лро. ПЕРЕВОД стр.25-35docx. Перевод стр. 2529
Скачать 32.41 Kb.
|
ПЕРЕВОД стр.25-29 С открытием информационных систем для глобального Интернета и их всесторонним внедрением в деятельность и управление бизнесом и правительством. В организациях и в инфраструктуру повседневной жизни по всему миру вопросы информационной безопасности вышли на первый план в связи с озабоченностью по поводу глобального благополучия. Безопасность информационной системы отвечает за целостность и безопасность системных ресурсов и действий. Большинство организаций в развитых странах зависят от безопасной работы своих информационных систем. Фактически, сама структура общества часто зависит от безопасности. От него зависят многочисленные инфраструктурные сети, включая энергоснабжение, водоснабжение и здравоохранение. Информационные системы лежат в основе отделений интенсивной терапии и систем управления воздушным движением. Финансовые учреждения не могли пережить полный отказ своих информационных систем дольше одного-двух дней. Системы электронных денежных переводов (EFTS) обрабатывают огромные суммы денег, которые существуют только в виде электронных сигналов, передаваемых по сети или в виде точек на дисках хранения. Информационные системы уязвимы для ряда угроз и требуют строгого контроля, такого как постоянные контрмеры и регулярные аудиты, чтобы гарантировать, что система остается защищенной. Хотя случаи компьютерных преступлений и злоупотреблений привлекают широкое внимание средств массовой информации, считается, что человеческий фактор приводит к большим потерям в работе информационных систем. Такие бедствия, как землетрясения, наводнения и пожары, являются предметом особого внимания при планировании аварийного восстановления, которое является частью корпоративного плана обеспечения непрерывности бизнеса. Также необходима схема на случай непредвиденных обстоятельств, чтобы покрыть отказ серверов, телекоммуникационных сетей или программного обеспечения. Компьютерные преступления и злоупотребления. Компьютерные преступления - незаконные действия, в которых компьютеры являются основным инструментом - обходятся мировой экономике во многие миллиарды долларов ежегодно. Злоупотребление компьютером не считается преступлением, но предполагает неэтичное использование компьютера. Цели так называемого взлома информационных систем включают вандализм, кражу информации о потребителях, государственный и коммерческий шпионаж, саботаж и кибервойну. Некоторые из наиболее распространенных средств компьютерных преступлений включают фишинг и установку вредоносных программ, таких как компьютерные вирусы и черви, троянские кони и логические бомбы. Фишинг включает в себя получение логина законного пользователя и другой информации с помощью уловок через сообщения, которые якобы отправлены законным лицом, например банком или государственным учреждением. Успешный фишинговый рейд для получения информации о пользователе может сопровождаться кражей личных данных, выдачей себя за пользователя для получения доступа к ресурсам пользователя. Компьютерные вирусы - особенно распространенная форма атак. Эти инструкции перепрограммирования позволяют не только выполнять злонамеренные действия, но и вставлять свои копии в другие программы и, таким образом, распространяться на другие компьютерные системы. Подобно вирусам, черви представляют собой законченные компьютерные программы, которые размножаются и распространяются через телекоммуникационные сети. Благодаря своей способности быстро и широко распространяться вирусы и черви могут нанести огромный ущерб. Ущерб может быть в форме нарушения работы системы, кражи больших объемов данных (например, номеров кредитных карт), известной как утечка данных, или отказа в обслуживании путем перегрузки систем потоком ложных запросов. При атаке троянского коня злоумышленник скрывает несанкционированные инструкции внутри авторизованной программы. Логическая бомба состоит из скрытых инструкций, часто вводимых с помощью техники троянских коней, которые остаются бездействующими до тех пор, пока не произойдет определенное событие, после чего инструкции активируются. В одном хорошо известном случае в 1985 году программист страховой компании в Форт-Уэрте, штат Техас, поместил логическую бомбу в систему управления персоналом своей компании; когда его уволили и его имя было удалено из базы данных сотрудников компании, вся база данных была стерта. После вторжения в систему, подключенную к Интернету, ее можно использовать для захвата многих других и организации их в так называемые «капоты», которые могут запускать массовые атаки на другие системы с целью кражи информации или саботажа их работы. Растет опасение, что в «Интернете вещей» устройства с компьютерным управлением, такие как холодильники или телевизоры, могут быть размещены в капотах. Разнообразие устройств затрудняет борьбу с вредоносными программами. Информационные системы управления Чтобы обеспечить безопасную и эффективную работу информационных систем, организация вводит набор процедур и технологических мер, называемых средствами контроля. Информационные системы защищены за счет сочетания общих и прикладных средств контроля. Общие меры контроля применяются к деятельности информационной системы во всей организации. Наиболее важные общие меры контроля - это меры, которые контролируют доступ к компьютеру. системы и информация, хранящаяся в них или передаваемая по телекоммуникационным сетям. Общие меры контроля включают административные меры, которые ограничивают доступ сотрудников только к тем процессам, которые имеют прямое отношение к их обязанностям. В результате эти средства контроля ограничивают ущерб, который может нанести отдельный сотрудник или его имитация. Отказоустойчивые компьютерные системы, установленные в критических средах, например, в информационных системах больниц или на рынках ценных бумаг, предназначены для контроля и изоляции проблем, чтобы система могла продолжать работать. Резервные системы, часто расположенные в удаленных местах, могут быть активированы в случае отказа основной информационной системы. Элементы управления приложениями относятся к конкретному приложению и включают такие меры, как проверка входных данных, регистрация доступа к системе, регулярное архивирование копий различных баз данных и обеспечение распространения информации только авторизованным пользователям. Защита информации Управление доступом к информационным системам стало значительно труднее с распространением глобальных вычислительных сетей (WAN) и, в частности, Интернета. Пользователи, а также злоумышленники могут получить доступ к системам с любого необслуживаемого компьютера в организации или практически из любого места через Интернет. В качестве меры безопасности каждый законный пользователь имеет уникальное имя и регулярно меняющийся пароль. Другой мерой безопасности является требование какой-либо формы физической аутентификации, такой как объект (физический токен или смарт-карта) или личная характеристика (отпечаток пальца, узор сетчатки глаза, геометрия руки или подпись). Многие системы сочетают в себе эти типы мер - например, банкоматы, в которых используется комбинация персонального идентификационного номера (ПИН-кода) и идентификационной карты. Меры безопасности, размещенные между внутренними сетями организации и Интернетом, известны как брандмауэры. Эти комбинации аппаратного и программного обеспечения непрерывно фильтруют входящий и часто исходящий трафик данных. Другой способ запретить доступ к информации - это шифрование данных, которое приобрело особое значение в электронной торговле. В такой торговле широко используется шифрование с открытым ключом. Для обеспечения конфиденциальности только предполагаемый адресат имеет закрытый ключ, необходимый для расшифровки сообщений, зашифрованных с помощью открытого ключа адресата. Кроме того, аутентификация обеих сторон в электронной транзакции возможна с помощью цифровых сертификатов, выданных обеим сторонам доверенной третьей стороной, и использования цифровых подписи - дополнительный код, прикрепленный к сообщению для проверки его происхождения. К сообщению также может быть прикреплен тип кода защиты от взлома для обнаружения повреждений. Существуют аналогичные средства, гарантирующие, что стороны электронной транзакции не смогут впоследствии отказаться от своего участия. Некоторые сообщения требуют дополнительных атрибутов. Например, платеж электронными деньгами - это тип сообщения с шифрованием, используемым для обеспечения анонимности покупателя, которое действует как наличные деньги. Для постоянного мониторинга информационных систем используются системы обнаружения вторжений. Они обнаруживают аномальные события и регистрируют информацию, необходимую для составления отчетов и установления источника и характера возможного вторжения. Более активные системы также пытаются предотвратить вторжение при обнаружении в реальном времени. Аудит информационных систем Эффективность средств контроля информационной системы оценивается посредством аудита информационных систем. Аудит направлен на то, чтобы установить, обеспечивают ли информационные системы защиту корпоративных активов, поддерживая целостность хранимых и передаваемых данных, эффективно ли поддерживают корпоративные цели и работают ли они эффективно. Это часть более общего финансового аудита, который проверяет бухгалтерские записи и финансовую отчетность организации. Информационные системы разработаны таким образом, чтобы можно было отследить каждую финансовую операцию. Другими словами, должен существовать контрольный журнал, который может установить, где возникла каждая транзакция и как она была обработана. Помимо финансового аудита, операционный аудит используется для оценки эффективности и результативности работы информационных систем, а технологический аудит проверяет правильность выбора, настройки и внедрения информационных технологий. ПЕРЕВОД стр.30-35 Аутентификация - это процесс, позволяющий пользователям подтвердить свою личность в веб-приложении. Человеческий фактор часто считается самым слабым звеном в системе компьютерной безопасности. Подчеркните, что существует три основных области, в которых важно взаимодействие человека с компьютером: аутентификация, операции по обеспечению безопасности и разработка защищенных систем. Текущие методы аутентификации можно разделить на три основных области: аутентификация на основе токенов; биометрическая аутентификация; аутентификация на основе знаний. Аутентификация на основе токенов, такая как ключевые карты, банковские карты и смарт-карты, широко используются. Многие системы аутентификации на основе токенов также используют методы, основанные на знаниях, для повышения безопасности. Биометрия предлагает автоматизированные методы проверки личности или идентификации по принципу измеримых физиологических или поведенческих характеристик, таких как отпечаток пальца или образец голоса. Характеристики измеримы и уникальны. Эти характеристики не должны дублироваться, но, к сожалению, часто можно создать копию, которая будет принята биометрической системой как истинный образец. Процесс регистрации пользователя в биометрической системе называется регистрацией. Биометрические системы можно использовать в двух разных режимах. Проверка личности происходит, когда пользователь заявляет, что уже зарегистрирован в системе (предъявляет идентификационную карту или имя для входа); в этом случае биометрические данные, полученные от пользователя, сравниваются с данными пользователя, уже сохраненными в базе данных. Идентификация, также называемая поиском, происходит, когда личность пользователя априори неизвестна. В этом случае биометрические данные пользователя сопоставляются со всеми записями в базе данных, или он / она вообще не должен там присутствовать. Очевидно, что идентификация технически сложнее и дороже. В настоящее время доступно множество биометрических методов. некоторые из них находятся только на стадии исследования (например, анализ запаха), но значительное количество технологий уже отработано и коммерчески доступно (например, отпечаток пальца, геометрия пальца, геометрия руки, отпечаток ладони, рисунок радужки, рисунок сетчатки глаза, распознавание лиц, сравнение голоса, динамика подписи и ритм набора текста). Идентификация по отпечатку пальца, пожалуй, самый старый из биометрических методов. Считыватели отпечатков пальцев в реальном времени чаще всего основаны на оптических, тепловых, кремниевых или ультразвуковых принципах. Радужная оболочка - это цветное кольцо из текстурированной ткани, окружающее зрачок глаза. Даже у близнецов разные узоры радужной оболочки, и левая и правая радужная оболочка у всех разные. Исследования показывают, что точность совпадения при идентификации радужки выше, чем при анализе ДНК. Рисунок радужной оболочки снимается специальной серой камерой на расстоянии 10-40 см от камеры. Камера скрыта за зеркалом, пользователь смотрит в зеркало так, чтобы он мог видеть свой глаз, затем камера также может «видеть» глаз. Когда глаз стабилизируется (не движется слишком быстро) и камера правильно сфокусирована, изображение глаза будет снято. Сканирование сетчатки основано на структуре кровеносных сосудов сетчатки глаза. Технология сканирования сетчатки глаза старше технологии сканирования радужной оболочки глаза, которая также использует часть глаза. Главный недостаток сканирования сетчатки глаза - его навязчивость. Метод получения изображения сетчатки глаза лично инвазивный. Луч лазера необходимо направить через роговицу глаза. Также работа сканера сетчатки глаза не проста. Требуется опытный оператор, и сканируемый человек должен следовать его указаниям. Геометрия руки основана на том факте, что рука почти каждого человека имеет разную форму и что форма руки человека не меняется после определенного возраста. Системы геометрии руки производят оценки определенных измерений руки, таких как длина и ширина пальцев. Для измерения руки используются разные методы. Эти методы чаще всего основаны на механическом или оптическом принципе. Некоторые ручные сканеры геометрии выдают только видеосигнал с формой руки. Затем на компьютере выполняется оцифровка и обработка изображений. С другой стороны, существуют очень сложные и автоматизированные сканеры, которые делают все сами, включая регистрацию, хранение данных, проверку и даже простую сеть с главным устройством и несколькими подчиненными сканерами. Распознавание динамики подписи основано на динамике о создании подписи, а не о прямом сравнении самой подписи впоследствии. Динамика измеряется как средство давления, направления, ускорения и длины гребков, количества гребков и их продолжительности. Наиболее очевидным и важным преимуществом этого является то, что мошенник не может собрать какую-либо информацию о том, как написать подпись, просто взглянув на ранее написанную подпись. Распознавание лиц - наиболее естественный способ биометрической идентификации. Способ отличать одного человека от другого - это способность практически каждого человека. Чем лучше источник изображения (например, камера или сканер), тем более точные результаты мы получим. Системы распознавания лиц обычно используют только информацию в градациях серого. Цвета (если они есть) используются только для помощи в поиске лица на изображении. Требуемые условия освещения в основном зависят от качества используемой камеры. Технология распознавания лиц недавно получила развитие в двух областях: метрики лица и собственные лица. Технология лицевых измерителей основана на измерении конкретных черт лица (системы обычно ищут положение глаз, а не рта и расстояния между этими чертами). Этот метод на самом деле похож на полицейский метод создания портрета, но здесь обработка изображения автоматизирована и основана на реальном изображении. Лучших результатов можно достичь, если оператор сможет указать системе, где именно расположены глаза. У систем также есть проблемы с распознаванием очень похожих людей, таких как близнецы, и любое значительное изменение прически или стиля бороды требует повторной регистрации. Очки тоже могут вызвать дополнительные трудности. Система распознавания лиц не требует никакого контакта с человеком, и ее можно обмануть изображением, если не действуют никакие контрмеры. Обнаружение живости чаще всего основывается на мимике лица. Пользователя просят моргнуть или улыбнуться. Если изображение изменится правильно, то человек считается «живым». Несколько систем могут одновременно обрабатывать изображения с двух камер с двух разных точек обзора. Использование двух камер также позволяет избежать обмана системы простым изображением. Принцип проверки говорящего заключается в анализе голоса пользователя с целью сохранения голосового отпечатка, который позже используется для идентификации / проверки. Проверка говорящего и распознавание речи - две разные задачи. Цель распознавания речи - найти то, что было сказано, а цель проверки говорящего - кто это сказал. Проверка говорящего фокусируется на вокальных характеристиках, воспроизводящих речь, а не на звуке. или произношение самой речи. Самым большим преимуществом систем проверки говорящих является то, что они не требуют специального и дорогостоящего оборудования. Микрофон является стандартным аксессуаром любого мультимедийного компьютера, проверку говорящего также можно использовать удаленно по телефонной линии. Высокая частота дискретизации не требуется, но фоновый (или сетевой) шум вызывает значительную проблему, снижающую точность. Проверка динамика не навязчива для пользователей и проста в использовании. Верификация отпечатков пальцев - это немного другая реализация технологии отпечатков пальцев. Для сканирования отпечатков ладони используются оптические считыватели, которые очень похожи на те, что используются для сканирования отпечатков пальцев, однако их размер намного больше, и это является ограничивающим фактором для использования на рабочих станциях или мобильных устройствах. Геометрия вен рук основана на том факте, что рисунок вен у разных людей индивидуален. Вены под кожей поглощают инфракрасный свет и, таким образом, имеют более темный узор на изображении руки, сделанном инфракрасной камерой. Геометрия вен кисти все еще находится в стадии исследований и разработок. В настоящее время отбор образцов ДНК является довольно интрузивным и требует образца ткани, крови или другого тела. Этот метод захвата еще предстоит усовершенствовать. До сих пор анализ ДНК не был достаточно автоматическим, чтобы причислить анализ ДНК к биометрической технологии. Анализ ДНК человека теперь возможен в течение 10 минут. В настоящее время ДНК очень прочно закрепилась в раскрытии преступлений, поэтому пока она останется в сфере правоохранительных органов. Тепловидение похоже на геометрию вен руки. Он также использует инфракрасный источник света и камеру для получения изображения рисунка вен на лице или запястье. Идентификация людей по форме уха используется в правоохранительных органах, где следы от ушей обнаруживаются на местах преступлений. Верификатор формы уха (Оптофон) производит французская компания ART Techniques. Это трубка телефонного типа, внутри которой находится осветительный прибор и камеры, которые фиксируют два изображения уха. Биометрия запаха тела основана на том факте, что практически каждый человеческий запах уникален. Запах улавливается датчиками, которые способны улавливать запах от незаметных частей тела, таких как тыльная сторона руки. Динамика нажатия клавиш - это метод проверки личности человека по его ритму набора текста, с которым могут справиться как обученные машинистки, так и машинистки-любители с двумя пальцами. Системы могут проверять пользователя на этапе входа в систему или могут постоянно контролировать машинистку. Эти системы должны быть дешевыми в установке, поскольку все, что требуется, - это пакет программного обеспечения. Методы, основанные на знаниях, являются наиболее широко используемыми методами аутентификации и включают пароли как на основе текста, так и на основе изображений. Несмотря на то, что существуют различные типы методов аутентификации, широко используются буквенно-цифровые пароли, поскольку они универсальны, их легко реализовать и использовать. Текстовые пароли должны удовлетворять двум противоречивым требованиям. То есть злоумышленнику должно быть сложно угадать. Таким образом, эти текстовые пароли уязвимы для атак по словарю и перебора. Графический пароль - это система аутентификации, которая работает, когда пользователь выбирает изображения в определенном порядке, представленные в графическом интерфейсе пользователя (GUI). Их можно разделить на три категории в зависимости от задачи, связанной с запоминанием и вводом паролей: распознавание, отзыв и отзыв по команде. Схема, основанная на распознавании, требует идентификации среди ложных целей визуальных объектов, принадлежащих портфелю паролей. Типичная схема - это Passfaces, в которой пользователь выбирает набор лиц из базы данных при создании пароля. Во время аутентификации пользователю предоставляется панель лиц-кандидатов, чтобы выбрать лицо из своего портфолио. Этот процесс повторяется несколько раундов, каждый раунд с другой панелью. Успешный вход требует правильного выбора в каждом раунде. Набор изображений на панели остается неизменным между входами в систему, но их расположение меняется. История похожа на Passfaces, но изображения в портфолио упорядочены, и пользователь должен идентифицировать изображения портфолио в правильном порядке. Дежавю тоже похоже, но использует большой набор компьютерных изображений «random-art». Когнитивная аутентификация требует, чтобы пользователь генерировал путь через панель изображений следующим образом: начиная с верхнего левого изображения, двигаясь вниз, если изображение находится в портфолио, или вправо в противном случае. Пользователь определяет среди ловушек метку строки или столбца, которой заканчивается путь. Этот процесс повторяется каждый раз с другой панелью. Для успешного входа в систему требуется, чтобы совокупная вероятность того, что правильные ответы не были введены случайно, превышала пороговое значение в течение заданного количества раундов. Схема на основе отзыва требует, чтобы пользователь воссоздал тот же результат взаимодействия без подсказки. Draw-A-Secret (DAS) была первой предложенной схемой на основе отзыва. Пользователь рисует пароль в 2D-сетке. Система кодирует последовательность ячеек сетки вдоль пути рисования как вводимый пользователем пароль. Pass-Go повышает удобство использования DAS, кодируя точки пересечения сетки, а не ячейки сетки. BDAS добавляет фоновые изображения в DAS, чтобы побудить пользователей создавать более сложные пароли. В схеме вызова-отзыва предоставляется внешний сигнал, помогающий запомнить и ввести пароль. PassPoints - это широко изученная схема вызова-отзыва на основе щелчков мышью, при которой пользователь щелкает последовательность точек в любом месте изображения при создании пароля и повторно щелкает ту же последовательность во время аутентификации. Cued Click Points (CCP) аналогичен PassPoints, но использует одно изображение для каждого щелчка, а следующее изображение выбирается с помощью детерминированной функции. Persuasive Cued Click Points (PCCP) расширяет CCP, требуя от пользователя выбора точки внутри случайно расположенного окна просмотра при создании пароля, что приводит к более случайному распределению точек щелчка в пароле. |