Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

«аутентификация» иногда используют сочетание «проверка под линности».

Субъект может подтвердить свою подлинность, если предъявит по крайней

мере одну из следующих сущностей:

– секретную информацию — нечто, что он лично знает: пароль, лич-

ный идентификационный номер, криптографический ключ и т. п.;

– материальный объект — нечто, чем он персонально владеет: личную

карточку, смарт-карту или иное устройство аналогичного на значения;

– биометрические характеристики — нечто, что является частью его

самого: голос, отпечатки пальцев, сетчатки глаза и т. п.;

– нечто, ассоциированное с ним, например, координаты.

К сожалению, надежная идентификация и аутентификация затруд нена

по ряду принципиальных причин. Во-первых, компьютерная си стема осно-

вывается на информации в том виде, в каком она была получена; строго

говоря, источник информации остается неизвест ным. Например, злоумыш-

ленник мог воспроизвести ранее перехва ченные данные. Следовательно,

необходимо принять меры для безо пасного ввода и передачи идентифи-

кационной и аутентификационной информации; в сетевой среде это со-

пряжено с особыми трудностя ми. Во-вторых, почти все аутентификацион-

ные сущности можно уз нать, украсть или подделать. В-третьих, имеется

противоречие меж ду надежностью аутентификации, с одной стороны, и

удобствами пользователя и системного администратора, с другой. Так, из

сооб ражений безопасности необходимо с определенной частотой просить

пользователя повторно вводить аутентификационную информацию (ведь

на его место мог сесть другой человек), а это не только хло потно, но и по-

вышает вероятность подглядывания за вводом. В-чет вертых, чем надежнее

средство защиты, тем оно дороже.

Таким образом, необходимо искать компромисс между надеж ностью,

доступностью по цене и удобством использования и адми нистрирования

средств идентификации и аутентификации. Обычно компромисс достига-

ется за счет комбинирования двух первых из перечисленных базовых меха-

низмов проверки подлинности.

Существует множество методов, применяемых для идентифика ции и

установления подлинности различных объектов.

5.1.1. Методы идентификации и установления подлинности

субъектов и различных объектов

При обмене информацией рекомендуется в любом случае пре дусмотреть

взаимную проверку подлинности полномочий объекта или субъекта. Если

обмен информацией производится по сети, то эта процедура должна вы-

полняться обязательно. Для этого необходимо, чтобы каждому из объектов

и субъектов присваивалось уникальное имя. Каждый из объектов (субъек-

тов) должен хранить в своей памяти (недоступной для посторонних лиц)

тот список, в котором находятся имена объектов (субъектов), с которыми

будут производиться про цессы обмена защищаемыми данными.

Основными методами аутентификации являются парольная аутен-

тификация, метод «запрос-ответ» и аутентификация с использова нием

функциональных методов (например, модель «рукопожатие»).

При парольной аутентификации субъект после ввода иденти фикатора

вводит соответствующую секретную информацию (пароль, личный иден-

тификационный номер т. п.).

Метод «запрос-ответ». При использовании метода «запрос-ответ» в КС

заблаговременно создается и особо защищается массив вопросов, включаю-

щий в себя как вопросы общего характера, так и персональные вопросы, от-

носящиеся к конкретному пользователю, например, вопро сы, касающиеся

известных только пользователю случаев из его жизни.

Для подтверждения подлинности пользователя система последо-

вательно задает ему ряд случайно выбранных вопросов, на которые он дол-

жен дать ответ. Опознание считается положительным, если пользователь

правильно ответил на все вопросы.

Основным требованием к вопросам в данном методе аутентифи кации

является уникальность, подразумевающая, что правильные от веты на во-

просы знают только пользователи, для которых эти вопро сы предназначе-

ны.

Модель «рукопожатие». При любом варианте парольной аутен-

тификации подтверждение подлинности пользователя осуществляет ся на

основе ввода им некоторой конфиденциальной информации, которую мож-

но подсмотреть, выманить, подобрать, угадать и т.п. Рассмотрим аутенти-

фикацию пользователей на основе модели «руко пожатия», во многом сво-

бодную от указанных недостатков.

В соответствии с этой моделью пользователь П и система С согласовы-

вают при регистрации пользователя в КС функцию, извест ную только им.

Протокол аутентификации пользователя в этом случае выглядит следую-

щим образом:

1. С: генерация случайного значения х

; вычисление у = f(x); вывод х.

2. П: вычисление у' = f'(x); ввод у'.

3. С: если у и у'совпадают, то пользователь допускается к работе в систе-

ме, иначе попытка входа в систему отклоняется.

К функции предъявляется требование, чтобы по известным х нельзя

было угадать f.

Преимущества аутентификации на основе модели «рукопожатия» перед

парольной аутентификацией:

– между пользователем и системой не передается никакой кон-

фиденциальной информации, которую нужно сохранять втайне;

– каждый следующий сеанс входа пользователя в систему отли чен от

предыдущего, поэтому даже длительное наблюдение за этими сеансами ни-

чего не даст нарушителю.

К недостаткам аутентификации на основе модели «рукопожатия» от-

носится большая длительность этой процедуры по сравнению с парольной

аутентификацией.

Идентификация и установление подлинности документов

Подлинность документов необходимо рассматривать со следую щих по-

зиций:

– документ сформирован непосредственно в этой ВС (на ее ап паратуре

документирования);

– документ получен с удаленных объектов.

В первом случае подлинность документа гарантируется средства ми за-

щиты информации от НСД и применением криптографического преобразо-

вания информации. Информация закрывается кодом паро ля (он известен

передающему лицу и получателю).

Во втором случае также широко используются методы криптогра-

фического преобразования информации (если документы относитель но

долго хранились в памяти ВС или же транспортировались по нео храняемой

территории).

Идентификация и установление подлинности информации

на средствах ее отображения и печати

Методы определения подлинности информации на средствах ее ото-

бражения тесно связаны с методами определения подлинности докумен-

тов, которые являются носителями соответствующей информации. Поэто-

му все соображения по отношению к методам опреде ления подлинности

документов также относятся и к методам установ ления подлинности ин-

формации, содержащейся на средствах ее ото бражения. Здесь также широ-

ко используются различные методы криптографического преобразования

информации.

Своевременное обнаружение

несанкционированных действий пользователей

Своевременное обнаружение фактов несанкционированных дей ствий

пользователей основано на выполнении следующих функций:

– периодический контроль целостности информации;

– регистрация и сигнализация;

– контроль правильности функционирования системы защиты.

Периодический контроль целостности конфиденциальной инфор мации

позволяет своевременно обнаружить попытки подлога и по тери данных, а

системной — внедрение программных закладок и компьютерных вирусов.

Регистрация для своевременного обнаружения фактов несанкцио-

нированных действий пользователей предполагает фиксацию и на-

копление сведений обо всех запросах, содержащих обращения к защищае-

мым компьютерным ресурсам, включая доступ в вычисли тельную систему

и завершение сеанса работы пользователей. Сигна лизация же в этом случае

состоит в своевременном уведомлении соответствующих компонентов си-

стемы защиты и администрации об обнаруженных несанкционированных

действиях.

Без эффективной реализации функций контроля правильности функ-

ционирования системы защиты невозможно достигнуть высокой эффек-

тивности функционирования не только подсистемы обнаруже ния несанк-

ционированных действий пользователей, но и системы защиты в целом.

Общие сведения о контроле информационной целостности

Под контролем целостности данных, хранимых в вычислительной си-

стеме или передаваемых по каналам связи, понимается обнаруже ние их лю-

бых случайных или несанкционированных изменений.

Периодическому контролю на целостность должна подвергать-

ся вся конфиденциальная и системная информация, хранящаяся в вы-

числительной системе.

Периодичность контроля целостности хранящейся в вычислитель ной

системе конфиденциальной и системной информации не должна быть реже

ежедневной. Поэтому программы контроля информационной целостности

целесообразно активизировать в процессе загрузки операционной систе-

мы.

Передаваемая по каналам связи информация должна подвер гаться кон-

тролю на целостность после каждого приема этой инфор мации получате-

лем.

Контроль информационной целостности реализуется на основе пред-

варительного определения характеристики целостной (эталонной) инфор-

мации, называемой эталонной характеристикой или эталонным кодом об-

наружения модификаций. Для высокой эффективности ис пользования эта

эталонная характеристика должна быть по объему значительно меньше

контролируемой информации и ее значение дол жно зависеть от содержи-

мого и очередности всех двоичных блоков, защищаемых от модификации

данных. В зарубежной литературе эта лонную характеристику обнаружения

модификаций называют МАС-кодом (message authentication code).

В процессе непосредственного контроля информационной целост ности

выполняются следующие действия:

– для контролируемой информации определяется текущая харак-

теристика обнаружения модификаций по тому же способу, по которо му

формировалась эталонная характеристика;

– текущая и эталонная характеристики обнаружения модифика ций

сравниваются, и если они совпадают, то считается, что контро лируемая на

целостность информация не подвергалась изменению.

Для объективности заключения об информационной целостности по со-

впадению текущей и эталонной характеристик обнаружения мо дификаций

необходимо, чтобы метод, используемый для формирова ния этих характе-

ристик, обеспечивал чрезвычайно малую вероятность изменения данных,

при которых их текущая и эталонная характери стики совпадают.

Эталонная характеристика обнаружения модификаций должна хра-

ниться или передаваться вместе с контролируемыми на целостность дан-

ными, для которых эта характеристика сформирована.

Способы определения модификаций информации

Определение случайных модификаций. Для определения слу чайных

модификаций информации ее эталонная характеристика может быть от-

крытой для доступа. В этом случае формирование характери стики обнару-

жения модификаций может осуществляться в соответ ствии со схемой по-

следовательного контрольного суммирования.

Определение преднамеренных модификаций. Для определе ния не

только случайных, но и преднамеренных модификаций информации ее эта-

лонная характеристика должна защищаться криптогра фическими метода-

ми или формироваться на основе криптографичес ких преобразований.

Тогда при доступе к зашифрованному информационному объекту вы-

полняются следующие действия:

1) после ввода ключа этот объект расшифровывается;

2) для определения его целостности вычисляется текущая харак-

теристика обнаружения модификаций;

3) полученная текущая характеристика обнаружения модифика ций

сравнивается с эталонной, хранящейся вместе с зашифрован ным информа-

ционным объектом, и при их совпадении выдается сообщение, что контро-

лируемая на целостность информация не под вергалась изменению.

Стойкость данной схемы основана на стойкости блочного шифра, для

которого по известным входному и выходному сообщениям нельзя вычис-

лить ключ.

Практическая реализация контроля целостности. Подсис тема кон-

троля информационной целостности является неотъемлемым компонен-

том любой специализированной системы защиты информа ции. Данная

подсистема должна обеспечивать периодический конт роль целостности не

только конфиденциальных данных, но и всей системной информации, за-

дающей требуемые режимы и параметры функционирования компьютера.

Это позволяет своевременно обнару живать как попытки подлога и потери

конфиденциальной информа ции, так и внедрение несанкционированных

программ (программных закладок и компьютерных вирусов).

Таким образом, функции по контролю информационной целостности

наряду с проверкой целостности конфиденциальной информации обеспе-

чивают своевременное обнаружение отклонений текущего состояния ра-

бочей среды компьютера от эталонного. По этой причине подсистему кон-

троля информационной целостности часто называют подсистемой обес-

печения эталонного состояния рабочей среды вычислительной системы.

Организация контроля. При установке и использовании про граммных

средств контроля информационной целостности должны быть выполнены

следующие этапы:

1. Проведены тщательный анализ всех файлов конфигурирования и на-

стройка на отсутствие вызовов несанкционированных программ. При об-

наружении такие вызовы следует удалить, а также установить и устранить

причину их появления.

2. Проведен тщательный анализ вычислительной системы на на личие

вирусов и осуществлено полное обезвреживание обнаруженных вирусных

программ с помощью обновленной версии транзитного сканера. Для боль-

шей эффективности процессов поиска и обезвре живания вирусов целесоо-

бразно независимое применение несколь ких различных сканеров.

3. Установлены требуемые режимы и параметры рабочей среды ком-

пьютера.

4. Формирование с помощью специализированной программы, напри-

мер, ревизора, следующих эталонных характеристик рабочей среды ком-

пьютера:

– содержимого загрузочных секторов жестких дисков;

– контрольных сумм содержимого файлов конфигурирования и на-

стройки;

– контрольных сумм или описания структуры содержимого опера-

тивной памяти компьютера;

– информации о количестве и расположении сбойных кластеров жест-

ких дисков (некоторые вирусы размещают свои тела в свободных класте-

рах, помечаемых затем этими вирусами как сбойные);

– контрольных сумм содержимого файлов с программами, а так же их си-

стемных характеристик: пути, даты и времени создания, длины, значений

атрибутов, а при необходимости, и адресов физи ческого расположения;

– контрольных сумм и системных характеристик файлов с конфи-

денциальными данными.

5. Осуществлялась периодическая проверка специализирован ной про-

граммой, например, ревизором, соответствия реальных ха рактеристик эле-

ментов компьютерной системы их эталонным харак теристикам, которые

эти элементы имели при целостном (эталонном) состоянии. В зависимости

от возможностей специализированной про граммы контроля могут исполь-

зоваться следующие виды периоди ческих проверок:

– строго периодическая, например, ежедневная, при которой про-

веряются все элементы компьютера, для которых созданы эталон ные ха-

рактеристики;

– в режиме реального времени, при которой осуществляется про верка

контролируемых элементов только при попытке их использова ния, напри-

мер, при попытке запуска программ и открытия документов.

При обновлении контролируемых на целостность информацион ных

объектов, например, при изменении файлов конфигурирования и настрой-

ки, должны быть изменены и их эталонные характеристики.

Для файлов с конфиденциальными данными эталонные характе ристики

следует формировать после каждого обновления или создания этих фай-

лов. Для высокой безопасности непосредственный кон троль целостности

файлов с информацией повышенного уровня сек ретности целесообразно

выполнять не только ежедневно, но и перед доступом к этим файлам.

В случае обнаружения несоответствия реальных характеристик эталон-

ным перед принятием мер необходимо выяснить причину это го несоответ-

ствия. Возможны следующие причины:

– после обновления элементов, для которых формировались эта лонные

характеристики, не была обновлена эталонная информация;

– произошло повреждение контролируемых элементов данных из- за

сбоев или отказов программно-аппаратных средств;

– произошла несанкционированная модификация информацион ных

файлов;

произошло заражение программ компьютерным вирусом.-

Особенности использования программ непосредственного контроля

Программы, предназначенные для непосредственного контро ля соот-

ветствия текущих характеристик элементов данных их эта лонным характе-

ристикам, могут функционировать транзитно и ре зидентно.

Транзитные программы контроля загружаются в оперативную па мять

только для выполнения проверок. Резидентные же программы после запу-

ска остаются в оперативной памяти и проверяют контроли руемые элемен-

ты компьютера при возникновении с ними определен ных событий (откры-

тие документов, запуск и модификация программ, копирование, создание,

переименование файлов и т. д.). Наибольшая результативность контроля

информационной целостности достигается при совместном использова-

нии транзитного и резидентного средства, когда осуществляется не только

строго периодическая, например, ежедневная проверка, но и динамический

контроль элементов дан ных на соответствие эталонным характеристикам.

При этом следует учитывать, что использование резидентной программы

контроля при водит к снижению быстродействия функционирования ком-

пьютера.

Для транзитной программы контроля должны быть предусмотре ны

следующие режимы работы:

– первый запуск для формирования эталонных характеристик под-

лежащих контролю информационных объектов компьютера после по иска

и обезвреживания вирусов транзитным сканером и тщательной проверки

файлов конфигурирования на отсутствие вызовов программ ных закладок;

– ежедневный запуск в процессе загрузки операционной системы для

проверки всех контролируемых информационных объектов (в опе ративной

памяти, а также на всех логических дисках); и по мере необходимости для

формирования эталонных характеристик создан ных или обновленных фай-

лов с конфиденциальной и системной ин формацией;

– запуск по мере необходимости для формирования эталонных харак-

теристик программ, поступающих извне, после проверки их тран зитным

сканером.

Для активизации строго периодического запуска транзитной про-

граммы контроля может использоваться резидентная программа-пла-

нировщик.

Запуск резидентной программы контроля для ее постоянного на-

хождения в оперативной памяти должен осуществляться в процессе загруз-

ки операционной системы.

Недостатком программ контроля информационной целостности явля-

ется настойчивость и требовательность по отношению к пользо вателям,

так как пользователями или администраторами не всегда вовремя обнов-

ляются эталонные данные. Но этот недостаток ком пенсируется значитель-

ным повышением степени защищенности от подлога и потери данных, а

также внедрением программных закла док и компьютерных вирусов.

Контроль правильности функционирования системы защиты

Независимо от мощности системы защиты невозможно достиг нуть сво-

евременного обнаружения несанкционированных действий пользователей

и высокой информационной безопасности в целом без эффективной реали-

зации функций контроля правильности работы за щитных подсистем.

Для комплексного контроля правильности функционирования си стемы

защиты должна быть предусмотрена реализация следующих базовых функ-

ций:

– периодического контроля правильности функционирования за-

щитных подсистем;

– контроля корректности модификации параметров настроек сис темы

защиты;

– постоянной регистрации данных о функционировании системы защи-

ты и их анализа;

– уведомления ответственных лиц при нарушении правильности рабо-

ты защитных средств.

Периодический контроль правильности функционирования систе мы

защиты подсистем предполагает периодическое выполнение сле дующих

действий:

– проверки наличия требуемых резидентных компонентов систе мы за-

щиты в оперативной памяти компьютера;

– контроля всех программ системы защиты, находящихся во внешней

и оперативной памяти, на соответствие эталонным характе ристикам (кон-

трольным суммам);

– проверки корректности параметров настройки функционирова ния

системы защиты, располагаемых как в оперативной, так и внеш ней памя-

ти;

– контроля корректности эталонной информации (идентификато ров,

паролей, ключей шифрования и т. д.).

При проверке корректности модификации параметров настроек си-

стемы защиты подсистема контроля не должна допустить установку пара-

метров, противоречащих политике безопасности, принятой в орга низации.

Регистрация данных о функционировании системы защиты предпо-

лагает фиксацию и накопление информации о следующих действиях:

– действиях всех подсистем защиты;

– действиях всех администраторов и пользователей других кате горий

по использованию защитных средств.

Кроме регистрации данных о функционировании системы защи ты, дол-

жен быть обеспечен и периодический анализ накопленной информации.

Основной задачей такого анализа является своевре менное определение не-

допустимых действий, а также прогнозирова ние степени безопасности ин-

формации и процесса ее обработки в вычислительной системе.

Для возможности и результативности периодического анализа пред-

варительно должны быть определены принципы, описывающие политику

работы системы защиты:

– в работе системы защиты допустимо все, что не запрещено;

– в работе системы защиты запрещено все, что явно недопустимо.

Более высокий уровень контроля и безопасности обеспечивает второй

принцип, так как на практике не всегда удается полностью учесть все дей-

ствия, которые запрещены. Надежнее определить все действия, которые

разрешены, и запретить все остальные.

При обнаружении подсистемой контроля любых нарушений в пра-

вильности функционирования подсистемы защиты должно быть вы полнено

немедленное уведомление соответствующей службы безо пасности.

Только системный подход к организации и реализации контроля пра-

вильности функционирования всех защитных средств позволит достигнуть

уровня безопасности, на который ориентирована исполь зуемая система за-

щиты информации.

5.2. Парольная аутентификация

Наиболее распространенным средством аутентификации являют ся па-

роли. Система сравнивает введенный и ранее заданный для данного поль-

зователя пароль; в случае совпадения подлинность пользователя считается

100

доказанной. Другое средство, постепенно набирающее популярность,— се-

кретные криптографические ключи пользователей.

Главное достоинство парольной аутентификации — простота и при-

вычность.

Пароль можно угадать методом грубой силы, используя, быть может,

словарь. Если файл паролей зашифрован, но доступен на чтение, его мож-

но перекачать к себе на компьютер и попытаться подобрать пароль, запро-

граммировав полный перебор.

Пароли уязвимы по отношению к электронному перехвату — это наи-

более принципиальный недостаток, который нельзя компенсиро вать улуч-

шением администрирования или обучением пользовате лей. Практически

единственный выход — использование криптогра фии для шифрования па-

ролей перед передачей по линиям связи или вообще их не передавать, как

это делается в сервере аутенти фикации Kerberos.

Тем не менее следующие меры позволяют значительно повысить на-

дежность парольной защиты:

– наложение технических ограничений (пароль должен быть не слиш-

ком коротким — не менее 8 символов, он должен содержать буквы, цифры,

знаки пунктуации и т. п.);

– управление сроком действия паролей, их периодическая смена;

– ограничение доступа к файлу паролей;

– ограничение числа неудачных попыток входа в систему, что затруд-

нит применение метода «грубой силы»;

– обучение и воспитание пользователей (например, тому, что па роли, в

отличие от обеда, лучше не разделять с другом и не запи сывать на обороте

последней страницы перекидного календаря);

– использование программных генераторов паролей, которые, ос-

новываясь на несложных правилах, могут порождать только благо звучные

и, следовательно, запоминающиеся пароли.

Вероятность подбора пароля уменьшается также при увеличении его

длины и времени задержки между разрешенными попытками по вторного

ввода неправильно введенного пароля. Ожидаемое время раскрытия паро-

ля 7 (в днях) можно вычислить на основе следующей приближенной фор-

мулы:

Т = (А * S * t

) / 2,

где А — число символов в алфавите, используемом для набора симво лов

пароля;

S - длина пароля в символах, включая пробелы и другие слу жебные сим-

волы;

- время ввода пароля в секундах с учетом времени задержки между

разрешенными попытками повторного ввода неправильно вве денного па-

роля.

Для исключения необходимости запоминания пользователями длин-