При использовании средств вычислительной техники
Противоправный доступ к компьютерной информации и её получение возможно:
1) при непосредственном доступе к служебной информации;
2) через пользователей системы, имеющих доступ к информационным ресурсам;
3) путём несанкционированного проникновения на объекты вычислительной техники с целью последующего доступа к информационным ресурсам;
4) через работников информационных подразделений, имеющих доступ к информационным системам, информационным ресурсам по своему служебному положению;
5) вследствие технических возможностей удаленного доступа через локальные (ведомственные) вычислительные сети, вычислительные сети общего пользования, имеющие техническое подключение к локальной вычислительной сети;
6) во время обработки информации на технических средствах вследствие её утечки по техническим каналам.
Наиболее опасным является получение и использование с преступной целью конфиденциальной информации теми категориями работников информационных подразделений, которые имеют максимальные полномочия по доступу к защищаемым ресурсам.
К числу таких должностных лиц, прежде всего, относятся:
- руководящий состав информационных подразделений;
- администраторы баз данных;
- работники, обеспечивающие безопасность информации;
- работники информационных подразделений, имеющих высокую степень доступа к защищаемым ресурсам.
Работники подразделений безопасности и режима должны в достаточном объеме обращать внимание на неоправданное и неправомерное проявление повышенного интереса со стороны работников к защищаемой информации, в частности
на немотивированную работа в неурочное время;
работу с неучтенными электронными носителями информации;
работу на компьютере в неурочное время;
архивирование данных, не предусмотренное технологическим процессом;
наличие на личной СВТ или личных электронных носителях информации файлов других пользователей (признаков их предыдущего нахождения);
ряд других признаков.
Несанкционированный доступ к информации – доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах и т. д. различных организаций путём изменения (повышения) прав доступа.
Управление доступом – система мер защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти меры должны противостоять несанкционированному доступу к информационным ресурсам.
Как правило, управление доступом к информационным ресурсам включает:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);
• создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование обращений к защищаемым ресурсам);
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий
Защита от несанкционированного доступа к информации обеспечивается программно-техническими средствами и поддерживающими их организационными мерами на основе системы разграничения доступа.
Основные подходы к нарушению защиты от несанкционированного доступа, а именно компрометации системы разграничения доступа (СРД) при использовании средств вычислительной техники можно представить в виде схемы (рис.4.1.)
Рис. 4.1. Основные подходы к компрометации СРД
Кратко остановимся на основных правилах и методах применяемых для разграничения доступа.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности».
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
что служит аутентификатором (т. е. используется для подтверждения подлинности субъекта);
как организован (и защищен) обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:
то, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
то, чем он владеет (личную карточку или иное устройство аналогичного назначения);
то, что есть часть его самого (голос, отпечатки пальцев и т.п., т. е. свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных.
Надежная идентификация/аутентификация затруднена не только из-за сетевых угроз, но и по ряду причин.
Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать.
Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, чтобы обеспечить безопасность необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию.
В-третьих, чем надежнее средство защиты, тем больше его стоимость.
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, так как однозначного решения пока не существует.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. Сервис идентификации/аутентификации может стать объектом атак.
Главное достоинство парольной аутентификации – простота и привычность. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Чтобы пароль был запоминающимся, его зачастую делают простым (имя близкого человека, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя.
Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.
Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.
Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля.
Пароль можно угадать «методом лобовой атаки». Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).
Значительно повысить надежность парольной защиты позволяют следующие меры:
наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
управление сроком действия паролей, их периодическая смена;
ограничение доступа к файлу паролей;
ограничение числа неудачных попыток входа в систему (это затруднит применение «метода лобовой атаки»);
использование программных генераторов паролей.
Указанные пароли можно назвать многоразовыми. Их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Более сильным средством, устойчивыми средствами к пассивному прослушиванию сети являются одноразовые пароли.
Наиболее известным программным генератором одноразовых паролей является система S/KEY компании «Bellcore». Идея этой системы состоит в следующем. Имеется односторонняя функция f (т. е. функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Далее имеется секретный ключ K, известный только пользователю.
На этапе начального администрирования пользователя функция f применяется к ключу K n раз, после чего результат сохраняется на сервере.
После этого процедура проверки подлинности пользователя выглядит следующим образом:
сервер присылает на пользовательскую систему число (n-1);
пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;
сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной.
При совпадении подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик (n).
На самом деле реализация парольной аутентификации сложнее (кроме счетчика, сервер посылает затравочное значение, используемое функцией f). Так как функция f необратима, перехват пароля, как и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразовый пароль [9].
Другой подход к надежной парольной идентификации/аутентификации состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 с.), для чего могут использоваться программы или специальные интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). Серверу аутентификации должен быть известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме того, часы клиента и сервера должны быть синхронизированы.
Вместо парольной идентификации для усиления защиты разграничения доступа часто используют биометрию, которая представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик.
К физиологическим характеристикам принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п.
К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
В последнее время спрос на системы биометрической идентификации постоянно увеличивается, в первую очередь, в связи с развитием электронной коммерции. С точки зрения пользователя такой метод разграничения доступа гораздо удобнее, так как не требуется запоминать дополнительную информацию. На рынке появились относительно доступные по цене аппаратно-программные продукты, ориентированные в основном на распознавание отпечатков пальцев.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. При успешном поиске личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно сравнить с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Интерес к биометрии очень большой. Публикуется масса рекламных статей, в которых биометрия преподносится как средство обеспечения сверхбезопасности, ставшее доступным широким массам. Однако к биометрии следует относиться очень осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Следует учитывать разницу между применением биометрии на контролируемой территории, и в других условиях, когда, например, к устройству сканирования роговицы могут поднести муляж.
При рассмотрении парольной идентификации/аутентификации и методов биометрии был рассмотрено физическое управление доступом. Существует еще и логическое управление доступом, которое, в отличие от физического, реализуется программными средствами.
Логическое управление доступом – это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).
При принятии решения о предоставлении доступа к конфиденциальной информации в информационных системах обычно анализируется следующая информация:
идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом;
атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности содержат данные об уровне секретности и категории, к которой относятся данные. Согласно «Оранжевой книге», метки безопасности состоят из двух частей – уровня секретности и списка категорий.
списки доступа – исключительно гибкое средство. С их помощью легко выполнить требование о разделении прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ. Безусловно, списки являются лучшим средством произвольного управления доступом.
В заключение хотелось бы остановиться на явных признаках, свидетельствующих о неправомерной работе на средствах вычислительной техники. Они могут быть следующими:
наличие признаков работы средства вычислительной техники (СВТ) при отсутствии пользователя (вилка сетевого шнура в розетке, повышенная температура корпусов технических средств и др.);
нарушение печати на корпусе СВТ, признаки, указывающие на попытку подбора ключа системного блока (если это предусмотрено);
изменение расположения основных (системный блок, дисплей, клавиатура и т.д.) и вспомогательных технических средств (принтер, сканер);
изменение состояния соединительных кабелей вычислительных средств и сетевых шнуров;
выход из работоспособного состояния технических средств обработки информации;
обнаружение несанкционированного подключения к телекоммуникационным каналам связи или его следов;
пропажа материальных носителей с информацией или их приведение в нерабочее состояние и др.
Для хранения конфиденциальной информации и вывода результатов её обработки на объектах информатизации могут быть использованы только разрешенные и оформленные в установленном порядке машинные носители информации.
3. Организация и ведение учета машинных носителей конфиденциальной информации
ЭВМ, используемые для изготовления конфиденциальных документов, учитываются службой безопасности предприятия. Магнитные и оптические носители, предназначенные для фиксирования конфиденциальной информации, должны учитываться подразделением конфиденциального делопроизводства до нанесения на них информации в журналах (карточках) учета машинных носителей конфиденциальной информации.
Форма журнала учета машинных носителей конфиденциальной информации представлена в табл. 4.1.
Графы 1, 2 заполняются таким же образом, как и в журнале учета бумажных носителей, а именно в графе 1 рядом с номером носителя начальными буквами проставляется его гриф конфиденциальности. В графе 2 дата проставляется арабскими цифрами число и месяц (год проставляется перед началом регистрации носителей за этот год).
Таблица 4.1. Форма журнала учёта машинных
носителей конфиденциальной информации
Учетный номер и гриф конфиденциальности носителя |
Дата регистрации |
Вид носителя |
Тип носителя |
Наименование информации, наносимой на носитель |
Отметка о переносе информации на другой носитель |
Отметка об отправлении носителя |
Отметка о возврате носителя |
Отметка об уничтожении (стирании) информации |
Отметка об уничтожении носителя |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
В графе 3 проставляется: магнитный диск, дискета, оптический диск и др.
В графе 4 указывается название (марка) носителя.
В графе 5 указывается наименование информации, которая будет наноситься на носитель, если она заранее известна. Если информация неизвестна, графа заполняется по мере нанесения информации на носитель.
В графе 6 напротив наименования соответствующей информации проставляются типы носителей, на которые перенесена информация (распечатка, дискета и др.), и их учетные номера.
В графе 7 проставляются наименование предприятия, на которое отправлен носитель, наименование, номер и дата сопроводительного документа.
В графе 8 указываются: номер и дата сопроводительного письма (если носитель возвращен с сопроводительным письмом) или порядковый номер и дата поступления пакета с носителем, которые проставляются в журнале учета поступивших пакетов (если носитель возвращен без сопроводительного письма).
Если предприятие не осуществляет отправление машинных носителей, то графы 7, 8 опускаются.
В графе 9 производится запись «Информация уничтожена путем стирания», заверяемая подписью работника, производившего стирание, с проставлением даты. Такие записи должны осуществляться по мере стирания информации и проставляться напротив ее наименования, указанного в графе 5.
Графа 10 заполняется, если носитель из-за различных причин уничтожается. При этом указывается способ уничтожения. Отметка об уничтожении носителя заверяется подписями двух сотрудников подразделения конфиденциального делопроизводства с проставлением даты уничтожения.
На конфиденциальные машинные носители информации и документы, выдаваемые исполнителям, заводятся карточки учёта выдачи машинных носителей информации и машинных документов.
Перед выдачей исполнителю чистые машинные носители, предназначенные для записи на них конфиденциальной информации, учитываются работником подразделения специального делопроизводства в журнале, карточке учета выдачи носителей. Для маркировки машинных носителей информации проставляется штамп, и заполняются реквизиты штампа.
Реквизиты штампа содержат следующие данные: учётный номер, гриф или пометку конфиденциальности, количество экземпляров и номер экземпляра, фамилию (шифр) исполнителя (оператора), дату исполнения.
При невозможности проставления штампа допускается наклеивание ярлыка с его оттиском или нанесение реквизитов от руки заметным красителем.
В формах учета носителей не должны производиться подчистки и исправления с применением корректирующей жидкости. Ошибочная запись зачеркивается одной чертой. Вносимые исправления заверяются подписью сотрудника подразделения конфиденциального делопроизводства проставлением даты.
Листы журналов учета носителей должны быть перед заведением пронумерованы, прошиты и опечатаны печатью подразделения конфиденциального делопроизводства. На обратной стороне последнего листа журнала проставляется заверительная надпись с указанием количества листов, которая подписывается сотрудником, ответственным за ведение журнала, отельная надпись на картотеку учета носителей с указанием количества карточек в картотеке составляется по окончании года на отдельной карточке и помещается в конце картотеки.
Конфиденциальные машинные носители и документы хранятся в специальных хранилищах или надежно заземленных металлических шкафах (сейфах), опечатываемых лицами, ответственными за их хранение. Их хранение должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них конфиденциальной информации, а также соответствовать техническим условиям заводов-изготовителей носителя и средства вычислительной техники. В специальных хранилищах, металлических шкафах и сейфах конфиденциальные носители и электронные документы для удобства их хранения содержатся в папках, коробках, контейнерах и т.п., на которые наклеиваются ярлыки с копией штампа, стоящего на носителе и машинных документах, хранящихся в них.
Пришедшие в негодность носители, содержащие конфиденциальную информацию, уничтожаются в соответствии с требованиями по уничтожению носителей информации с письменного разрешения руководителя предприятия по акту на уничтожение конфиденциальных машинных носителей информации, с отражением в журнале или в карточках учета машинных носителей конфиденциальной информации. Карточки уничтожаются вместе с электронным носителем и документами, на которые они заводились.
Массивы конфиденциальной информации, утратившие практическое значение, стираются (удаляются) специальными программами. По факту удаления конфиденциальной информации составляется акт на стирание конфиденциальной информации.
Магнитные носители после удаления с них конфиденциальной информации с учёта не снимаются и хранятся наравне с конфиденциальными носителями. В последующем эти носители могут быть переданы другим пользователям в установленном порядке и использованы для записи другой конфиденциальной информации.