Классы каналов несанкционированного получения информации

1. Каналы от источника информации при несанкционированного доступа (НСД) к нему:

a. Хищение носителей информации

b. Копирование информации с носителей

c. Подслушивание разговоров

d. Установка закладных устройств и съем информации с их помощью

e. Выведывание информации у обслуживающего персонала

f. Фотографирование или видеосъемка носителей информации

2. Каналы со средств обработки информации (СОИ) при НСД к ним:

a. Снятие информации с устройств памяти

b. Установка закладных устройств в СОИ

c. Ввод программных продуктов, позволяющих злоумышленнику получать информацию

d. Копирование информации с технических устройств отображения

3. Каналы от источника информация без НСД

a. Получение информации по акустическим каналам

b. Получение информации по виброакустическим каналам

c. Использование технических средств оптической разведки

d. Использование технических средств оптикоэлектронной разведки

e. Осмотр отходов и мусора

f. Выведывание информации у сотрудников за пределами объекта

g. Изучение выходящей за пределы объекта открытой информации

4. Каналы со средств обработки без НСД к ним

a. Электромагнитные излучения средств обработки информации

b. Электромагнитные излучения линий связи

c. Подключений к линиям связи

d. Снятие наводок электрических сигналов

e. Снятие наводок с системы питания, заземления, теплоснабжения

f. Подключение к базам данных по компьютерным сетям

Идентификация и аутентификация

Идентификация и аутентификация – основа программнотехнических средств безопасности, остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация – позволяет субъекту назвать себя.

По средствам аутентификации, вторая сторона убеждается, что субъект тот, за кого он себя выдает (проверка подлинности).

Аутентификация бывает:

1. Односторонней – клиент доказывает свою подлинность серверу

2. Двусторонней – «взаимно»

В сетевой среде, стороны идентификации и аутентификации территориально разнесены.

Сервис аутентификации характеризуется:

1. Что служит аутентификатором

2. Как организован обмен данными идентификации и аутентификации

Субъект может подтвердить подлинность на основании:

1. Знания чего-либо

2. Нечто, чем он владеет (аппаратная часть)

3. Нечто, что есть часть его самого (биометрические характеристики)

В открытой сетевой среде не существует доверенного маршрута между сторонами. Это значит, что данные, переданные субъектом, могут не совпадать с полученными данными (необходимо обеспечить защиту от пассивного и активного прослушивания, и, как вследствие, от перехвата, изменения и воспроизведения данных). Защита (шифрование) пароля не защищает от воспроизведения. Для решения этой проблемы используются протоколы аутентификации. Он определяет порядок, правила и основные требования взаимодействия к сторонам.

Надежность аутентификации вступает в противоречие с удобством. Почти все аутентификационные сущности можно узнать, украсть или подделать.

Надежность системы является дорогим.

Как правило, в современных информационных системах используется концепция единого входа.

Единый вход в сеть наиболее востребован в корпоративных системах, состоящих из большого количества сервисов, допускающих независимое обращение. Многократный ввод аутентификационной информации становится неприемлимым.

Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств аутентификации и идентификации.

Сервис аутентификации и идентификации может стать объектом атак на доступность.

Парольная аутентификация

Требования к паролю должны обеспечивать стойкость к подбору по словарю, к угадыванию по интересам субъекта, не должны использоваться в других системах, не должны оставаться стандартными.

Недостатком является возможность подсмотреть пароль, записать на листочек.

Дополнительные мероприятия для защиты пароля:

1. Использование программных генераторов

2. Защита базы паролей

3. Ограничение количества неудачных попыток входа

4. Обучение пользователя

Одноразовые пароли

Одноразовые пароли устойчивы к прослушиванию сети, поскольку не могут быть использованы многократно. Суть системы одноразовых паролей состоит в следующем – имеется односторонняя функция, эта функция известна пользователю и серверу аутентификации, имеется закрытый ключ, известный только пользователю. На этапе начального администрирования, функция применяется к ключу n раз. После этого результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:

1. Сервер посылает на пользовательскую систему число n-1

2. Пользователь применяет функцию f к секретному ключу n-1 раз и отправляет результат по сети на сервер аутентификации.

3. Сервер применяет функцию к значению и сравнивает результат с ранее полученной величиной.

4. В случае совпадения личность пользователя считается установленной, сервер запоминает новое значение и уменьшает счетчик на единицу.

Другой подход к надежной аутентификации состоит в генерации одноразового пароля через небольшой промежуток времени (например, раз в минуту). Для этого могут использоваться программы либо специальные интеллектуальные карты. Серверу должны быть известен алгоритм генерации пароля и связанные с ним параметры. Кроме того часы клиента и сервера должны быть синхронизированы.