Сервіси безпеки та механізми її порушень

Сервіс безпеки – це сукупність механізмів, процедур та інших заходів управління для зменшення ризиків, пов’язаних з загрозою втрати або розкриття даних. Одні сервіси забезпечують захист від загроз, інші виявляють слабкі місця в системі безпеки.

Основними сервісами безпеки є:

– сервіс автентифікації;

– сервіс конфіденційності;

– сервіс цілісності;

– сервіс дотримання зобов’язань.

Першим етапом на шляху захисту ресурсів інформаційної системи є організація перевірки, чи є користувач, який входить в систему, тим, за кого він себе видає. Сама процедура перевірки носить назву автентифікації користувача. Як правило, процедура автентифікації складається з двох кроків: ідентифікації та верифікації.

Під ідентифікацією розуміють процедуру представлення користувача системі. Звичайно це відбувається шляхом уведення імені, під яким користувач зареєстрований в цій системі.

Другий крок автентифікації – верифікація. Верифікація – це процедура, яку система виконує для того, щоб переконатися, що користувач, який входить (log in) в систему, є саме тим, чиє ім’я він ввів при ідентифікації. Для цього користувачу пропонується ввести пароль (password), який буде порівняний з паролем в записі обліку цього користувача (user acount).

Використання для автентифікації клієнта двох елементів утруднює нелегальне проникнення в систему, оскільки для успішної атаки необхідно подолати два незалежні бар’єри.

Якщо користувач успішно пройшов ідентифікацію (вказав ім’я, що є зареєстроване в системі) та верифікацію (ввів пароль, що відповідає цьому імені), автентифікація закінчена. Кожному користувачу, який пройшов процедуру автентифікації, надаються певні права доступу до ресурсів системи.

Обліковий запис користувача може передбачати часові обмеження (наприклад, вхід в систему лише в робочий час) та обмеження місця роботи (приміром, дозвіл працювати лише на машинах відповідного департаменту).

У разі виявлення помилки під час автентифікації автоматично виконуються спеціальні процедури. Це може бути виведення на екран повідомлення про некоректність введених даних та запрошення повторно ввести інформацію. Якщо кількість невдалих спроб входу в систему перевищила певне число, користувачу може бути відмовлено в повторних спробах автентифікації. Для відновлення прав на вхід в систему може бути запропоновано відповісти на секретне запитання, відповідь на яке зафіксована в системі при реєстрації або перереєстрації користувача. Параметром, що служить для прийняття рішень про неможливість повторних спроб входу в систему, може бути час, що виділяється користувачу на здійснення успішного входу в систему. Право на повторний вхід в систему може бути також поновлено після особистого звернення до адміністратора.

Серед альтернативних методів автентифікації варто відзначити біометричні. В наш час вони стають поширеними не лише у надсекретних організаціях, а й у системах масового користування. Наприклад, сучасні ноутбуки та кишенькові комп’ютери часто обладнуються сканерами відбитків пальців.

Біометрія – це наука, що займається вимірюванням характеристик людського організму. Такі фізичні характеристики, як відбитки пальців, рисунок сітківки та райдужної оболонки ока, голос та інші, можуть бути використані як засоби для автентифікації.

У процесі реєстрації нового користувача певна фізична характеристика зчитується і записується в базу даних для наступного використання. Ця записана характеристика називається шаблоном. При виконанні автентифікації відповідна характеристика особи зчитується, перетворюється в цифровий код і порівнюється з шаблоном. Оскільки біометричні вимірювання майже завжди мають варіації, під час порівняння вимагається попадання в певну зону значень, а не повний збіг з шаблоном. На основі результатів порівняння приймається рішення про те, чи користувач, особа якого перевіряється, є дійсно тим, за кого себе видає.

Існують такі методи розпізнавання особи за біометричними характеристиками:

– розпізнавання за відбитками пальців;

– оптичне розпізнавання сітківки та райдужної оболонки ока;

– розпізнавання за голосом;

– розпізнавання підпису;

– розпізнавання за рисами обличчя;

– розпізнавання за динамікою введення тексту.

Остання технологія базується на тому, що кожній людині властива своя манера роботи на клавіатурі. В пам’ять комп’ютера вноситься не тільки ім’я і пароль користувача, а і його „клавіатурний портрет", який визначається динамікою вводу символів.

Прикладом успішного застосування біометричних систем доступу є комп’ютерна система муніципальної влади Каліфорнії. В цій системі почастішали звертання в службу підтримки в зв’язку з забутим чи втраченим паролем. Як показав аналіз, причиною було те, що деякі службовці повинні придумувати, пам’ятати або зберігати від 6 до 9 різних паролів для доступу до різних типів даних. Використання ж одного паролю для різних ситуацій може призвести до значних збитків при його розкритті. Для розв’язання проблеми комп’ютери було обладнано сканерами відбитків пальців. В результаті зменшився ризик розкриття конфіденційної інформації та отримана економія за рахунок розвантаження служби підтримки, до якої звертались при проблемах з паролями.

Відомі також приклади переведення банкоматів на тестування відбитків пальців та райдужної оболонки ока клієнта під час введення в банкомат карток. В результаті зменшились втрати, причиною яких було шахрайство, та зменшились витрати на обслуговування клієнтів, що забули свої PIN-коди (Personal Identification Number).

Конфіденційність означає, що доступ до інформації може бути наданий тільки тим суб’єктам, що мають на це право. Якщо необхідно, для забезпечення конфіденційності використовується шифрування даних.

Сервіс цілісності даних забезпечує захист від навмисної або випадкової зміни даних. Захисту потребує, наприклад, інформація, що зберігається в базі даних або передається по каналах зв’язку. Електронний характер цих даних має ряд особливих властивостей, що ускладнюють їх захист.

Електронний документ – це послідовність двійкових бітів, тому складно встановити, чи ця послідовність є оригіналом чи його спотвореною копією. Зміна бітів в пам’яті комп’ютера або в потоці, що передається в каналі зв’язку, не залишає фізичних слідів. Для захисту електронних документів можуть використовуватися криптографічні контрольні суми.

Сервіс цілісності даних дозволяє виявити факт зміни, часткового вилучення чи доповнення даних.

Сервіс дотримання зобов’язань гарантує, що учасники інформаційного обміну не зможуть заперечити факт своєї участі в ньому. Тобто, наприклад, відправник не зможе відмовитися від факту передачі даних, адресат – від факту їх прийому. Цей сервіс може бути реалізований за рахунок використання цифрового підпису, що буде розглянуто дещо пізніше.

Залежно від профілю інформаційної системи на першому місці можуть бути різні вимоги:

– забезпечення конфіденційності інформації;

– забезпечення цілісності даних, наприклад, неможливості внесення змін в платіжні доручення;

– забезпечення безвідмовної роботи системи, наприклад, надання певних послуг.

Виділяють такі чотири механізми порушень безпеки даних:

– роз’єднання – ресурс системи знищується або стає недоступним для використання. При цьому порушується доступність даних;

– перехоплення – до ресурсу відкривається несанкціонований доступ. В цьому випадку порушується конфіденційність даних.

– модифікація – до ресурсу не тільки відкривається несанкціонований доступ, зловмисник може також змінити ресурс. В такому випадку порушується цілісність даних. Адресат може сприйняти модифікований зловмисником файл як оригінал.

– фальсифікація – зловмисником в систему вноситься підставний об’єкт. В цій ситуації порушується автентичність.

Дата добавления: 2014-01-04; Просмотров: 2794; Нарушение авторских прав?; Мы поможем в написании вашей работы!