лекции ОИБ / Zashchita_informacii_Lekcii_1-6_lektor_M.M._Kucherov_

сколько ребер графа состояний связано с данной вершиной графа (если ребро направлено из данной вершины, соответствующий член: имеет знак минус, если в данную вершину — знак плюс). Каждый член равен произведению параметра потока отказа (восстановления), связанного с данным ребром, на вероятность нахождения в той вершине графа, из которой исходит ребро.

Система уравнений Колмогорова включает столько уравнений, сколько вершин в графе состояний изделия. Решение системы уравнений Колмогорова при конкретных начальных условиях, определяемых спецификой эксплуатации изделия, дает значения искомых вероятностей Pi(t).

В общем случае применение теории случайных марковских процессов к решению задач оценки показателей надежности восстанавливаемых и невосстанавливаемых изделий включает: 1) составление списка всех возможных состояний изделия; 2) вычисление параметров потоков отказов и восстановлений для каждого состояния; 3) составление графа состояний; 4) запись системы дифференциальных уравнений Колмогорова; 5) решение системы уравнений Колмогорова и определение количественных показателей надежности.

Лекция 2

Системы резервного копирования. Наиболее эффективное решение в случае природных угроз – это создание резервных копий. Существует множество типов резервирования – ежедневное, еженедельное и помесячное, также как полное, инкрементальное и дифференциальное. Копии используются для быстрого запуска или для восстановления поврежденных систем, а также для хранения записей и трассировки. Копии должны храниться отдельно в безопасном месте за пределами системы и должны регулярно проверяться на предмет их реального использования. Кроме того, если они содержат важную информацию, то они должны защищаться также серьезно, как и оригиналы, в противном случае они обеспечат нарушителя возможной точкой доступа к информации за пределами компьютерной системы.

1.1.2.1.2.Предупреждение преднамеренных атак.

Обратимся к локальным атакам, в которых противнику нужно приблизиться к объекту атаки. Удаленный доступ будет рассмотрен позднее. Существует ряд причин, по которым могут предприниматься такие атаки: финансовая прибыль, месть обозленного сотрудника, вы – первая доступная мишень, желание прославиться, диверсия, военное преимущество и т.д. Важно отметить различие между направленной и общей атакой: последняя требует более прочных механизмов защиты.

11

Стены и ограды определяют периметр безопасности, тогда как охрана и замки устанавливают правила управления доступом. Только определенные лица могут пересекать периметр. Возможные атаки включают:

•Маскарад: Противник выдает себя за авторизованного пользователем. Это может быть сделано с помощью украденных идентификаторов или, например, когда противник с целью получения идентификаторов выдает себя за наладчика.

•Вторжение: Противник пересекает периметр безопасности вслед за авторизованным пользователем.

•Взлом: Ко всем замкам можно подобрать отмычку. Существуют меры противодействия подбору отмычек. Однако во многих случаях, легче пробить дыру в потолке или снять дверь с петель.

•Визуальный /звуковой доступ: Неавторизованное лицо может получать пароли, наблюдая с помощью лазера за вибрациями оконного стекла, вызванными звуковыми волнами. Также используются бинокли, телефонные жучки и т.д.

Возможные решения для таких атак включают:

•Сейфы, двери со специальными запорами Замки бесполезны, если можно легко подделать или получить ключи (подкуп). Используются также детекторы перемещений.

•Забой и разрушение Забой несколько раз перезаписывает данные одним символом. Разрушение уничтожает носитель целиком, например, сжигая или расплавляя его. Однако трудно устранить все следы данных.

1.1.2.1.3.Технические каналы утечки информации.

Информация передается полем или веществом. Используя те или иные физические поля, человек создает систему передачи информации или систему связи. Система связи в общем случае состоит из передатчика, канала передачи информации, приемника и получателя информации. Ввиду физической природы передачи информации при выполнении определенных условий возможно возникновение системы связи, которая передает информацию вне зависимости от желания отправителя или получателя информации – технический канал утечки информации (ТКУИ).

Рис. 1. Структура технического канала утечки информации

12

На вход канала поступает информация в виде первичного сигнала. Первичный сигнал представляет собой носитель с информацией от ее источника или с выхода предыдущего канала. В качестве источника сигнала могут быть:

объект наблюдения, отражающий электромагнитные и акустические волны;

объект наблюдения, излучающий собственные (тепловые) электромагнитные волны в оптическом и радиодиапазонах;

передатчик функционального канала связи;

закладное устройство;

источник опасного сигнала;

источник акустических волн, модулированных информацией.

Так как информация от источника поступает на вход канала на языке

источника (в виде буквенно-цифрового текста, символов, знаков, звуков, сигналов и т. д.), то передатчик производит преобразование этой формы представления информации в форму, обеспечивающую запись ее на носитель информации, соответствующий среде распространения. В общем случае он выполняет следующие функции:

создает поля или электрический ток, которые переносят инфор-

мацию;

производит запись информации на носитель;

усиливает мощность сигнала (носителя с информацией);

обеспечивает передачу сигнала в среду распространения в заданном секторе пространства.

Рис. 2. Классификация технических каналов утечки информации Основным признаком для классификации технических каналов утечки

информации является физическая природа носителя. По этому признаку ТКУИ делятся на:

оптические;

радиоэлектронные;

13

акустические;

материально-вещественные.

Носителем информации в оптическом канале является электромагнитное поле (фотоны).

Врадиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам.

Носителями информации в акустическом канале являются упругие акустические волны, распространяющиеся в среде.

Врезультате реализации технических каналов утечки информации, возможно возникновение следующих угроз:

угроза утечки акустической информации;

угроза утечки видовой информации;

угроза утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).

1.1.2.1.4.Опасные сигналы и их источники.

Опасные сигналы подразделяются на два вида: функциональные и случайные. Функциональные сигналы создаются техническим средством обработки информации для выполнения заданных функций. Принципиальным отличием функциональных сигналов от случайных является то, что владелец информации знает о возможных рисках нарушения безопасности информации и может принять соответствующие меры по снижению риска до допустимых значений.

В зависимости от принадлежности циркулирующей в технических средствах информации к защищаемой и открытой, технические средства делятся на основные технические средства и системы (ОТСС) и вспомогательные технические средства и системы (ВТСС). Важным здесь является то, что ВТСС не обрабатывают защищаемую информацию, но при этом могут находиться в пределах контролируемой зоны совместно с ОТСС. При определенных условиях ВТСС могут стать источниками случайных опасных сигналов, следовательно, они нуждаются в защите наряду с ОТСС.

1.1.2.1.5.Показатели технического канала утечки информации.

Каждый технический канал утечки информации (ТКУИ) характеризуется показателями, которые позволяют оценить риск утечки информации. К таким показателям относятся: пропускная способность ТКУИ; длина ТКУИ и относительная информативность ТКУИ.

14

Наибольшую пропускную способность имеет оптический канал, наименьшую – акустический. Например, для телефонного канала 3,1 кГц, телевизионного канала до 8МГц. Если канал составной, например, аку- стико-оптический или акустико-радиоэлектронный, то пропускная способность канала определяется по наименьшему значению.

Длина ТКУИ оценивается расстоянием от источника сигнала до приемника при условии обеспечения качественного приема. Длина зависит от показателей составных элементов канала, а также от мощности сигнала в среде распространения, технических характеристик приемной аппаратуры, помех в канале и т.д. Чем больше длина ТКУИ, тем более вероятно успешное действие злоумышленника по перехвату информации, т.к. возможна организация нескольких несанкционированных точек подключения или перехвата.

Основным каналом получения сигнальных демаскирующих признаков является радиоэлектронный канал. Для наиболее полного восстановления информации со стороны злоумышленников используется комплексирование каналов.

Лекция 3

1.1.2.2. Аутентификация пользователей

•Аутентификация пользователей

•Пароли

•Токены

•Биометрия

A. Цели

Существуют несколько причин, по которым необходима аутентифика-

ция.

Вычислительная мощность. На прошлых лекциях мы предполагали, что пользователи могут выполнять сложные вычисления. Шифрование, хеширование, доказательства знания с нулевым разглашением и т.д. – все это требует от пользователя выполнения сложных вычислений. Но не люди выполняют эти вычисления, а машины. Как могут пользователи идентифицировать себя на машине?

Контроль доступа. Это процесс назначения прав на сетевые ресурсы. Контроль доступа предоставляет или отвергает полномочия данного пользователя на получение ресурса и защищает ресурсы путем ограниченного доступа только для аутентифицированных и авторизованных пользователей. Для контроля доступа в компьютерные системы, классы или специальные базы данных могут потребоваться компьютеры.

Санкционирование доступа. Процесс назначения пользователю прав. Права доступа включают спецификации, такие как разрешается ли пользова-

15

телю чтение, запись или обновление файла. Транзакции, такие как электронные платежи, требуют авторизации пользователя с целью предотвращения мошеннических транзакций.

Аудит. Часто полезно регистрировать, кто и что сделал, даже при отсутствии строгого контроля. Такие протоколы способствуют отчетности. Если происходит какая-нибудь злонамеренная деятельность, нарушитель может понести ответственность. Это особенно важно, поскольку большинство атак на компьютерные системы происходит от авторизованных сотрудников.

Представляет интерес также и симметричный случай. Как идентифицировать электронное устройство? Известно несколько случаев подделки банкоматов в супермаркетах. Пользователи подходили к банкомату, давали свою карту и PIN (персональный идентификационный номер), и получали отказ в обслуживании. В конце дня база данных с информацией о картах (вместе с PINами) удалялась из машины, и злоумышленники могли использовать информацию о картах по своему усмотрению.

B. Принципы аутентификации

Системы аутентификации (СА) могут быть основаны на любом из следующих трех основных принципов:

1.На чем-то, что пользователь ЗНАЕТ. Это - пароль. Часто банки требуют для обслуживания карт код доступа или девичью фамилию матери, чтобы провести аутентификацию по телефону.

2.На чем-то, чем пользователь ОБЛАДАЕТ. Устройство служит в качестве токена аутентификации. Токены - часто предметы, физические или электронные. Ключи от помещений являются примерами токенов.

3.На чем-то, чем пользователь ЯВЛЯЕТСЯ (или как он ведет себя). Этот принцип известен, как биометрия, или измерение некоторого биологического свойства пользователя. Биометрия может быть как статическая (измерение), так и динамическая (распознавание почерка, анализ голоса и т.п.)

Разработка или выбор эффективной системы аутентификации пользователей требует взвешивания многих обстоятельств:

Сопротивление обману, подделке, хитрости. Разумно определенные злоумышленники не должны быть способны одурачить СА.

Время аутентификации. Пользователь не может терять время, взаимодействуя с системой. Пароли занимают пару секунд, подпись или сканирование сетчатки немного больше. Выполнение анализа ДНК см. фильм «Гаттака».

Стоимость устройств, интерфейсов, распределения информации, защиты. Они значительно меняются с развитием технологии. Сегодня пароли очень дешевы, а анализаторы ДНК - нет. Технология быстро уменьшает стоимость, и становятся возможными более изощренные методы.

16

Сложность обновления. Сопровождение пользовательской аутенти- фикацион-ной информации или добавление информации о новом пользователе может занимать какое-то время. Это особенно относится к системам распознавания голоса, которые могут включать много тренировочных прогонов для того, чтобы быть способными идентифицировать голос пользователя.

Требуемая процессорная обработка. Часто проблемой может быть время, затрачиваемое процессором. Методы аутентификации, которые занимают минуты для завершения вычислений, раздражают пользователей. Пароли в этом отношении лучше, распознавание голоса хуже, требуя быстрого преобразования Фурье.

Надежность. Многие методы сталкиваются с проблемой надежности. Например, сканер отпечатков пальцев может быть запачкан и может перестать правильно считывать информацию, тем самым отклоняя санкционированный доступ.

Прием со стороны пользователей, легкость применения, психоло-

гические особенности. Пользователям важно ощущать удобство работы с системой аутентификации. Оно включает такие факторы, как трудность, усилие и время для аутентификации. Также следует учитывать и психологические факторы, такие как неловкость, в целом, при использовании отпечатков пальцев, поскольку последние традиционно связываются с криминалом. Пользователям не нравится прикладывать пальцы к таинственному ящику, стоящему напротив. Аналогично, с настороженностью относятся к освещению глаз при выполнении сканирования сетчатки глаза.

Возможность передачи. Пароли легко передаются, тогда как скан сетчатки - нет. Желаемая возможность передачи, в основном, зависит от системы, так как передача паролей может представлять риск для безопасности, хотя может облегчить работу администратора, предоставляя другим пользователям соответствующие привилегии (не рекомендуется из-за потери персональной ответственности пользователей). Возможность передачи пароля дает больший потенциал для его похищения.

Точность. Измерение точности обычно связано с двумя величинами:

коэффициентом ложного пропуска (FAR) и коэффициентом ложного отка-

за (FRR). Как и следует из их названий, FAR измеряет процент неавторизованных пользователей, которые благополучно миновали меры безопасности системы, тогда как FRR измеряет процент авторизованных пользователей системы, которые в нее не попали. Точность биометрии (CER) обычно измеряется в точке пересечения кривых FAR и FRR (см. рис.1). Отметим, что используется распространенная форма компромисса, которая возникает в бинарной классификации, например, в конструкции запросов к устройствам аутентификации. В рамках общей модели БК мы хотим классифицировать набор сущностей по двум категориям в зависимости от наличия или отсутствия какого-либо свойства, но у нас нет непосредственной меры для этого

17

свойства, поэтому мы отождествляем некоторые косвенные меры (известные, как прокси) и используем их. Регулируя параметры прокси, проектировщик может быть в состоянии уменьшить ошибки одного класса (более редкий ошибочный прием), но только за счет увеличения ошибок другого класса (ошибочный отказ). Для военных приложений можно сделать систему очень тяжелой для проникновения, но для коммерческих приложений следует замедлить ход операционной кривой. Банкам с высокой кривой FRR будет трудно удержать клиентов, которые не получили доступ к своим счетам.

Сотрудничество. Большинство систем требуют положительного участия пользователей. Однако заключенные в тюрьме или другие лица, возможно, не стремятся к тому, чтобы их идентифицировали. Важно это или нет, зависит от приложения, но для некоторых систем это – важное свойство.

Рис.1. Рабочая (относительная) характеристика биометрической системы.

C.История

•Для людей важной является индивидуальность. На что было бы похоже общество, если бы все мы были одинаковы, как сардины в банке? Фактически некоторые теории эволюции подчеркивают сложность общественной ситуации, особенно, связанной с обманом, как объяснение эволюции человеческого мозга.

•Посланники короля обычно носили кольца с печаткой, чтобы идентифицировать себя.

•Можно найти свидетельства о том, что отпечатки пальцев использовались в древнем Китае 2000 лет назад.

•Для криминальной идентификации в США, начиная с 1870 г., при-

менялась методика под названием бертильонаж (автор французский сыщик A. Bertillon). Измеряя рост, длину и объем головы, длину рук, пальцев,

18

стоп, он убедился, что размеры отдельных частей разных лиц могут совпадать, но размеры четырех, пяти частей тела одновременно не бывают одинаковыми. Однако известен случай в США в 1903 г., когда нашлись два Вилли Уэста, имевшие одинаковый бертильонаж. Поэтому вскоре были приняты отпечатки пальцев, как основная форма криминального опознания.

• Пароли давно используются в сценариях военного времени.

1.1.2.2.1.Пароли.

Пароли являются дешевыми, удобными и достаточно точными и, соответственно, широко применяются.

A. Свойства

Пароли должны иметь два основных свойства:

1.Трудно угадать.

2.Легко запомнить.

Эти требования противоречат друг другу! То, что легко запомнить, имеет малую энтропию и, следовательно, легко угадывается.

B. Слабости

Моррис и Томпсон провели исследование (САСМ, Nov. 1979, 594-597) 3289 паролей и обнаружили, что 2831 (86%) из них уязвимы по следующим причинам:

15 представляют один символ ASCII

72 - строку двух символов ASCII

464 - строку трех символов ASCII

477 - строку четырех алфавитно-цифровых символов ASCII 706 - строку пяти букв в одном регистре (верхнем или нижнем) 605 - строку шести букв в нижнем регистре.

Заметим, что 266 = 309М, что не слишком велико.

Другие уязвимые особенности паролей включают: Общие.

Общеупотребительные слова. Русские, английские или из других языков.

Общеизвестные имена. ТВ, музыканты, известные личности, близкие, друзья, члены семьи, прозвища.

Специфические для пользователя Легко доступная информация. Дни рождений, номер лицензии, теле-

фонные номера, СНИЛС (страховой номер индивидуального лицевого счета), номер автомобиля, дом или улица, где живет пользователь.

19