- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Лекция 2. Средства, методы и протоколы идентификации
Цель: ознакомиться с основными средствами, методами протоколами аутентификации
План
Определение идентификации
Средства и методы идентификации
Протоколы идентификации
Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии:
идентификацию - пользователь сообщает системе по ее запросу свое имя (идентификатор);
аутентификацию - пользователь подтверждает идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль).
Наиболее широкое практическое распространение получили следующие методы идентификации:
использование механического ключа;
организация пропускной системы обычного типа (пропуск с фотографией: охранник на входе);
при помощи кодового замка с набором кода на клавиатуре;
посредством различного вида карт (электронных, механических, магнитных), на которые нанесен код, определяемый специальным устройством (считывателем);
при помощи особых устройств, генерирующих модулированный ультразвуковой, инфракрасный или радиосигнал;
при помощи технических устройств (биометрические устройства), определяющих физиологические параметры человека, такие как голос, отпечатки пальцев и пр.;
комбинированные методы.
Контроллер является основным устройством системы, производящим идентификацию пользователя и дающим разрешение на проход, в случае если считанный с идентификатора код совпадает с кодом, хранящимся в памяти контроллера. При несовпадении кода разрешение на проход не выдается.
Основными характеристиками контроллера являются:
поддерживаемые режимы работы - автономный или сетевой через линию связи с использованием компьютера;
обслуживаемые типы считывателей;
максимальное количество пользователей;
возможность ведения протокола событий (наличие внутренней памяти для этого и ее размер);
поддержка различных расписаний для прохода пользователей.
Биометрические средства идентификации
Использование биометрических технологий совместно с традиционными средствами защиты информации – вход по паролям или проксимити-картам – существенно повышает защищенность систем и снижает риск несанкционированного доступа к критически важным данным или в секретные помещения, где такие данные могут содержаться.
В отличие от традиционных средств контроля доступа к ИС, биометрические технологии идентифицируют сотрудников на основе их уникальных физиологических и / или поведенческих характеристик (отпечаток пальца, геометрия руки, сетчатка глаза, речь и т.д.). Преимущества таких методов очевидны: их существенно сложнее, а иногда просто невозможно подделать, они не могут быть забыты дома, украдены или утеряны.
В первую очередь внедрение биометрических средств безопасности необходимо в таких помещениях, как процессинговые центры, центры обработки данных операторов связи и финансовых структур, секретные объекты государственных и коммерческих организаций.
Специалисты компании «Verysell Проекты» проводят грамотное проектирование системы контроля и управления доступом к информации с применением различных методов регистрации и идентификации, что позволяет свести риски утечки информации к допустимому минимуму. В своих решениях мы используем следующие методы статической (физиологические характеристики) и динамической (поведенческие характеристики) биометрической идентификации:
1. Идентификация по отпечаткам пальцев. Наиболее распространенный статический метод биометрической идентификации, основанный на уникальности папиллярного узора на поверхности пальцев человека. Для получения шаблона с помощью специального сканера снимается изображение отпечатка пальца и преобразуется в цифровой код. Затем при попытке сотрудника получить доступ к информационным ресурсам приложенный узор сравнивается с ранее введенным шаблоном. Компания «Verysell Проекты» реализует данный тип биометрической идентификации на базе оборудования и ПО ведущих мировых производителей:
Сканеры отпечатков пальцев BioLink, Bioscrypt, DigitalPersona, Identix, Precise, Biometrics, Saflink.
Считывающие элементы для сканирующих устройств Atmell, AuthenTe, Veridicom, Fujitsu.
2. Идентификация по форме руки. Метод также основан на уникальных характеристиках геометрии кисти руки. С помощью специального устройства производится серия снимков, которая позволяет сформировать трехмерный образ кисти руки или формы нескольких пальцев. Полученный образ преобразуется в уникальный цифровой код, идентифицирующий человека. Производителей данного метода биометрической идентификации на рынке не так много. Компания «Verysell Проекты» реализует решения на базе продукции Recognition Systems и BioMet Partners.
3. Идентификация по радужной оболочке глаза. Для распознавания человека на основе рисунка радужной оболочки глаза используются: камера, позволяющая получить изображение человеческого глаза с высоким разрешением; программное решение, позволяющее выделить из полученного изображения рисунок радужной оболочки глаза. Данное изображение затем преобразуется в цифровой код для идентификации человека. Решения компании «Verysell Проекты» по созданию систем идентификации по рисунку радужной оболочки глаза строятся на основе продуктов Iridian, крупнейшего производителя в данной области. Разработки других компаний (LG, Panasonic, OKI, Saflink и т.д.) так или иначе базируются на решениях данного производителя.
4. Идентификация по лицу. С помощью камеры и специализированного программного обеспечения строится трехмерный образ лица человека: на изображении выделяются контуры глаз, носа, губ и т.д. с учетом возможного поворота, наклона головы или изменения выражения лица, рассчитывается расстояние между ними и другие параметры. По этим данным строится цифровой шаблон, на основе которого впоследствии и производится идентификация. Среди вендоров, продукты которых используются в решениях по созданию систем идентификации по форме лица, такие компании, как: AcSys Biometrics, A4Vision, Identix, Imagis, Vicar Vision.
5. Идентификация по почерку (рукописному или клавиатурному). Данная технология является наиболее популярной среди динамических методов идентификации, но, как правило, применяется в комплексе с другими биометрическими средствами защиты. В основе распознавания по рукописному почерку лежит роспись или написание кодового слова. Цифровой код формируется из графических параметров подписи (совпадение изображений) и временных характеристик ее нанесения, динамики нажима на поверхность (графический планшет, экран компьютера и т. д.). Разновидность идентификации по клавиатурному почерку основана на динамических характеристиках набора кодового слова. Для реализации данного метода необходима только стандартная клавиатура. Компания «Verysell Проекты» разрабатывает решения по идентификации с помощью почерка на основе продукции таких производителей, как CIC (Communication Intelligence Corporation), Cyber-SIGN, SOFTPRO, Valyd, BioPassword Security, Software и Checco.
6. Идентификация по голосу. Идентификация осуществляется на основе произнесения коротких парольных фраз и их сравнения с заранее созданным шаблоном, который хранится в базе данных. Идентификаторами в шаблоне служат различные сочетания частотных и статистических характеристик голоса. В проектах, связанных с защитой информации, данный метод может применяться только как дополнительный, так как не может гарантировать высокий уровень надежности. В решениях компании «Verysell Проекты» используется оборудование таких вендоров, как Nuance, Persay, Voicevault.
3.Под протоколом в общем случае понимают конечную последовательность однозначно и точно определенных действий, выполняемых двумя или более сторонами для достижения желаемого результата за конечное время. Рассмотрим протокол идентификации пользователя при его входе в КС (под «С» понимается система, под «|П» — пользователь):
1. С: запрос имени, под которым пользователь зарегистрирован в базе данных учетных записей КС (логического имени пользователя или так называемого логина).
2. П: ввод логического имени (ID).
3. С: проверка наличия ID в регистрационной базе данных. Если пользователь с таким именем зарегистрирован, то запрос его идентифицирующей информации, в противном случае — возврат к п. 1.
4. П: ввод идентифицирующей информации (Р).
5. С: проверка совпадения Р с идентифицирующей информацией для пользователя ID в регистрационной базе данных. Если совпадение есть, то допуск пользователя к работе в КС, в противном случае — возврат к п. 3.
Присвоение каждому пользователю КС уникального логического имени, под которым он регистрируется в базе данных учетных записей, не только позволяет предоставить разным пользователям КС различный уровень прав в ней, но и дает возможность полного учета всех входов пользователя в систему в журнале аудита.
Протоколы идентификации CHAP и PAP в PPP
Протокол PPP поддерживает два типа идентификации удаленных систем:
Протокол идентификации с квитированием связи по вызову (CHAP):
Протокол CHAP использует специальный алгоритм (MD-5) для расчета значения, известного только проверяющей системе и удаленному устройству. При использовании CHAP ИД пользователя и пароль всегда зашифрованы, что делает этот протокол более защищенным, чем PAP. Этот протокол эффективно защищает систему от проникновения методом "проб и ошибок" и с помощью записи сеанса идентификации с последующим повторением. Идентификация может повторяться несколько раз во время работы по протоколу CHAP.
Проверяющая система отправляет запрос удаленному устройству, которое запросило подключение к сети. Удаленное устройство возвращает значение, вычисленное по общему алгоритму (MD-5), который применяется обоими устройствами. Проверяющая система сравнивает ответ с результатом собственных вычислений. Если значения совпадают, идентификация завершается успешно, в противном случае соединение прерывается.
Протокол идентификации по паролю (PAP):
Протокол PAP применяет простую процедуру двустороннего обмена для идентификации систем. Обмен выполняется при установлении соединения. После установления связи удаленное устройство передает ИД пользователя и пароль проверяющей системе. Если передана правильная пара значений, сеанс продолжается, в противном случае связь прерывается.
Протокол PAP не предусматривает шифрования идентификатора пользователя и пароля, что делает возможным их перехват. По этой причине рекомендуется всегда использовать протокол CHAP.
Контрольные вопросы:
Что такое идентификации?
Какие средства и методы идентификации Вам известны?
Какие протоколы идентификации Вам известны?