8.4.2. Программно-технические методы обеспечения информационной безопасности
Раскрывая содержание программно-технических методов обеспечения информационной безопасности, необходимо отметить, что в основе создания и применения всех программно-технических средств информационной безопасности лежит два понятия - «идентификация» и «аутентификация».
Идентификация - процесс, позволяющий установить имя пользователя (например, вручение визитной карточки, где указаны имя, должность и другие атрибуты конкретного лица).
Аутентификация - процесс проверки подлинности введенного в систему имени пользователя (например, проверка подлинности имени пользователя через сличение его внешнего вида с фотографией).
Средства идентификации и аутентификации могут и объединяться [например, через предъявление служебного удостоверения, где приведены и данные для идентификации (фамилия, должность и пр.), и данные для аутентификации (фотография)]. Кроме того, сами средства идентификации и аутентификации могут иметь некоторые признаки, подтверждающие их подлинность. На удостоверении, например, это печати, подписи и другие признаки защиты от подделок.
В информационных технологиях способы идентификации и аутентификации являются средством обеспечения его доступа в информационное пространство организации в целом или отдельные разделы этого пространства.
Выделяют следующие способы идентификации и аутентификации пользователя информационно-вычислительных систем:
• парольные методы;
• методы с применением специализированных аппаратных средств;
• методы, основанные на анализе биометрических характеристик пользователя.
Смысл парольных методов заключается в том, что для входа в систему пользователь вводит два кода: свое условное имя (идентификация) и уникальный, известный только ему одному, код-пароль для аутентификации. При правильном использовании парольные схемы могут обеспечить приемлемый для многих организаций уровень безопасности. Однако в настоящий момент по совокупности характеристик они считаются самым слабым средством аутентификации, поскольку надежность паролей очень сильно зависит от «человеческого фактора».
Вторая система идентификации и аутентификации предполагает использование специальных устройств - магнитных карт, смарт-карт, так называемых таблеток, токенов и других аппаратных идентификаторов, на которых записана уникальная информация. Эти методы отличаются большей устойчивостью. Однако существует возможность его потери или кражи аппаратного идентификатора.
Наиболее перспективным в настоящее время считается использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони и др. Эти методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора.
Эти средства также не лишены недостатков, поскольку могут возникнуть проблемы с идентификацией из-за изменения радужной оболочки глаза под воздействием лекарства, из-за изменений в кожном покрове под воздействием высокой или низкой температуры воздуха.
Вопрос о применимости того или иного средства решается в зависимости от выявленных угроз и технических характеристик защищаемого объекта. Здесь необходим компромисс между надежностью, доступностью по цене, удобством использования и администрирования средств идентификации и аутентификации.
После того как с помощью средств идентификации и аутентификации был получен доступ в информационную систему, в дело вступают средства логического управления доступом. Средства логического управления доступом тоже контролируют возможность попадания пользователя в тот или иной раздел информации, хранящейся в системе, только они реализуются программным путем. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность информации.
Одним из средств логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню, и пользователю показывают лишь допустимые варианты выбора.
В процессе обеспечения информационной безопасности особое внимание уделяется протоколированию и аудиту информации.
Протоколирование - это сбор и накопление информации о событиях, происходящих в информационно-вычислительной системе. У каждой программы есть свой набор возможных событий, которые можно классифицировать на внешние (вызванные действиями других программ или оборудования), внутренние (вызванные действиями самой программы) и клиентские (вызванные действиями пользователей и администраторов).
Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.
При осуществлении протоколирования и аудита преследуются следующие главные цели:
• обеспечить подотчетность пользователей и администраторов;
• обеспечить возможность реконструкции последовательности событий;
• обнаружить попытки нарушений информационной безопасности;
• предоставить информацию для выявления и анализа проблем.
Пользователь не в состоянии вмешаться в процесс протоколирования, а процесс аудита осуществляется тогда, когда есть определенные претензии к пользователю. В хорошо сделанной системе фиксируются все попытки доступа пользователя к информации и практически все виды действий, которые над этой информацией производились.
Обеспечение подобной подотчетности считается одним из средств сдерживания попыток нарушения информационной безопасности, поскольку реконструкция событий позволяет выявить слабости в защите, найти виновника, определить способ устранения проблемы и вернуться к нормальной работе.
Криптография, или шифрование. Эта область информационной безопасности занимает центральное место среди программно-технических средств безопасности.
В современной криптографии используются два основных метода шифрования - симметричное и асимметричное.
В симметричном шифровании один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит проблему безопасной пересылки ключей при обмене сообщениями. С другой - получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.
В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может без всяких опасений передаваться по открытым каналам, другой - секретный - применяется для расшифровки и известен только получателю.
Асимметричные методы шифрования позволяют реализовать электронную подпись, или электронное заверение сообщения. Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными.
Экранирование. С развитием сетевых технологий все большую актуальность приобретает защита от случайных или намеренных воздействий из внешних сетей (например, Интернет), с которыми взаимодействует сеть предприятия. Для этой цели используются различные разновидности межсетевых экранов, а сам процесс защиты получил название экранирования. Межсетевой экран - это специализированная программная система, ограничивающая возможность передачи информации как из внешней сети в сеть предприятия, так и из сети предприятия во внешнюю среду. Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.
Назад | Содержание | Вперед |