Биометрические средства контроля доступа

Биометрическая идентификация [1] позволяет эффективно решать целый ряд проблем:

· предотвратить проникновение злоумышленников в защищенные системы в результате подделки или кражи документов, карт, паролей; ограничить доступ к информации и обеспечить персональную ответственность за ее сохранность и проч.;

· исключить неудобства, связанные с утерей или порчей ключей, карт, паролей; организовать учет доступа и посещаемости сотрудников.

В качестве уникального биологического кода человека используется целый ряд параметров. Как показано в табл. 1, их можно разделить на физиологические (основанные на анатомической уникальности каждого человека) и поведенческие, основанные на специфике действий человека. Каждый из параметров имеет свои достоинства и недостатки с точки зрения его использования в качестве критерия идентификации.

Таблица 1. Биометрические параметры человека, используемые в системах контроля допуска
Физиологические	Поведенческие
Отпечатки пальцев или отпечаток ладони	Подпись
Геометрия кисти руки или геометрия лица	Тембр голоса
Радужная оболочка глаза или сетчатка глаза	Клавиатурный почерк
Структура ДНК

Защита передаваемой информации.

Рассмотрим конкретный пример. Пусть сотрудник А отправляет своему коллеге В важный документ по электронной почте.

Получая письмо, В задает себе следующие вопросы. Действительно ли данный документ был отправлен А, а не другим лицом, которое выдает себя за " А "? Не был ли документ перехвачен и изменен в процессе доставки? Не был ли документ прочитан кем-либо, кроме него? Иными словами, его волнуют вопросы проверки аутентификации отправителя и послания и обеспечения конфиденциальности сообщения. Как будет показано ниже, все перечисленные проблемы решает современная криптография.

Криптография (от греч. cryptos - "тайный") - это наука и технология шифрования важной информации для защиты ее от изменений и неавторизованного доступа.

Криптография служит не только для перевода текстов в нечитаемую зашифрованную форму, но и позволяет решать задачи аутентификации и идентификации пользователей при работе в Сети.

Шифрование с помощью ключа

Для того чтобы пояснить суть процесса шифрования с ключом, приведем простой пример. Выпишем буквы текста и под ними запишем их номера в алфавите. Третьей строчкой запишем буквы ключа, повторяя это слово на всю строку. Под буквами ключа запишем их номера в алфавите, а в четвертой строчке запишем сумму, которая и будет зашифрованным сообщением: 20 19 29 36 и т.д.

Зная ключ и алгоритм, легко расшифровать сообщение: 20 - 3 = 17, а 17-я буква алфавита - это "П" и т.д. Даже если злоумышленнику известен алгоритм, но неизвестен ключ, прочитать сообщение без длительной процедуры подбора ключа невозможно. Таким образом, один алгоритм можно использовать со многими ключами для разных каналов связи, закрепив за каждым корреспондентом отдельный ключ.

Шифрование с симметричным ключом

Рассмотрим конкретный пример: пусть корреспонденты А и В пишут друг другу письмо. Каждый имеет свой определенный секретный ключ, который можно использовать для шифрования данных перед отправкой в Сеть.

Пользователь А зашифровывает сообщение своим секретным ключом, отсылает сообщение по Сети, а получатель В (пользуясь таким же секретным ключом) расшифровывает сообщение. Прежде всего, симметричное шифрование не позволяет решить проблему аутентификации. Кроме того, симметричный ключ должен быть установлен на компьютер отправителя и получателя до обмена секретными сообщениями. Проблема возникает при передаче секретного ключа. Действительно, если А передаст В секретный ключ в незашифрованном виде, его могут перехватить. Если ключ послать в зашифрованном виде, то В не сможет его получить.

Асимметричное шифрование

Асимметричное шифрование, или шифрование с помощью публичного ключа, основано на использовании пары ключей: закрытого (частного) и открытого (публичного).

Послание, зашифрованное частным ключом, можно расшифровать только публичным, и наоборот. Частный ключ известен только владельцу и его нельзя никому передавать, в то время как публичный ключ распространяется открыто и известен всем корреспондентам.

Пару ключей - частный и публичный - можно использовать как для решения задач аутентификации, так и для обеспечения секретности (конфиденциальности).

Согласно первой схеме, пользователь А заранее отсылает публичный ключ своим корреспондентам В и С, а затем отправляет им сообщение, зашифрованное своим частным ключом. Чтобы прочитать такое послание, В и С могут воспользоваться публичным ключом, принадлежащим А (он хранится в общедоступном месте в Сети).

Когда кто-то получает от вас сообщение, зашифрованное вашим частным ключом, он уверен в аутентичности послания. То есть в данном случае шифрование эквивалентно поставленной подписи.

Таким образом, цифровая подпись или электронная подпись - это метод аутентификации отправителя или автора подписи, подтверждающий, что содержание документа не было изменено. Цифровая подпись может быть поставлена как в зашифрованном, так и в открытом послании.

Цифровые сертификаты

Центры сертификации CA (Certification Authority) выдают сертификаты - цифровые данные, подписанные цифровой подписью поручителя, подтверждающие соответствие открытого ключа и информации, идентифицирующей его владельца. Сертификат содержит публичный ключ, информацию о владельце ключа, название сертификационного центра, время, в течение которого сертификат действителен, и т.д. Сертификат является аналогом удостоверения личности.

Классы сертификатов

Личные сертификаты могут быть разных классов. Для получения сертификата низшего уровня требуется минимальный уровень проверки владельца публичного ключа. При выдаче сертификата высшего уровня проверяются не только личные данные владельца, но и уровень его кредитоспособности. В этом случае сертификат может выступать аналогом "кредитной карты", подтверждающей кредитоспособность при сделках в Web.

Экранирование

Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем:

Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Межсетевые экраны называют также брандмауэрами или файерволами (от англ. firewall). Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.

Аппаратный брандмауэр - это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер.

Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере.

Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy-сервер и систему обнаружения вторжений.

Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки.

ЛЕКЦИЯ № 2 «Вирусы и антивирусные программы»

Оглавление

Вредоносные программы: компьютерные вирусы, сетевые черви и троянские программы. Шпионское и рекламное ПО, программы дозвона. Административные меры борьбы с вирусами. Принципы работы антивирусных программ. Эвристический анализ. Программа AVP (AntiViral Toolkit Pro) Лаборатории Касперского. Программа Dr.Web лаборатории Данилова. Контент секьюрити.

Лекция

КОМПЬЮТЕРНЫЕ ВИРУСЫ

У пользования Всемирной сетью есть и обратная сторона. Вирусы и другие компьютерные паразиты, нежелательная и рекламная информация, программы-шпионы и сетевые атаки - все это угрожает компьютеру, подсоединенному к Интернету.

Прежде всего, необходимо рассмотреть вредоносные программы (или коды). По способу распространения их можно условно разделить на компьютерные вирусы, сетевые черви и троянские программы.

Компьютерные вирусы - это программы, способные размножаться самостоятельно, дописывая свой код к другим файлам или в служебные области диска. Каждый вирус способен выполнять деструктивные или нежелательные действия на зараженном компьютере. Он может демонстрировать видеоэффекты, замедлять работу системы, похищать и уничтожать личную информацию пользователя, а также многое другое.

Существует множество разновидностей вирусов. Самыми старыми являются файловые вирусы. Они размножаются, используя файловую систему. Почти столь же древними являются загрузочные вирусы. Они так названы потому, что заражают загрузочный сектор (boot sector) жесткого диска. Загрузочные вирусы замещают код программы, получающей управление при запуске системы. Таким образом, после перезагрузки системы управление передается вирусу. Следует отметить, что сегодня загрузочные вирусы встречаются очень редко. С середины 90-х годов получили распространение макровирусы. Эти вредители представляют собой программу на макроязыке. Для размножения макровирусы используют встроенные возможности, например, текстового или табличного редактора. Таким способом эти вредители переносят себя из одного зараженного файла в другой.

Сетевые черви

"Червей" часто называют вирусами, хотя, строго говоря, это не совсем верно. Сетевые черви - это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии. Сетевые черви могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). По среде распространения червей можно условно разделить на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (распространяются через чаты Internet Relay Chat).

Есть еще одна крайне опасная разновидность червей - бестелесные. Эти паразиты не используют для своего размножения ни временных, ни постоянных файлов. Бестелесные черви вне компьютера существуют в виде сетевых пакетов, а внутри зараженного компьютера - в виде программного кода прямо в оперативной памяти. Бестелесные черви распространяются очень быстро.

Троянские программы

Троянские программы, "троянские кони" и просто "троянцы" - это вредоносные программы, которые сами не размножаются. Подобно знаменитому Троянскому коню из "Илиады" Гомера, программа-троянец выдает себя за что-то полезное. Чаще всего троянский конь маскируется под новую версию бесплатной утилиты, какую-то популярную прикладную программу или игру.

По выполняемым вредоносным действиям троянские программы можно условно разделить на следующие виды:

· утилиты несанкционированного удаленного администрирования (позволяют злоумышленнику удаленно управлять зараженным компьютером);

· утилиты для проведения DDoS-атак (Distributed Denial of Service - распределенные атаки типа отказ в обслуживании);

· шпионские и рекламные программы, а также программы дозвона;

· серверы рассылки спама;

· многокомпонентные "троянцы"-загрузчики (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).

Следует отметить, что на практике часто встречаются программы-"троянцы", относящиеся сразу к нескольким перечисленным выше видам.