Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным.

Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

При построении систем идентификации и аутентификации возникает проблема выбора идентификатора, на основе которого осуществляются процедуры идентификации и аутентификации пользователя. В качестве идентификаторов обычно используют:

· набор символов (пароль, секретный ключ, персональный идентификатор и т. п.), который пользователь запоминает или для их запоминания использует специальные средства хранения (электронные ключи);

· физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).

Наиболее распространенными простыми и привычными являются методы аутентификации, основанные на паролях – конфиденциальных идентификаторах субъектов. В этом случае при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам системы.

Парольные методы аутентификации по степени изменяемости паролей делятся на:

· методы, использующие постоянные (многократно используемые) пароли;

· методы, использующие одноразовые (динамично изменяющиеся) пароли.

Использование одноразовых или динамически меняющихся паролей является более надежным методом парольной защиты.

51. Управление доступом.

Система контроля и управления доступом (СКУД) — совокупность программно-аппаратных технических средств безопасности, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через «точки прохода»: двери, ворота, КПП.

Основная задача — управление доступом на заданную территорию (кого пускать, в какое время и на какую территорию).

На особо ответственных объектах сеть устройств СКУД выполняется физически несвязанной с другими информационными сетями.

Преграждающие контукции.

Устанавливаются на двери:

· Электрозащёлки — наименее защищены от взлома, поэтому их обычно устанавливают на внутренние двери (внутриофисные и т. п.) Электрозащёлки, как и другие типы замков, бывают открываемые напряжением (то есть дверь открывается при подаче напряжения питания на замок), и закрываемые напряжением (открываются, как только с них снимается напряжение питания, поэтому рекомендованы для использования пожарной инспекцией).

· Электромагнитные замки — практически все запираются напряжением, то есть пригодны для установки на путях эвакуации при пожаре.

· Электромеханические замки — достаточно устойчивы ко взлому (если замок прочный механически), многие имеют механический перевзвод (это значит, что если на замок подали открывающий импульс, он будет разблокирован до тех пор, пока дверь не откроют).

Устанавливаются на проходах/проездах:

Турникет-трипод поясной со считывателем системы контроля доступа

· Турникеты — используются на проходных предприятий, общественно значимых объектах (стадионы, вокзалы, метро) — везде, где требуется организовать контролируемый проход большого количества людей. Турникеты делятся на два основных типа: поясные и полноростовые. Если рядом с турникетом нет быстро открывающегося свободного прохода (на случай пожара), поясной турникет должен быть оборудован т. н. планками «антипаника» — планками, переламывающимися усилием нормального человека (требование пожарной инспекции).

· Шлюзовые кабины — используются в банках, на режимных объектах (на предприятиях с повышенными требованиями к безопасности).

· Ворота и шлагбаумы — в основном, устанавливаются на въездах на территорию предприятия, на автомобильных парковках и автостоянках, на въездах на придомовую территорию, во дворы жилых зданий. Основное требование — устойчивость к климатическим условиям и возможность автоматизированного управления (при помощи системы контроля доступа). Когда речь идёт об организации контроля доступа проезда, к системе предъявляются дополнительные требования — повышенная дальность считывания меток, распознавание автомобильных номеров (в случае интеграции с системой видеонаблюдения).

 

52. Симметричные криптосистемы шифрования. Асимметричные криптосистемы шифрования.

Классические криптографические методы делятся на два основных типа:симметричные (шифрование секретным ключом) и асимметричные (шифрование открытым ключом).

В симметричных методах для шифрования и расшифровывания используется один и тот же секретный ключ. Наиболее известным стандартом на симметричное шифрование с закрытым ключом является стандарт для обработки информации в государственных учреждениях США DES (DataEncryptionStandard).

Основной недостаток этого метода заключается в том, что ключ должен быть известен и отправителю, и получателю. Это существенно усложняет процедуру назначения и распределения ключей между пользователями. Указанный недостаток послужил причиной разработки методов шифрования с открытым ключом – асимметричных методов.

Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифрования. Один ключ является закрытым и известным только получателю. Его используют для расшифрования. Второй из ключей является открытым, т. е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования.

В настоящее время наиболее известным и надежным является асимметричный алгоритм RSA (Rivest, Shamir, Adleman).

Для контроля целостности передаваемых по сетям данных используется электронная цифровая подпись, которая реализуется по методу шифрования с открытым ключом.

 

53. Электронная цифровая подпись.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т. е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной.

При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш, защищающая послание от нелегального изменения. Электронная подпись здесь гарантирует как целостность сообщения, так и удостоверяет личность отправителя.

 

54. Управление криптоключами.

Управление криптоключами

У. Диффи и М. Хеллман изобрели метод открытого распределения ключей в 1976 г. Этот метод позволяет пользователям обмениваться ключами по незащищенным каналам связи. Его безопасность обусловлена трудностью вычисления дискретных логарифмов в конечном поле, в отличие от легкости решения прямой задачи дискретного возведения в степень в том же конечном поле.

Суть метода Диффи — Хеллмана заключается в следующем (рис. 5.9).

Рис. 5.9. Метод Диффи — Хеллмана

Пользователи A и В, участвующие в обмене информации, генерируют независимо друг от друга свои случайные секретные ключи к_А и к_в (ключи к_А и к_в — случайные большие целые числа, которые хранятся пользователями А и В в секрете).

Затем пользователь А вычисляет на основании своего секретного ключа к_А открытый ключ K_A= g^k* (mod N), одновременно пользователь В вычисляет на основании своего секретного ключа к_в открытый ключ K_B= g^k* (mod N), где N и g — большие целые простые числа. Арифметические действия выполняются с приведением по модулю N. Числа N и g могут не храниться в секрете. Как правило, эти значения являются общими для всех пользователей сети или системы.

Затем пользователи A и В обмениваются своими открытыми ключами К_А и К_в по незащищенному каналу и используют их для вычисления общего сессионного ключа А’ (разделяемого секрета).

Таким образом, результатом этих действий оказывается общий сессионный ключ, который является функцией обоих секретных ключей к_А и к_в.

Злоумышленник, перехвативший значения открытых ключей К_А и К_в, не может вычислить сессионный ключ К, потому что он не имеет соответствующих значений секретных ключей к_А и к_в.

Благодаря использованию однонаправленной функции, операция вычисления открытого ключа необратима, т. е. невозможно по значению открытого ключа абонента вычислить его секретный ключ.

Уникальность метода Диффи — Хеллмана заключается в том, что пара абонентов имеет возможность получить известное только им секретное число, передавая по открытой сети открытые ключи. После этого абоненты могут приступить к защите передаваемой информации уже известным проверенным способом — применяя симметричное шифрование с использованием полученного разделяемого секрета.

Схема Диффи — Хеллмана дает возможность шифровать данные при каждом сеансе связи на новых ключах. Это позволяет не хранить секреты на дискетах или других носителях. Не следует забывать, что любое хранение секретов повышает вероятность попадания их в руки конкурентов или противника.

На основе схемы Диффи — Хеллмана функционирует протокол управления криптоключами IKE (Internet Key Exchange), применяемыми при построении защищенных виртуальных сетей VPN на сетевом уровне.

 

55. Классификация возможных каналов утечки информации.

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения информационного сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположе­нии средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей АС или вне ее.

Применительно к АС выделяют следующие каналы утечки:

1. Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с использованием электрического тока в аппаратных компонентах АС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:

· радиоканал (высокочастотное излучение);

· низкочастотный канал;

· сетевой канал (наводки на сеть электропитания);

· канал заземления (наводки на провода заземления);

· линейный канал (наводки на линии связи между компьютерными сис­темами).

2. Акустический (виброакустический) канал. Связан с распростране­нием звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС.

3. Визуальный канал. Связан с возможностью визуального наблюде­ния злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты систе­мы. В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т. п.

4. Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам АС, к носителям информации, к са­мой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подклю­чением к линиям связи. Информационный канал может быть разделен на следующие каналы:

· канал коммутируемых линий связи,

· канал выделенных линий связи,

· канал локальной сети,

· канал машинных носителей информации,

· канал терминальных и периферийных устройств.

56. Технологии зашиты акустической информации от утечки.

К защищаемой речевой (акустической) информации относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Это, как правило, информация ограниченного доступа, содержащая сведения, отнесенные к государственной тайне, а также сведения конфиденциального характера.

Для обсуждения информации ограниченного доступа (совещаний, обсуждений, конференций, переговоров и т.п.) используются специальные помещения (служебные кабинеты, актовые залы, конференц-залы и т.д.), которые называются выделенными помещениями (ВП). Для предотвращения перехвата информации из данных помещений, как правило, используются специальные средства защиты, поэтому выделенные помещения в ряде случаев называют защищаемыми помещениями (ЗП).

В выделенных помещениях, как правило, устанавливаются вспомогательные технические средства и системы (ВТСС):

• городской автоматической телефонной связи;

• охранной и пожарной сигнализации, кондицинер, часы и т.д.

К основным организационным мероприятиям по защите речевой информации от утечки по техническим каналам относятся:

• выбор помещений для ведения конфиденциальных переговоров (выделенных помещений);

• категорирование ВП;

• использование в ВП сертифицированных вспомогательных технических средств и систем (ВТСС);

• установление контролируемой зоны вокруг ВП;

• демонтаж в ВП незадействованных ВТСС, их соединительных линий и посторонних проводников;

• организация режима и контроля доступа в ВП;

• отключение при ведении конфиденциальных переговоров незащищенных ВТСС.

В зависимости от используемых средств технические способы защиты информации подразделяются на пассивные и активные. Пассивные способы защиты информации направлены на:

• ослабление акустических и вибрационных сигналов до величин, обеспечивающих невозможность их выделения средством акустической разведки на фоне естественных шумов в местах их возможной установки;

• ослабление информационных электрических сигналов в соединительных линиях вспомогательных технических средств и систем, возникших вследствие акусто-электрических преобразований акустических сигналов, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;

• исключение (ослабление) прохождения сигналов «высокочастотного навязывания» в ВТСС, имеющих в своем составе электроакустические преобразователи (обладающие микрофонным эффектом);

• ослабление радиосигналов, передаваемых закладными устройствами, до величин, обеспечивающих невозможность их приема в местах возможной установки приемных устройств;

• ослабление сигналов, передаваемых закладными устройствами по электросети 220 В, до величин, обеспечивающих невозможность их приема в местах возможной установки приемных устройств.

В случае технической невозможности использования пассивных средств защиты помещений или если они не обеспечивают требуемых норм по звукоизоляции, используются активные способы защиты речевой информации, которые направлены на:

• создание маскирующих акустических и вибрационных шумов в целях уменьшения отношения сигнал/шум до величин, обеспечивающих невозможность выделения средством акустической разведки речевой информации в местах их возможной установки;

• создание маскирующих электромагнитных помех в соединительных линиях ВТСС в целях уменьшения отношения сигнал/шум до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки в возможных местах их подключения;

• подавление устройств звукозаписи (диктофонов) в режиме записи;

• подавление приемных устройств, осуществляющих прием информации с закладных устройств по радиоканалу;

• подавление приемных устройств, осуществляющих прием информации с закладных устройств по электросети 220 В.

57. Технологии зашиты информации от утечки по каналам ПЭМИН.

Защита информации от утечки через ПЭМИН осуществляется с применением пассивных и активных методов и средств.

Пассивные методы защиты информации направлены на:

· ослабление побочных электромагнитных излучений (информационных сигналов) ОТСС на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;

· ослабление наводок побочных электромагнитных излучений в посторонних проводниках и соединительных линиях, выходящих за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;

· исключение или ослабление просачивания информационных сигналов в цепи электропитания, выходящие за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов.

Активные методы защиты информации направлены на:

· создание маскирующих пространственных электромагнитных помех с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала;

· создание маскирующих электромагнитных помех в посторонних проводниках и соединительных линиях с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала.

Зашумление