Финансирование мероприятий по защите информации

⇐ ПредыдущаяСтр 26 из 53Следующая ⇒

Финансирование мероприятий по защите информации, содержащей сведения, отнесённые к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость
разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений
осуществляется в пределах средств, выделяемых заказчикам на строительство
(реконструкцию) сооружений или объектов.

Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты

Основные механизмы защиты информационных систем

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы защиты (защитные механизмы):

o идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;

o разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

o регистрация и оперативное оповещение о событиях, происходящих в системе;

o криптографическое закрытие (шифрование) хранимых и передаваемых по каналам связи данных;

o контроль целостности и аутентичности (подлинности и авторства) данных;

o резервирование и резервное копирование;

o фильтрация трафика и трансляция адресов;

o обнаружение вторжений (атак);

o выявление и нейтрализация действий компьютерных вирусов;

o затирание остаточной информации на носителях;

o выявление уязвимостей (слабых мест) системы;

o маскировка и создание ложных объектов;

o страхование рисков.

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. В дальнейшем будут рассмотрены наиболее важные защитные механизмы.

Идентификация и аутентификация пользователей

В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.

Идентификация - это, с одной стороны, присвоение индивидуальных имён, номеров (идентификаторов) субъектам и объектам системы, а, с другой стороны, — это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определённый объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта — убедиться, что это именно тот объект, который нужен.

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).

Аутентификация пользователей может осуществляться следующим образом:

o путем проверки знания того, чего не знают другие (паролей, PIN-кодов, ключевых слов);

o путем проверки владения тем, что относительно сложно подделать (карточками, ключевыми вставками и т.п.);

o путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств;

o путем проверки рекомендации (сертификата, специального билета) от доверенного посредника.

Системы аутентификации могут быть двух видов - с взаимной и односторонней аутентификацией. Примером взаимной аутентификации является аутентификация WEB-сервера, которая предполагает предъявление сертификата, доказывающего взаимодействие с нужным оборудованием, которое находится под управлением нужных физических или юридических лиц.

Простейшей формой аутентификации является парольная, при которой ввод значений идентификатора и пароля осуществляется, как правило, с клавиатуры. Считается, что эта форма аутентификация небезопасна, поскольку:

o пользователи часто применяют короткие легко подбираемые пароли;

o во многих системах существуют многочисленные возможности перехвата паролей (серфинг на плече, запуск клавиатурных «шпионов» (Рис. 1.7.1), перехват в открытых сетях и т.д.).

рисунок - Клавиатурный шпион

В связи с этим в Международном стандарте ISO/IEC 27002 рекомендуется использовать в информационной системе сервисы, не допускающие передачу пароля в открытом виде. Именно поэтому, современные защищённые информационные системы применяют, как правило, хеширование и шифрование передаваемых паролей, а также одноразовые пароли.

В качестве эффективного средства против подбора паролей могут быть использованы организационные меры в виде систематической смены пароля пользователями.

Другим важным достоинством парольной аутентификацией является её интеллектуальная составляющая, т.е. связь с разумом и сознанием пользователя. В совершенных с точки зрения безопасности информационных системах пароли должны храниться исключительно в «человеческой» памяти пользователей без записи на любой материальный носитель информации.

Другой способ аутентификации связан с использованием «отчуждаемых» элементов, которыми уникально обладают пользователи (смарт-карты, дискеты, ключевые контейнеры, радиочастотные бесконтактные карточки, электронные таблетки iButton и т.п.). Как правило, подобный механизм применяется в совокупности с дополнительной парольной аутентификацией (вводом PIN-кода), образуя двухфакторную систему аутентификации. Типичным примером двухфакгорной аутентификации является защита ключевых контейнеров на различных носителях (смарт-картах, е-токенов и др.) с помощью PIN-кода.

В качестве другого примера двухфакгорной аутентификации можно привести технологию RSA Secure ГО, показанную на Рис. 1.7.2.

рисунок - Технология двухфакторной аутентификации RSA Secure ID

Одной из форм этого способа аутентификации является аутентификация по адресу (IP-адресу, e-mail адресу, телефонному номеру), активно применяющаяся в системах Клиент-Банк и сотовой телефонии.

Недостаток аутентификации «владения» - возможность потери (кражи) аутентификатора. Альтернативой служат биометрические технологии, которые характеризуются:

o относительной трудностью потери аутентификатора;

o высоким уровнем достоверности опознавания пользователей.

В основе работы этих систем лежит биометрическое распознавание - сравнение физиологических и психологических особенностей субъекта с его аналогичными характеристиками, хранящимися в базе данных объекта.

Биометрические технологии делятся на физиологические и психологические.

В первой из них используются постоянные физиологические (генетические) параметры субъекта: параметры пальцев (папиллярные линии, рельеф), структура глаза (сетчатки или радужной оболочки), форма ладони (отпечаток или топография), геометрические характеристики лица (2D или 3D графика), структура ДНК (сигнатура) и т.п.

Психологические технологии (индивидуальные поведенческие особенности, присущие каждому человеку) носят изменчивый характер: спектр голоса, динамические параметры письма, особенности ввода символов с клавиатуры.

Недостатками биометрической аутентификацией являются:

o проблема получения ключа из биометрических параметров;

o возможность исключения из процесса аутентификации субъектов с скомпрометированным электронным аутентификатором;

o относительно высокая стоимость реализации биометрических систем;

o возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога);

o возможность изготовления относительно дешевых муляжей для биопараметров.

Для реализации рассмотренных выше способов аутентификации необходим первоначальный контакт между субъектом и объектом, в процессе которого стороны обмениваются аутентификатором. В ряде случаев такой контакт невозможен, например, в системах электронного бизнеса В2С.

В2С - это краткосрочное взаимодействие бизнеса и конечного потребителя бизнес-продукта, сопровождаемое большим числом разовых сделок, при котором ни поставщики, ни потребители никогда ранее не имели взаимных деловых контактов. Для подобных заочных транзакций наиболее эффективна аутентификация с использованием различных форм рекомендаций от доверенного посредника, например сертификата или билета.

В частности, широко известны сертификаты Х509, связывающие открытый ключ клиента и его уникальный идентификатор, которые подписаны цифровой подписью доверенного центра сертификации.

Перспективой развития технологий аутентификации является создание многофакторных систем аутентификации с комбинированным применением паролей, биопараметров, отчуждаемых элементов и сертификатов.

Дата добавления: 2022-01-22; просмотров: 14; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 21 22 23 24 252627 28 29 30 Следующая ⇒

Мы поможем в написании ваших работ!