Предоставление привилегий на доступ

Предоставление привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

Задача метода - затруднить преднамеренный перехват информации нарушителем. Примером такого доступа может быть сейф с несколькими ключами, он открывается только при наличии всех ключей. Аналогично в АСОИ может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей. Данный метод усложняет процедуру доступа к информации, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.

При наличии дефицита в средствах, а также в целях постоянного контроля доступа к информации со стороны администрации потребителя АСУ в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается на дисплей только руководителя, а на дисплей подчиненного - только информация о факте ее вызова.

5.6. Идентификация и установление подлинности объекта (субъекта)

Объект идентификации и установление подлинности

Идентификация - это присвоение какому-либо объекту или субъекту уникального образа, имени или числа.

Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает.

Конечная цель идентификации и установления подлинности объекта в вычислительной системе - допуск его к информации ограниченного пользования в случае положительного исхода проверки или отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и установления подлинности в АСОИ могут быть:

• человек (оператор, пользователь, должностное лицо);

• техническое средство (терминал, дисплей, ЭВМ, АСОИ);

• документы (распечатки, листинги и др.);

• носители информации (съемные диски);

• информация на мониторе, дисплее, табло и т. д.

Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, вычислительной системой и т. д.

В вычислительных системах применение указанных методов в целях защиты информации при ее обмене предполагает конфиденциальность, образов и имен объектов.

При обмене информацией между человеком и ЭВМ (а при удаленных связях обязательно) вычислительными системами в сети рекомендуется предусмотреть взаимную проверку подлинности полномочий объекта или субъекта. В указанных целях необходимо, чтобы каждый из объектов (субъектов) хранил в своей памяти, недоступной для посторонних, список образов (имен) объектов (субъектов) с которыми производится обмен информацией, подлежащей защите.

Идентификация и установление подлинности личности

В повседневной жизни идентификатором личности является его внешний вид: фигура, форма головы, черты лица, характер, его привычки, поведение и другие свойственные данному человеку признаки которые создают образ данного человека и которые сознательно или подсознательно мы приобретаем в процессе общения с ним и храним в своей памяти.

В качестве биометрических признаков, которые могут быть использованы при идентификации субъекта доступа, можно выделить следующие:

· отпечатки пальцев;

· геометрическая форма рук;

· узор радужной оболочки и сетчатки глаз;

· расположение кровеносных сосудов;

· запах тела;

· термические параметры тела;

· форма и размеры лица;

· особенности голоса;

· биомеханические характеристики почерка;

· биомеханические характеристики «клавиатурного почерка».

Основными параметрами, по которым можно сравнить эффективность и надежность реализации того или иного способа идентификации субъекта доступа на основе биометрических характеристик личности, являются стандартные статистические показатели ошибок первого и второго рода. Ошибка первого рода устанавливает вероятность отказа в доступе легальному пользователю автоматизированной системы, ошибка второго рода - вероятность несанкционированного предоставления доступа. В современных системах разграничения доступа, основанных на применении биометрических параметров, вероятность ошибки первого рода составляет от 10^-6 до 10^-3, а вероятность ошибки второго рода 6,6x10^-6 до 10^-2.

Известно, что отпечатки пальцев и очертания ладони руки, тембр голоса, личная подпись и другие элементы личности носят индивидуальный характер и сохраняются на протяжении всей жизни человека. В настоящее время в этом направлении ведутся поиски технических решений и сделаны определенные успехи, но они пока носят рекламный характер и не получили широкого распространения. В разработанных для этой цели системах наблюдаются частые случаи отказа в санкционированном доступе и открытии доступа случайному пользователю. Не располагая подробными отчетами о проделанной работе, можно все же указать на предполагаемые причины этих неудач. Они кроются в недооценке задачи. Дело в том, что для выполнения процедуры установления подлинности необходимо совпадение образа, снимаемого с личности пользователя с образом, хранящимся в памяти вычислительной системы, а для отказа в доступе система должна обладать способностью отличать похожие образы. Здесь существуют две задачи, которые необходимо решить одновременно. Для первой задачи (допуска) не требуется большого объема информации об образе (скажем даже, что чем меньше, тем лучше), а для выполнения второй (отказа) - информацию об образе необходимо увеличить на максимально возможную величину.

Пока возможности техники ограничены и объемы памяти систем распознавания хранили ограниченный объем информации об образе, преобладали случаи допуска лица, не предусмотренного системой.

С развитием техники и увеличением объема информации об образе с целью наиболее точной проверки личности и наибольшего количества ее параметров увеличивается вероятность их изменений во времени и несовпадения с параметрами образа, хранимого системой проверки, растут объемы памяти, усложняется аппаратура и увеличивается вероятность отказа в доступе лицу, имеющему на это право.

Отправной точкой при разработке систем распознавания образов было естественное стремление повысить точность воспроизведения образа с целью отобрать автоматически из множества потенциальных образов единственный, хранящийся в памяти системы. Но при этом, по-видимому не принималась во внимание величина этого множества, а она приближается к бесконечности (населению жившему, живущему и родившемуся в будущем на Земле). Какова должна быть точность воспроизведения образа? Какова должна быть разница между образом разрешенной к доступу личности и образом потенциального нарушителя? Какова вероятность появления нарушителя, образ которого приближается к образу, хранимому в памяти вычислительной системы? На эти вопросы ответов нет. Следовательно, работы по системам распознавания образов в целях широкого применения для защиты информации в вычислительных системах нецелесообразны. Не следует также забывать о том, что стремление человека копировать природу не всегда приносило положительный результат.

Кроме того, системы идентификации и установления подлинности личности, основанные на антропометрических и физиологических данных человека, не отвечают самому важному требованию: конфиденциальности, так как записанные на физические носители данные хранятся постоянно и фактически являются ключом к информации, подлежащей защите, а постоянный ключ, в конце концов, становится доступным.

Типичным примером простой и распространенной системы аутентификации является система "ключ-замок", в которой владелец ключа является объектом установления подлинности. Но ключ можно потерять, похитить или снять с него копию, так как идентификатор личности физически от нее отделен. Система "ключ-замок" имеет локальное применение. Однако в сочетании с другими системами аутентификации и в условиях пониженных требований она применяется до сих пор. В электромеханическом замке вместо ключа может применяться код.

Одним из распространенных методов аутентификации являются присвоение лицу или другому объекту уникального имени или числа - пароля и хранение его значения в вычислительной системе. При входе в вычислительную систему пользователь вводит через терминал свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей памяти, и при совпадении кодов открывает доступ к разрешенной функциональной задаче, а при несовпадении - отказывает в нем.

Наиболее высокий уровень безопасности входа в систему достигается разделением кода пароля на две части: одну, запоминаемую пользователем и вводимую вручную, и вторую, размещаемую на специальном носителе – карточке, устанавливаемой пользователем на специальное считывающее устройство, связанное с терминалом. В этом случае идентификатор связан с личностью пользователя, размер пароля может быть легко запоминаемым и при хищении карточки у пользователя будет время для замены кода пароля и получения новой карточки.

На случай защиты запоминаемой части пароля от получения ее нарушителем путем физического принуждения пользователя, возможно, будет полезно в вычислительной системе предусмотреть механизм тревожной сигнализации, основанный на применении ложного пароля! Ложный пароль запоминается пользователем одновременно с действительным и сообщаете преступнику в вышеупомянутой ситуации.

Однако, учитывая опасность, которой подвергается жизнь пользователя, необходимо в вычислительной системе одновременно со скрытой сигнализацией предусмотреть механизм обязательного выполнения требований преступникавоспользовавшегося средствами аутентификации законного пользователя.

Кроме указанных методов паролей в вычислительных системах в качестве средств аутентификации применяют методы "Запрос-ответ" и "рукопожатия".

В методе "Запрос-ответ" набор ответов на "m" стандартных и "n" ориентированных на пользователя вопросов хранится в ЭВМ и управляется операционной системой. Когда пользователь делает попытку включиться в работу, операционная система случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Правильные ответы пользователя на указанные вопросы открывают доступ к системе.

Для исключения некоторых недостатков описанных выше методов операционная система может потребовать, чтобы пользователь доказал свою подлинность с помощью корректной обработки алгоритмов. Эту часть называют процедурой в режиме "рукопожатия", она может быть выполнена как между двумя ЭВМ, так и между пользователем и ЭВМ.

Методы "Запрос-ответ" и "рукопожатия" в некоторых случаях обеспечивают большую степень безопасности, но вместе с тем являются более сложными и требующими дополнительных затрат времени. Как и обычно, здесь нужно найти компромисс между требуемой степенью безопасности и простотой использования. При сложном использовании пользователь будет искать пути упрощения процедуры и в итоге найдет их, но за счет снижения эффективности средства защиты.

Идентификация и установление подлинности технических средств

Следующей ступенью при организации системы защиты информации в вычислительной системе могут быть идентификация и установление подлинности терминала, с которого входит в систему пользователь. Данная процедура также может осуществляться с помощью паролей. Пароль можно использовать не только для аутентификации пользователя и терминала по отношению к системе, но и для обратного установления подлинности ЭВМ по отношению к пользователю. Это важно, например, в вычислительных сетях, когда связь осуществляется с территориально удаленными объектами. В этом случае применяются одноразовые пароли или более сложные системы шифрования информации.

Идентификация и установление подлинности документов

В вычислительных системах в качестве документов, являющихся продуктом информационной системы и содержащих секретную информацию, могут быть распечатки с различных печатающих устройств.

Здесь необходимо подлинность документа рассматривать с двух позиций:

· получения документа, сформированного непосредственно данной вычислительной системой и на аппаратуре ее документирования;

· получения готового документа с удаленных объектов вычислительной сети или АСОИ.

В первом случае подлинность документа гарантируется вычислительной системой, имеющей средства защиты информации от НСД, а также физическими характеристиками печатающих устройств, присущими только данному устройству. Однако в ответственных случаях этого может оказаться недостаточно. Применение криптографического преобразования информации в этом случае является эффективным средством. Информация, закрытая кодом пароля, известным только передающему ее лицу и получателю, не вызывает сомнения в ее подлинности. Если код пароля, применяемый в данном случае, используется только передающим лицом и вводится им лично.

Криптографическое преобразование информации для идентификации и установления подлинности документа во втором случае, когда документ транспортировался по неохраняемой территории с территориально удаленного объекта или продолжительное время находился на хранении, также является наиболее эффективным средством. Однако при отсутствии необходимого для этой цели оборудования невысокие требования к защите информации иногда позволяют использовать более простые средства идентификация и установление подлинности документов: опечатывание и пломбирование носителей документов с обеспечением их охраны. При этом к носителю должны прилагаться сопроводительные документы с подписями ответственных должностных лиц, заверенными соответствующими печатями.

При неавтоматизированном обмене информацией подлинность документа удостоверяется личной подписью человека, автора (авторов) документа. Проверка подлинности документа в этом случае обычно заключается в визуальной проверке совпадения изображения подписи на документе с образцом подлинника. При этом подпись располагается на одном листе вместе с текстом или частью текста документа, подтверждая тем самым подлинность текста. В особых случаях при криминалистической экспертизе проверяются и другие параметры подлинности документа.

При автоматизированной передаче документов по каналам связи, расположенным на неконтролируемой территории, меняются условия передачи документа. В этих условиях, даже если сделать аппаратуру, воспринимающую и передающую изображение подписи автора документа, его получатель получит не подлинник, а всего лишь копию подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования при передаче ложного документа. Поэтому при передаче документов по каналам связи в вычислительной сети используется криптографическое преобразование информации.

Область использования цифровой подписи чрезвычайно широка: от проведения финансовых и банковских операций до контроля за выполнением международных договоров и охраны авторских прав. При этом отмечается, что участники обмена документами нуждаются в защите от следующих преднамеренных несанкционированных действий:

· отказа отправителя от переданного сообщения;

· фальсификации (подделки) получателем полученного сообщения;

· изменения получателем полученного сообщения;

· маскировки отправителя под другого абонента.

Обеспечение защиты каждой стороны, участвующей в обмене осуществляется с помощью введения специальных протоколов. Для верификации сообщения протокол должен содержать следующие обязательные положения:

· отправитель вносит в передаваемое сообщение свою цифровую подпись, представляющую собой дополнительную информацию, зависящую от передаваемых данных, имени получателя сообщения и некоторой закрытой информации, которой обладает только отправитель;

· получатель сообщения должен иметь возможность удостовериться, что полученная в составе сообщения подпись есть правильная подпись отправителя;

· получение правильной подписи отправителя возможно только при использовании закрытой информации, которой обладает только отправитель;

· для исключения возможности повторного использования устаревших сообщений верификация должна зависеть от времени.

Подпись сообщения представляет собой способ шифрования сообщения с помощью криптографического преобразования. Закрываемым элементом в преобразовании является код ключа. Если ключ подписи принадлежит конечному множеству ключей, если это множество достаточно велико, а ключ подписи определен методом случайного выбора, то полная проверка ключей подписи для пар сообщение-получатель с вычислительной точки зрения эквивалентна поиску ключа. Практически подпись является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению. Получатель сообщения, несмотря на неспособность составить правильную подпись отправителя, тем не менее, должен иметь возможность удостоверить для себя ее правильность или неправильность.

Идентификация и установление подлинности информации на средствах ее отображения и печати

В вычислительных системах с централизованной обработкой информации и относительно невысокими требованиями к защите установление ее подлинности на технических средствах отображения и печати гарантируется наличием системы защиты информации данной вычислительной системы. Однако с усложнением вычислительных систем по причинам, указанным выше, вероятность возникновения НСД к информации и ее модификации существенно увеличивается. Поэтому в более ответственных случаях отдельные сообщения или блоки информации подвергаются специальной защите, которая заключается в создании средств повышения достоверности информации криптографического преобразования. Установление подлинности полученной информации, включая отображение на табло и терминалах, заключается в контроле положительных результатов обеспечения достоверности информации и результатов дешифрования полученной информации до отображения ее на экране. Подлинность информации на средствах ее отображения тесно связана с подлинностью документов. Поэтому все положения, приведенные в предыдущем подразделе, справедливы и для обеспечения подлинности ее отображения. Достоверность информации на средствах ее отображения и печати в случае применения указанных средств защиты зависит от надежности функционирования средств, доставляющих информацию на поле отображения после окончания процедур проверки ее достоверности. Чем ближе к полю отображения (бумажному носителю) эта процедура приближается, тем достовернее отображаемая информация.