49655 (Захист данних), страница 2

Інформацію можна одержувати не тільки шляхом перехоплення побічних інформативних сигналів, але й за результатами прямої реєстрації сигналів, що циркулюють в інформаційних ланцюгах технічних систем (насамперед, у лініях зв'язку). Реалізувати засоби перехоплення тут, як правило, легше, ніж у випадку побічних випромінювань і наведень.

При роботі деяких технічних засобів поряд з електромагнітними полями розсіювання можуть виникати інформативні акустичні і вібраційні поля, що, поширюючись у навколишньому просторі чи по твердих конструкціях, можуть впливати на елементи і вузли інших технічних пристроїв. Під впливом таких полів у цих елементах створюється інформативний сигнал, що забезпечує умови витоку інформації. Розглянемо деякі приклади.

Телефонний апарат, навіть у випадку, якщо розмова не здійснюється, може служити причиною виникнення каналу проникнення інформації, тому що в його складі є викличний дзвоник і телефон. В останніх пристроях під впливом акустичного поля індукується електромагнітне поле інформативного сигналу. Аналогічні властивості можуть мати також елементи інших технічних засобів (елементи електричних годинників, електродинамічні гучномовці, деякі датчики пожежної та охоронної сигналізації).

Таким чином, перехоплення конфіденційних розмов може здійснюватися за допомогою подібних технічних пристроїв. У найпростішому варіанті створюється прихована провідна лінія (чи використовується вже існуюча лінія), до якої підключається мікрофон, часто постачений підсилювачем і фільтром.

В даний час існують дуже ефективні оптичні системи, що дозволяють з космосу (з відстані біля сотні кілометрів) розрізняти навіть номерні знаки автомобіля, тому сфотографувати документ із відстані декількох сотень метрів не є великою проблемою.

Найбільш дорогими засобами перехоплення мови є лазерні системи, що забезпечують посилку зондувального сигналу на скло вікон. Скло під дією коливань повітря, викликаного розмовою, вібрує, що легко уловлюється на відстані декількох сотень метрів лазерним променем і розшифровується.

Класифікація каналів проникнення в систему:

1. За способом: прямі та непрямі (не вимагають безпосереднього проникнення в приміщення АС).

2. За типом основного засобу для реалізації загрози: людина, програма, апаратура.

3. За способом отримання інформації: фізичний, електромагнітний, інформаційний.

Заходи протидії загрозам:

1. Правові або законодавчі - закони, укази, нормативні акти, що регламентують правила поводження з інформацією і визначають відповідальність за порушення цих правил.

2. Морально-етичні - норми поведінки, які традиційно склалися або складаються в суспільстві у міру розповсюдження обчислювальної техніки. Невиконання цих норм веде до падіння авторитету, престижу організацій, країни, людей.

3. Адміністративні (організаційні) - заходи організаційного характеру, регламентуючі процеси функціонування АС, діяльність персоналу з метою максимального утруднення або виключення реалізації погроз безпеки. До них відносяться:

• організація явного або прихованого контролю над роботою користувачів;

• організація обліку зберігання, використання, знищення документів і носіїв інформації;

• організація охорони і надійного пропускного режиму;

• заходи, здійснювані при підборі і підготовці персоналу;

• заходи щодо розробки правил доступу до інформації;

• заходи при проектуванні, розробці, модифікації технічних засобів і ПЗ.

1. Фізичні - застосування різного роду технічних засобів охорони (ТЗО) і споруд, призначених для створення фізичних перешкод на шляхах проникнення в систему.

2. Технічні - засновані на використанні технічних пристроїв і програм, що входять в склад АС і виконують функції захисту: засоби аутентифікації, апарати шифрування та ін.

Принципи побудови систем захисту:

1 Принцип системності. Системний підхід припускає необхідність обліку всіх взаємозв'язаних взаємодій і елементів, що змінюються в часі, умов і чинників, істотно значущих для розуміння і рішення проблеми забезпечення безпеки.

1. Принцип комплексності. Припускає будувати систему з різнорідних засобів, що перекривають всі існуючі канали реалізації загрози безпеки і що не містять слабких місць на стику окремих компонентів. Принцип комплектності полягає у використанні всіх видів і форм захисту в повному об'ємі: жодна частина СЗ не може бути вилучена без збитку для всієї системи.

2. Принцип безперервного захисту. Захист повинен існувати без розривів у просторі та часі. Це безперервний цілеспрямований процес, що припускає не тільки захист в експлуатації, але і проектування захисту на стадії планування системи. Захист повинен бути без розривів у просторі та часі. Це безперервний, цілеспрямований процес. Під час нештатних ситуацій захист повинен бути посилений.

1. Принцип розумної достатності. Вкладення засобів в системи захисту повинно бути побудовано так, щоб одержати максимальну віддачу. Витрачати на СЗ треба від 10 до 35 відсотків суми можливого збитку. Вкладення засобів в СЗ повинно бути таким, щоб одержати максимальну віддачу.

2. Принцип гнучкості управління і застосування. Припускає, що не міняючи функціональної бази можна змінити СЗ.

3. Принцип відвертості алгоритмів і механізмів захисту. Захист не повинен забезпечуватися тільки за рахунок секретності структур і алгоритмів функціонування. Знання алгоритмів і механізму захисту не дає можливості навіть автору проникнути в систему.

4. Принцип простоти застосування захисних заходів і засобів. Механізми захисту повинні бути інтуїтивно зрозумілими і простими в застосуванні. Використання СЗ не повинно бути пов'язане із знанням спеціальних мов і виконанням робіт, що вимагають значних трудовитрат. АС повинна функціонувати так, щоб вихідна інформація могла бути надана в потрібний час в потрібне місце, в потрібному вигляді і лише певній людині, а також забезпечувати захист самої себе.

II. Основи фізичного захисту об'єктів

Фізичні заходи захисту інформації базуються на застосуванні всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи і інформації, а також технічних засобів візуального нагляду, зв'язку та охоронної сигналізації.

Основні канали фізичного витоку інформації:

1. Електромагнітний канал. Причиною його виникнення є електромагнітне поле, пов'язане з протіканням електричного струму в технічних засобах АС. Електромагнітне поле може індукувати струми в близько розміщених провідних лініях.

Електромагнітний канал, в свою чергу, ділиться на наступні канали:

• радіоканал (високочастотне випромінювання);

• низькочастотний канал;

• мережевий канал (наводки на мережу електроживлення);

• канал заземлення (наводки на проводи заземлення);

• лінійний канал (наводки на лінії зв'язку між ПЕОМ).

2. Акустичний (віброакустичний) канал. Він пов'язаний з розповсюдженням звукових хвиль в повітрі або пружних коливань в інших середовищах, які виникають при роботі засобів відображення інформації АС.

3. Оптичний канал. Він пов'язаний з можливістю отримання інформації за допомогою оптичних засобів.

Система охорони - сукупність технічних систем охорони (ТСО) і систем охорони, призначених для виконання завдань по охороні об'єкту.

ТСО - вид техніки, призначеної для використання силами охорони з метою підвищення надійності виявлення порушника і забезпечення санкціонованого доступу до об'єкта.

Порушник - особа або група осіб, що не санкціоновано проникаючих або проникли на об'єкт охорони.

Об'єкт охорони - ділянка місцевості з розташованими на ній будівлями, спорудами, приміщеннями в будівлях, окремими предметами, доступ до яких стороннім особам заборонений.

Технічні системи охорони: /. Периметричні засоби виявлення:

• стаціонарні;

• мобільні.

1. Об 'єктні засоби виявлення.

2. Засоби збору і відображення інформації:

• виявлення факту проникнення;

• певний контроль за системою охорони;

• реєстрація фактів спрацювання пристрою виявлення.

4. Засоби управління доступом:

• кодоблокувальні пристрої;

• домофони;

• магнітні карти;

• механічні пристрої («вертушки» на КПП, ворота, шлагбауми тощо).

1. Технічні засоби спостереження: телесистеми спостереження, оптичні пристрої (перископи), прилади нічного бачення.

2. Технічні засоби попередження:

• на паперовому носії;

• мультимедійні (звукові сигнали, відеозображення).

7. Технічні засоби дії:

• електроогорожі;

• сигнальні й індикаторні речовини (системи).

8. Інженерні споруди.

ЛЕКЦІЯ З

Тема: Ідентифікація і аутентифікація користувачів

План

1. Поняття про ідентифікацію користувача та її особливості.

2. Основні принципи та методи аутентифікації.

І. Поняття про ідентифікацію користувача та її особливості

Ідентифікація - привласнення суб'єктам або об'єктам доступу ідентифікатора або порівняння пред'явленого ідентифікатора з переліком привласнених ідентифікаторів.

Ідентифікація об'єкта - це його впізнання, ототожнення із чим-небудь. Якщо ж говорити про області інформаційних технологій, то даний термін звичайно означає встановлення особистості користувача. Цей процес необхідний для того, щоб система надалі змогла ухвалити рішення щодо видачі людині дозволу для роботи на комп'ютері, доступу до закритої інформації тощо. Таким чином, ідентифікація є одним з основних понять в інформаційній безпеці.

Сьогодні існує декілька способів ідентифікації користувачів. У кожного з них є свої переваги і недоліки, завдяки чому деякі технології підходять для використання в одних системах, інші - в інших. Однак у багатьох випадках немає строго певного рішення. А тому як розроблювачам програмного забезпечення, так і користувачам приходиться самостійно думати, який спосіб ідентифікації реалізовувати в продуктах.

Існує три найпоширеніших види ідентифікації:

1. Парольна ідентифікація

Ще не дуже давно парольна ідентифікація була чи ледве не єдиним способом визначення особистості користувача. Справа в тому, що парольна ідентифікація найбільш проста як у реалізації, так й у використанні. Суть її зводиться до наступного. Кожен зареєстрований користувач системи одержує набір персональних реквізитів (звичайно використаються пари: логін-пароль). Далі при кожній спробі входу людина повинна вказати свою інформацію. Оскільки вона унікальна для кожного користувача, то на підставі її система й робить висновок про особистість та ідентифікує.

Недоліком парольної ідентифікації є значна залежність надійності ідентифікації від користувачів, точніше від обраних ними паролів. Справа в тому, що більшість людей використовують ненадійні ключові слова, які легко підбираються. Фахівці в області інформаційної безпеки радять використати довгі паролі, що складаються з безладного сполучення букв, цифр і різних символів.

2. Апаратна ідентифікація

Цей принцип ідентифікації ґрунтується на визначенні особистості користувача за певним предметом, ключем, що перебуває в його ексклюзивному користуванні. Мова йде про спеціальні електронні ключі. На даний момент найбільше поширення одержали два типи пристроїв. До першого ставляться всілякі карти. їх досить багато, і працюють вони за різними принципами. Так, наприклад, досить зручні у використанні безконтактні карти (їх ще називають проксіміті-карти), які дозволяють користувачам проходити ідентифікацію як у комп'ютерних системах, так й у системах доступу в приміщення. Найбільш надійними вважаються смарт-карти - аналоги звичних багатьом людям банківських карт. Крім того, є й більш дешеві, але менш стійкі до злому карти: магнітні, зі штрих-кодом і т.д.( рис. 3.1).

Рис. 3.1. Картки ідентифікації користувача

Іншим типом ключів, які можуть використатися для апаратної ідентифікації, є так звані токени (рис. 3.2). Ці пристрої мають власну захищену пам'ять і підключаються безпосередньо до одного з портів комп'ютера (USB, LPT).