В.М., Мельников Д.А.Учебник: в 2 частях / Москва, 2016. Сер. 58 Бакалавр. Академический курс Том ЧАСТЬ 2 СИСТЕМНЫЕ И ПРИКЛАДНЫЕ АСПЕКТЫ
16.http://www.4safe.ru/sredstva_zaschity_informatsii/skzi/
17.Введение в информационную безопасность : Учебное пособие для вузов / А.А. Малюк, В.С. Горбатов, В.И. Королев и др.; Под ред. B.С. Горбатова. - М. : Горячая линия - Телеком, 2011.