<<
>>

ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ОТ НСД

Одной из самых опасных угроз является локальный несанкцио- нированный доступ к информации, так как по статистике основной ущерб (до 80 %) наносится вследствие нарушения правил безопас-

ности и злоупотребления со стороны собственных недобросовест- ных сотрудников офисов, фирм, организаций и предприятий.

Так- же известно, что нередко происходят кражи не только ноутбуков и КПК, но и физических носителей (например, жестких дисков или флэш-памяти), стационарных ПЭВМ.

Большинство пользователей ПЭВМ и сетей используют для за- щиты лишь простейшую парольную схему, предоставляемую опе- рационной системой. Однако такой подход не способен обеспечить достаточный уровень безопасности информации — пароли могут быть перехвачены или подобраны.

Поэтому для защиты конфиденциальной информации от НСД используют шифрование данных и, как минимум, так называемую двухфакторную аутентификацию, при которой пользователь обя- зан ввести пароль и предъявить аппаратный электронный иденти- фикатор, содержащий его атрибуты доступа. Таким образом, зада- ча нарушителя, пытающегося получить доступ к конфиденциаль- ным данным, сильно осложняется: ему требуется не просто знать пароль, но и иметь физический носитель с ключами, которым об- ладают лишь легальные пользователи.

Доступ к информационным ресурсам пользователь получает по- сле успешного выполнения процедур идентификации и аутентифи- кации. Идентификация заключается в распознавании пользователя по присущему ему или присвоенному идентификационному при- знаку. Проверка принадлежности предъявленного идентификатора законному пользователю проводится в процессе аутентификации.

В качестве технических аппаратно-программных средств санк- ционированного доступа к ресурсам компьютеров используют раз- личные устройства электронной идентификации: iButton (инфор- мационная таблетка), смарт-карты, USB-ключи, биометрические сканеры и электронные замки.

iButton (или Touch Memory — контактная память) — это семей- ство электронных идентификаторов, изготовленных в виде сталь- ного герметичного цилиндрического корпуса с микросхемой посто- янной памяти, в которую лазером заносится уникальный регистра- ционный 48-битный номер. Количество комбинаций номера дости- гает 256 трлн, что позволяет исключить случайный подбор этого кода. Корпус представляет собой небольшой цилиндр диаметром 16,25 мм и высотой 3,10 мм или 5,89 мм. Верхняя крышка электриче- ски изолирована от остальной части цилиндра и является контак- том для обмена данными. Нижняя часть цилиндра имеет фланец для крепления iButton в пластмассовом брелоке или в пластиковой карте и является общим контактом.

Корпус защищает внутренние схемы от воздействия электро- магнитных полей, выдерживает механический удар до 500G и паде- ние с высоты 1,5 м на бетонный пол. iButton надежно работает в диапазоне температур от -40 до +85 °С в течение 10 лет, обеспечи- вая свыше 1 млн контактов со считывателем.

Обмен данными считывателя (контактного адаптера) с iButton производится через последовательный интерфейс 1-Wire (один провод) по двум контактам, образованным корпусом и крышкой.

Скорость обмена информацией по интерфейсу в стандартном режиме составляет 16 кбит/с; в ускоренном режиме — 142 кбит/с, чего достаточно для передачи данных в течение 5 мс после касания корпуса iButton контактов считывающего устройства.

Питание для ПЗУ идентификаторы iButton получают по интер- фейсу в моменты, когда нет обмена данными, заряжая до рабочего напряжения внутренний конденсатор небольшой емкости.

Современные модификации iButton, кроме ПЗУ с идентифика- ционным номером, имеют РПЗУ (до 64 кбит), оперативное запо- минающее устройство, часы-календарь реального времени, рабо- тающие от встроенных литиевых гальванических элементов не менее 10 лет. Объем энергонезависимой памяти позволяет хра- нить не только коды доступа, но и несколько секретных ключей для СКЗИ.

Для подключения iButton к ПЭВМ выпускаются различные счи- тыватели, преобразующие сигналы стандартных портов (COM, LPT и USB) в интерфейс 1-Wire.

iButton широко используются в различных системах, требую- щих идентификации пользователя: разграничения доступа к ин- формации, в режимных проходных, электронных замках и т. д.

Смарт-карта (интеллектуальная карта) в отличие от обычной пластиковой кредитной карты с магнитной полосой содержит элек- тронную схему. В зависимости от встроенной схемы смарт-карты подразделяются на пассивные карты с памятью и активные карты с микропроцессором.

Пассивные смарт-карты с памятью предназначены для хранения информации. Доступ к информации, как правило, защи- щен от несанкционированного считывания или записи данных.

Активные смарт-карты кроме памяти имеют встроен- ный процессор, работающий по специальной программе, осущест- вляющей защиту хранящейся информации при передаче, считыва- нии или записи с помощью различных алгоритмов шифрования и использования электронной цифровой подписи. В ПЗУ хранится исполняемый код процессора, а РПЗУ, доступное для считывания/ записи, позволяет осуществлять настройку или персонализировать каждое устройство для решения конкретных задач.

Для считывания данных применяются специальные устрой- ства — так называемые картридеры. По способу считывания ин- формации карты подразделяются на контактные и бесконтактные.

Контактные смарт-карты взаимодействуют со считывателем во время соприкосновения металлической контактной площадки кар- ты и контактов картридеров, допуская более 100 тыс. подключе- ний.

Для установки картридеров в стационарную ПЭВМ использует- ся стандартный внешний 3,5-дюймовый отсек системного блока, а для ноутбуков РСМС1А — слот. Устройства считывания смарт-карт могут встраиваться в клавиатуру. Внешние считыватели смарт-карт подключаются к компьютеру через последовательный, параллель- ный интерфейсы и иБВ-порт. Вставка карты в считыватель автома- тически запускает процесс обмена информацией с ПЭВМ со скоро- стью до 300 кбит/с.

Картридеры могут работать от различных источников питания: от собственного сетевого блока, блока питания ПЭВМ или стан- дартных гальванических элементов с автоматическим переходом в режим экономии.

Бесконтактные (пассивные) смарт-карты имеют встроенную индуктивность, которая в электромагнитном поле счи- тывателя обеспечивает питание микросхем и является приемопе- редающей антенной радиосигналов обмена данными. Устройство считывания может скрытно размещаться внутри корпуса ПЭВМ, обеспечивая надежный прием данных на расстоянии до 10 см от смарт-карт через сумки, портфели, одежду и бумажники.

Комбинированные карты имеют одновременно и контактную площадку, и встроенную радиосхему с катушкой индуктивности.

Каждая смарт-карта имеет собственный уникальный серий- ный номер — персональный идентификационный код (ПИН-код, РИЧ-собе), который нельзя сменить, так как он задается изготови- телем. При введении неправильного кода карта может быть за- блокирована. На лицевой стороне карты можно расположить фотографию владельца для его дополнительной визуальной ау- тентификации.

Идентификация по серийному номеру, шифрование данных и аутентификация областей памяти с помощью секретных ключей обеспечивают надежную защиту смарт-карт от НСД. Обмен ин- формацией со смарт-картой проходит в зашифрованном виде, поэ- тому данные невозможно перехватить или изменить.

Срок службы смарт-карт различных производителей в зависи- мости от условий использования составляет 3... 10 лет. Несомнен- ным достоинством смарт-карт можно считать удобство ее хранения (она легко размещается в портмоне).

Смарт-карты применяются для доступа пользователей к защи- щенным информационным ресурсам ПЭВМ, хранения зашифро- ванных данных (пароли, электронные сертификаты ключей), гене- рации и проверки электронной подписи и т. д.

Для биометрического доступа к информации в ПЭВМ наиболее широко применяют самый простой по аппаратным затратам способ аутентификации по узорам папиллярных линий пальцев рук — дак- тилоскопический доступ. На рис. 9.1 представлены биометрические устройства.

При таком способе возможно использование отпечатков всех 10 пальцев рук (с последующей идентификацией по отпечатку любого из пальцев или по их комбинации).

Сначала с помощью сканера и программного обеспечения осу- ществляется вычисление биометрических параметров пользовате- ля в виде характерных точек папиллярных линий пальцев рук. Эта информация является конфиденциальной и должна быть защище- на от несанкционированного доступа при хранении.

Так как хранятся не сами отпечатки, а их цифровые аналоги (мо- дели), восстановление реального отпечатка из них практически не- возможно.

а б в

Рис. 9.1. Биометрические устройства:

а — папиллярные узоры ногтевой фаланги пальца; б — оптический сканер отпечатка пальца; в — флэш-диск с доступом по отпечатку пальца

Регистрация биометрических идентификаторов может осущест- вляться у администратора сети или на рабочем месте пользователя. Аутентификация происходит сравнением ранее зарегистрирован- ных цифровых моделей и предъявляемых пользователем отпечат- ков пальцев в момент допуска к ресурсам. Параметры модели пре- образовываются в код пароля или ключа шифрования при каждой аутентификации пользователя.

Личную биометрическую информацию каждого разрешенного пользователя, преобразованную для аутентификации, хранят на сервере, в стационарном и мобильном компьютере (карманном или ноутбуке), в смарт-карте и носимой флэш-памяти.

Дактилоскопические сканеры отпечатков пальцев встраиваются в клавиатуры, мыши или представляют собой выносные компакт- ные устройства, получающие питание от интерфейса иБВ и имею- щие оптическую систему с окном для считывания папиллярных ли- ний с одного пальца.

Современные средства и методология оптического сканирова- ния отпечатков пальцев обеспечивают высокое качество получае- мых их цифровых аналогов. Точность сканирования составляет 480 х 320 пикселов; время сравнения отпечатка не превышает 1 с; вероятность ошибочного предоставления доступа — 10 9; вероят- ность ошибочного отказа в доступе — более 0,03, т. е. не более трех неудачных попыток на 100 вводов отпечатка.

Для повышения уровня безопасности, как правило, дактилоско- пический доступ применяется в комплексе с другими электронны- ми идентификаторами.

Устройства ввода идентификационных признаков на базе иБВ- ключей имеют небольшие размеры, изготавливаются в цветных корпусах в виде брелоков и снабжаются световыми индикаторами работы.

иБВ-ключи выпускаются с разными обозначениями (например: Жеу — информационный ключ; еТокеп — электронный жетон или маркер) и напрямую подключается к ПЭВМ через иБВ-порт. Каж- дый идентификатор имеет собственный уникальный серийный но- мер (32 или 64 разряда).

Основными компонентами иБВ-ключей являются процессор и флэш-память большой емкости (до нескольких гигабайт). Процес- сор выполняет функции внутреннего (для защиты данных в памяти идентификатора) и внешнего (для защиты электронной почты и файлов в ПЭВМ) криптографических преобразований информа- ции, генерации открытых и секретных ключей, паролей и иБВ- контроллера. Память предназначена для безопасного хранения па- ролей, ключей шифрования, цифровых сертификатов и является безопасным контейнером для любой другой важной пользователь- ской информации. Доступ к памяти защищен РВЧ-кодом, что обе- спечивает безопасность данных при потере или хищении иБВ- ключа.

Электронные замки применяются совместно с электронными идентификаторами для аутентификации пользователей, блокиров- ки несанкционированной загрузки операционной системы и за- прещенных для использования прикладных программ с внешних носителей, контроля целостности аппаратно-программных средств ПЭВМ и регистрации действий пользователей.

Электронные замки выполняются в виде плат расширения для слотов РС1 или 1БА и начинают функционировать перед штатной загрузкой операционной системы сразу после включения ПЭВМ.

Операционная система загружается только с внутреннего жест- кого диска после аутентификации пользователя и проверки целост- ности аппаратно-программных средств ПЭВМ с помощью специ- ального РПЗУ, фактически заменяющего на этом этапе базовую систему ввода-вывода ВЮБ компьютера. После успешной загрузки ОС доступ пользователей восстанавливается.

Контроль целостности ОС и другого программного обеспечения, размещенного на жестком диске, производится согласно списку файлов, записанному в РПЗУ электронного замка. Список форми- руется и хранится вместе с эталонными контрольными суммами или хэш-значениями, рассчитанными для каждого файла. Провер- ка целостности программного обеспечения заключается в установ- лении соответствия содержимого каждого файла из списка его кон- трольной сумме или хэш-значению. Если хотя бы для одного из файлов они не совпали с эталонными, то это фиксируется как на- рушение их целостности и работа ПЭВМ блокируется.

Все события, связанные с доступом пользователей и использова- нием технических средств защиты от НСД, как правило, непрерыв- но отражаются в журналах регистрации для оценки уровня защи- щенности и принятия мер по нейтрализации выявленных наруше- ний.

Применяя перечисленные ранее средства, нельзя забывать и о самом простом способе защиты информации и программ от поте- ри — их резервном копировании и архивном хранении.

Под резервным копированием обычно понимают создание копий файлов в целях быстрого восстановления работоспособности си- стемы в случае возникновения нештатной ситуации. Копии для на- дежности, как правило, хранятся на нескольких сменных носителях

(дисках, магнитных лентах) и периодически перезаписываются. Ре- зервное копирование защищает данные от случайного удаления; сбоя программного обеспечения; отказов ПЭВМ; атаки злоумыш- ленников, уничтожающих информацию; вирусов и других некон- тролируемых процессов.

Для архивного хранения обычно копируется информация, пред- назначенная для бессрочного или долговременного сохранения.

<< | >>
Источник: В.Д.СИДОРОВ, Н.В.СТРУМП. АППАРАТНОЕ ОБЕСПЕЧЕНИЕ ЭВМ. 2014

Еще по теме ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ОТ НСД:

  1. Технические средства телевидения
  2. Лавровская О. Б.. Технические средства информатизации. Практикум, 2013
  3. 1.14. Технические средства опроса
  4. Сертификат соответствия технических средств телерадиовещания
  5. 3.3. Научно-технические методы и средства, используемые для лабораторного исследования объектов
  6. Статья 359. Незаконные приобретение, сбыт или использование специальных технических средств получения информации
  7. 3.2. Научно-технические средства и методы криминалистической техники, используемые для обнаружения, фиксации и изъятия доказательств
  8. Статья 287. Выпуск в эксплуатацию технически неисправных транспортных средств или иное нарушение их эксплуатации
  9. 2. Вещно-правовые средства защиты
  10. 5. Другие средства защиты права собственности
  11. Молитва как средство социальной защиты (справка)
  12. Статья 361-1. Создание, использование и распространение или сбыта вредных программных или технических средств, а также их распространение или сбыт
  13. к) Совершение преступления с использованием оружия, боевых припасов, взрывчатых веществ, взрывных или имитирующих га устройств, специально изготовленных технических средств, ядовитых и радиоактивных веществ, лекарственных и иных химико-фармакологических препаратов, а также с применением физического или психического принуждения
  14. Статья 306. Использование средств, полученных от незаконного оборота наркотических средств, психотропных веществ, их аналогов или прекурсоров
  15. 2. Производственно-технические подразделения.
  16. § 8. Основание защиты владения: Постановка проблемы. Теории защиты владения (п. 1313-1318)
  17. МЕТОДИКА ТЕХНИЧЕСКАЯ
  18. Техническая неопределенность
  19. § 3. Средства записи и средства связи