Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Основы информационная безопасность
164 можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.
При наличии дефицита в средствах, а также в целях постоян- ного контроля доступа к ценной информации со стороны админи- страции потребителя АСУ в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руко- водителя только при наличии его идентификатора и идентифика- тора его заместителя или представителя службы безопасности ин- формации. При этом информация выдается на дисплей только ру- ководителя, а на дисплей подчиненного – только информация о факте ее вызова.
5.6. Идентификация и установление
подлинности объекта (субъекта)
Объект идентификации и установление подлинности
Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа.
Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает.
Конечная цель идентификации и установления подлинности объекта в вычислительной системе – допуск его к информации ог- раниченного пользования в случае положительного исхода провер- ки или отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и установления подлинности в
АСОИ могут быть:
 человек (оператор, пользователь, должностное лицо);
 техническое средство (терминал, дисплей, ЭВМ, АСОИ);
 документы (распечатки, листинги и др.);
 носители информации (съемные диски);
 информация на мониторе, дисплее, табло и т. д.
Установление подлинности объекта может производиться че- ловеком, аппаратным устройством, программой, вычислительной системой и т. д.
В вычислительных системах применение указанных методов в целях защиты информации при ее обмене предполагает конфиден- циальность образов и имен объектов.

Методы и средства защиты компьютерной информации
165
При обмене информацией между человеком и ЭВМ (а при уда- ленных связях обязательно) вычислительными системами в сети реко- мендуется предусмотреть взаимную проверку подлинности полномо- чий объекта или субъекта. В указанных целях необходимо, чтобы каж- дый из объектов (субъектов) хранил в своей памяти, недоступной для посторонних, список образов (имен) объектов (субъектов), с которыми производится обмен информацией, подлежащей защите.
Идентификация и установление подлинности личности.
В повседневной жизни идентификатором личности является его внешний вид: фигура, форма головы, черты лица, характер, его привычки, поведение и другие свойственные данному человеку признаки, которые создают образ данного человека и которые соз- нательно или подсознательно мы приобретаем в процессе общения с ним и храним в своей памяти.
В качестве биометрических признаков, которые могут быть использованы при идентификации субъекта доступа, можно выде- лить следующие:
 отпечатки пальцев;
 геометрическая форма рук;
 узор радужной оболочки и сетчатки глаз;
 расположение кровеносных сосудов;
 запах тела;
 термические параметры тела;
 форма и размеры лица;
 особенности голоса;
 биомеханические характеристики почерка;
 биомеханические характеристики «клавиатурного почерка».
Основными параметрами, по которым можно сравнить эф- фективность и надежность реализации того или иного способа идентификации субъекта доступа на основе биометрических харак- теристик личности, являются стандартные статистические показате- ли ошибок первого и второго рода. Ошибка первого рода устанав- ливает вероятность отказа в доступе легальному пользователю авто- матизированной системы, ошибка второго рода – вероятность не- санкционированного предоставления доступа. В современных сис- темах разграничения доступа, основанных на применении биомет- рических параметров, вероятность ошибки первого рода составляет от 10
-6 до 10
-3
, а вероятность ошибки второго рода от 6,6

10
-6
до 10
-2

Основы информационная безопасность
166
Известно, что отпечатки пальцев и очертания ладони руки, тембр голоса, личная подпись и другие элементы личности носят индивидуальный характер и сохраняются на протяжении всей жиз- ни человека. В настоящее время в этом направлении ведутся поиски технических решений и сделаны определенные успехи, но они пока носят рекламный характер и не получили широкого распростране- ния. В разработанных для этой цели системах наблюдаются доста- точно частые случаи отказа в санкционированном доступе и откры- тии доступа случайному пользователю. Не располагая подробными отчетами о проделанной работе, можно все же указать на предпола- гаемые причины этих неудач. Они кроются в недооценке задачи.
Дело в том, что для выполнения процедуры установления подлин- ности необходимо совпадение образа, снимаемого с личности поль- зователя, с образом, хранящимся в памяти вычислительной системы, а для отказа в доступе система должна обладать способностью отли- чать похожие образы. Здесь существуют две задачи, которые необ- ходимо решить одновременно. Для выполнения первой задачи (до- пуска) не требуется большого объема информации об образе (ска- жем даже, что чем меньше, тем лучше), а для выполнения второй
(отказа) – информацию об образе необходимо увеличить на макси- мально возможную величину.
Пока возможности техники ограничены и объемы памяти сис- тем распознавания хранили ограниченный объем информации об образе, преобладали случаи допуска лица, не предусмотренного системой.
С развитием техники и увеличением объема информации об образе с целью наиболее точной проверки личности и наибольшего количества ее параметров увеличивается вероятность их изменений во времени и несовпадения с параметрами образа, хранимого систе- мой проверки, растут объемы памяти, усложняется аппаратура и увеличивается вероятность отказа в доступе лицу, имеющему на это право.
Отправной точкой при разработке систем распознавания об- разов было естественное стремление повысить точность воспроизве- дения образа с целью отобрать автоматически из множества потен- циальных образов единственный, хранящийся в памяти системы. Но при этом, по-видимому, не принималась во внимание величина это- го множества, а она приближается к бесконечности (населению, жившему, живущему и родившемуся в будущем на Земле). Какова должна быть точность воспроизведения образа? Какова должна быть

Методы и средства защиты компьютерной информации
167
разница между образом разрешенной к доступу личности и образом потенциального нарушителя? Какова вероятность появления нару- шителя, образ которого приближается к образу, хранимому в памя- ти вычислительной системы? На эти вопросы ответов нет. Следова- тельно, работы по системам распознавания образов в целях широко- го применения для защиты информации в вычислительных систе- мах нецелесообразны. Не следует также забывать о том, что стрем- ление человека копировать природу не всегда приносило положи- тельный результат.
Кроме того, системы идентификации и установления под- линности личности, основанные на антропометрических и физио- логических данных человека, не отвечают самому важному требова- нию: конфиденциальности, так как записанные на физические но- сители данные хранятся постоянно и фактически являются ключом к информации, подлежащей защите, а постоянный ключ в конце концов становится доступным.
Типичным примером простой и распространенной системы аутентификации является система «ключ-замок», в которой владе- лец ключа является объектом установления подлинности. Но ключ можно потерять, похитить или снять с него копию, так как иденти- фикатор личности физически от нее отделен. Система «ключ-замок» имеет локальное применение. Однако в сочетании с другими систе- мами аутентификации и в условиях пониженных требований она применяется до сих пор. В электромеханическом замке вместо ключа может применяться код.
Одним из распространенных методов аутентификации явля- ются присвоение лицу или другому объекту уникального имени или числа – пароля и хранение его значения в вычислительной сис- теме. При входе в вычислительную систему пользователь вводит че- рез терминал свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей памяти, и при сов- падении кодов открывает доступ к разрешенной функциональной задаче, а при несовпадении – отказывает в нем.
Наиболее высокий уровень безопасности входа в систему дос- тигается разделением кода пароля на две части: одну, запоминае- мую пользователем и вводимую вручную, и вторую, размещаемую на специальном носителе – карточке, устанавливаемой пользовате- лем на специальное считывающее устройство, связанное с термина- лом. В этом случае идентификатор связан с личностью пользователя, размер пароля может быть легко запоминаемым и при хищении

Основы информационная безопасность
168 карточки у пользователя будет время для замены кода пароля и по- лучения новой карточки.
На случай защиты запоминаемой части пароля от получения ее нарушителем путем физического принуждения пользователя, возможно, будет полезно в вычислительной системе предусмотреть механизм тревожной сигнализации, основанный на применении ложного пароля. Ложный пароль запоминается пользователем одно- временно с действительным и сообщается преступнику в вышеупо- мянутой ситуации.
Однако, учитывая опасность, которой подвергается жизнь пользователя, необходимо в вычислительной системе одновременно со скрытой сигнализацией предусмотреть механизм обязательного выполнения требований преступника, воспользовавшегося средст- вами аутентификации законного пользователя.
Кроме указанных методов паролей в вычислительных систе- мах в качестве средств аутентификации применяют методы «За- прос-ответ» и «рукопожатия».
В методе «Запрос-ответ» набор ответов на «т» стандартных и
«n» ориентированных на пользователя вопросов хранится в ЭВМ и управляется операционной системой. Когда пользователь делает попытку включиться в работу, операционная система случайным образом выбирает и задает ему некоторые (или все) из этих вопро- сов. Правильные ответы пользователя на указанные вопросы откры- вают доступ к системе.
Для исключения некоторых недостатков описанных выше ме- тодов операционная система может потребовать, чтобы пользова- тель доказал свою подлинность с помощью корректной обработки алгоритмов. Эту часть называют процедурой в режиме «рукопожа- тия», она может быть выполнена как между двумя ЭВМ, так и между пользователем и ЭВМ.
Методы «Запрос-ответ» и «рукопожатия» в некоторых случаях обеспечивают большую степень безопасности, но вместе с тем явля- ются более сложными и требующими дополнительных затрат вре- мени. Как и обычно, здесь нужно найти компромисс между требуе- мой степенью безопасности и простотой использования. При слож- ном использовании пользователь будет искать пути упрощения процедуры и в итоге найдет их, но за счет снижения эффективности средства защиты.

Методы и средства защиты компьютерной информации
169
Идентификация и установление подлинности технических
средств
Следующей ступенью при организации системы защиты ин- формации в вычислительной системе могут быть идентификация и установление подлинности терминала, с которого входит в систему пользователь. Данная процедура также может осуществляться с по- мощью паролей. Пароль можно использовать не только для аутен- тификации пользователя и терминала по отношению к системе, но и для обратного установления подлинности ЭВМ по отношению к пользователю. Это важно, например, в вычислительных сетях, когда связь осуществляется с территориально удаленными объектами. В этом случае применяются одноразовые пароли или более сложные системы шифрования информации.
Идентификация и установление подлинности документов
В вычислительных системах в качестве документов, являю- щихся продуктом информационной системы и содержащих секрет- ную информацию, могут быть распечатки с различных печатающих устройств.
Здесь необходимо подлинность документа рассматривать с двух позиций:
 получения документа, сформированного непосредственно данной вычислительной системой и на аппаратуре ее документиро- вания;
 получения готового документа с удаленных объектов вычис- лительной сети или АСОИ.
В первом случае подлинность документа гарантируется вычис- лительной системой, имеющей средства защиты информации от НСД, а также физическими характеристиками печатающих устройств, при- сущими только данному устройству. Однако в ответственных случаях этого может оказаться недостаточно. Применение криптографического преобразования информации в этом случае является эффективным средством. Информация, закрытая кодом пароля, известным только передающему ее лицу и получателю, не вызывает сомнения в ее под- линности. Если код пароля, применяемый в данном случае, использу- ется только передающим лицом и вводится им лично.
Криптографическое преобразование информации для иденти- фикации и установления подлинности документа во втором случае, когда документ транспортировался по неохраняемой территории с

Основы информационная безопасность
170 территориально удаленного объекта или продолжительное время на- ходился на хранении, также является наиболее эффективным средст- вом. Однако при отсутствии необходимого для этой цели оборудова- ния невысокие требования к защите информации иногда позволяют использовать более простые средства идентификации и установления подлинности документов: опечатывание и пломбирование носителей документов с обеспечением их охраны. При этом к носителю должны прилагаться сопроводительные документы с подписями ответственных должностных лиц, заверенными соответствующими печатями.
При неавтоматизированном обмене информацией подлин- ность документа удостоверяется личной подписью человека, автора
(авторов) документа. Проверка подлинности документа в этом слу- чае обычно заключается в визуальной проверке совпадения изобра- жения подписи на документе с образцом подлинника. При этом подпись располагается на одном листе вместе с текстом или частью текста документа, подтверждая тем самым подлинность текста. В особых случаях при криминалистической экспертизе проверяются и другие параметры подлинности документа.
При автоматизированной передаче документов по каналам связи, расположенным на неконтролируемой территории, меняются условия передачи документа. В этих условиях даже если сделать ап- паратуру, воспринимающую и передающую изображение подписи автора документа, его получатель получит не подлинник, а всего лишь копию подписи, которая в процессе передачи может быть под- вергнута повторному копированию для использования при переда- че ложного документа. Поэтому при передаче документов по кана- лам связи в вычислительной сети используется криптографическое преобразование информации.
Область использования цифровой подписи чрезвычайно ши- рока: от проведения финансовых и банковских операций до кон- троля за выполнением международных договоров и охраны автор- ских прав. При этом отмечается, что участники обмена документами нуждаются в защите от следующих преднамеренных несанкциони- рованных действий:
 отказа отправителя от переданного сообщения;
 фальсификации (подделки) получателем полученного сооб- щения;
 изменения получателем полученного сообщения;
 маскировки отправителя под другого абонента.

Методы и средства защиты компьютерной информации
171
Обеспечение защиты каждой стороны, участвующей в обмене, осуществляется с помощью введения специальных протоколов. Для верификации сообщения протокол должен содержать следующие обязательные положения:
 отправитель вносит в передаваемое сообщение свою цифро- вую подпись, представляющую собой дополнительную информа- цию, зависящую от передаваемых данных, имени получателя сооб- щения и некоторой закрытой информации, которой обладает толь- ко отправитель;
 получатель сообщения должен иметь возможность удостове- риться, что полученная в составе сообщения подпись есть правиль- ная подпись отправителя;
 получение правильной подписи отправителя возможно толь- ко при использовании закрытой информации, которой обладает только отправитель;
 для исключения возможности повторного использования ус- таревших сообщений верификация должна зависеть от времени.
Подпись сообщения представляет собой способ шифрования сообщения с помощью криптографического преобразования. За- крываемым элементом в преобразовании является код ключа. Если ключ подписи принадлежит конечному множеству ключей, если это множество достаточно велико, а ключ подписи определен методом случайного выбора, то полная проверка ключей подписи для пар сообщение-получатель с вычислительной точки зрения эквивалент- на поиску ключа. Практически подпись является паролем, завися- щим от отправителя, получателя и содержания передаваемого со- общения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению. Получатель сообще- ния, несмотря на неспособность составить правильную подпись от- правителя, тем не менее должен иметь возможность удостоверить для себя ее правильность или неправильность.
Идентификация и установление подлинности информации на
средствах ее отображения и печати
В вычислительных системах с централизованной обработкой информации и относительно невысокими требованиями к защите установление ее подлинности на технических средствах отображе- ния и печати гарантируется наличием системы защиты информа- ции данной вычислительной системы. Однако с усложнением вы-

Основы информационная безопасность
172 числительных систем по причинам, указанным выше, вероятность возникновения несанкционированного доступа к информации и ее модификации существенно увеличивается. Поэтому в более ответст- венных случаях отдельные сообщения или блоки информации под- вергаются специальной защите, которая заключается в создании средств повышения достоверности информации криптографиче- ского преобразования. Установление подлинности полученной ин- формации, включая отображение на табло и терминалах, заключа- ется в контроле положительных результатов обеспечения достовер- ности информации и результатов дешифрования полученной ин- формации до отображения ее на экране. Подлинность информации на средствах ее отображения тесно связана с подлинностью доку- ментов. Поэтому все положения, приведенные в предыдущем под- разделе, справедливы и для обеспечения подлинности ее отображе- ния. Достоверность информации на средствах отображения и печа- ти в случае применения указанных средств защиты зависит от на- дежности функционирования средств, доставляющих информацию на поле отображения после окончания процедур проверки ее досто- верности. Чем ближе к полю отображения (бумажному носителю) эта процедура приближается, тем достовернее отображаемая ин- формация.