АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Защита ПЭВМ от несанкционированного доступа

Читайте также:
  1. III. Защита святых икон
  2. Автоматическая защита
  3. Альтернативные интерфейсы доступа к многомерным данным
  4. Аналитическая техника и защита от инстинктов и аффектов
  5. Аудит доступа к объектам
  6. Божественная защита для каждого
  7. Вопрос 33 Как фильтрации портов и списки доступа помочь обеспечить безопасность сети?
  8. Вопрос 46. Защита нематериальных прав.
  9. Вопрос 70. Защита права собственности.
  10. Восьмой вид: защита Аллахом Своего посланника от врагов
  11. Выбор оперативного доступа
  12. Глава 3. Защита и нарушение авторских и патентных прав

Как показывает практика, несанкционированный доступ (НСД) представляет одну из наиболее серьезных угроз для злоумышленного за­владения защищаемой информацией в современных АСОД. Как ни по­кажется странным, но для ПЭВМ опасность данной угрозы по сравнению с большими ЭВМ повышается, чему способствуют следующие объектив­но существующие обстоятельства:

1) подавляющая часть ПЭВМ располагается непосредственно в ра­
бочих комнатах специалистов, что создает благоприятные условия для
доступа к ним посторонних лиц;

2) многие ПЭВМ служат коллективным средством обработки ин­
формации, что обезличивает ответственность, в том числе и за защиту
информации;

3) современные ПЭВМ оснащены несъемными накопителями на
ЖМД очень большой емкости, причем информация на них сохраняется
даже в обесточенном состоянии;

4) накопители на ГМД производятся в таком массовом количестве,
что уже используются для распространения информации так же, как и
бумажные носители;

5) первоначально ПЭВМ создавались именно как персональное
средство автоматизации обработки информации, а потому и не оснаща­
лись специально средствами защиты от НСД.

В силу сказанного те пользователи, которые желают сохранить конфиденциальность своей информации, должны особенно позаботиться об оснащении используемой ПЭВМ высокоэффективными средствами защиты от НСД.

На основе анализа, изложенного в гл. 6 и гл. 7, основные механиз­мы защиты ПЭВМ от НСД могут быть представлены следующим переч­нем:

1) физическая защита ПЭВМ и носителей информации;

2) опознавание (аутентификация) пользователей и используемых
компонентов обработки информации;

3) разграничение доступа к элементам защищаемой информации;

4) криптографическое закрытие защищаемой информации, храни­
мой на носителях (архивация данных);

5) криптографическое закрытие защищаемой информации в процес­
се непосредственной ее обработки;

6) регистрация всех обращений к защищаемой информации.

Ниже излагаются общее содержание и способы использования пе­речисленных механизмов.

1. Физическая защипа ПЭВМ и носителей информации. Содержание
физической защиты общеизвестно, поэтому детально обсуждать ее здесь
нет необходимости. Заметим только, что ПЭВМ лучше размещать в на­
дежно запираемом помещении, причем в рабочее время помещение долж­
но быть закрыто или ПЭВМ должна быть под наблюдением законного
пользователя. При обработке же закрытой информации в помещении мо­
гут находиться только лица, допущенные к обрабатываемой информа­
ции. В целях повышения надежности физической защиты в нерабочее
время ПЭВМ следует хранить в опечатанном сейфе.

2. Опознавание (аутентификация) пользователей и используемых
компонентов обработки информации.
В концептуальном плане решение
данной задачи принципиально не отличается от аналогичной задачи, ре­
шаемой в любой АСОД: система защиты должна надежно определять за­
конность каждого обращения к ресурсам, а законный пользователь дол­
жен иметь возможность убедиться, что ему предоставляются именно те
компоненты (аппаратура, программы, массивы данных), которые ему не­
обходимы.

Для опознавания пользователей к настоящему времени разработа­ны и нашли практическое применение следующие способы:

1) с использованием простого пароля;

2) в диалоговом режиме с использованием нескольких паролей
и/или персональной информации пользователей;

3)по индивидуальным особенностям и физиологическим характе­ристикам человека (отпечатки пальцев, геометрия руки, голос, персо­нальная роспись, структура сетчатки глаза, фотография и некоторые дру­гие);

4) с использованием радиокодовых устройств;

5) с использованием электронных карточек.

 

Рассмотрим коротко перечисленные способы.

 

Распознавание по простому паролю заключается в том, что каждому зарегистрированному пользователю выдается персональный пароль, ко­торый он должен держать в тайне и вводить в ЗУ ЭВМ при каждом об­ращении к ней. Специальная программа сравнивает введенный пароль с эталоном, хранящимся в ЗУ ЭВМ, и при совпадении паролей запрос пользователя принимается к исполнению. Простота способа очевидна, но очевидны и явные недостатки: пароль может быть утерян или подобран перебором возможных комбинаций, а искусный злоумышленник может проникнуть в ту область ЗУ, в которой хранятся эталонные пароли. По­пытки преодолеть указанные недостатки, естественно, ведут к усложне­нию способа.

Опознавание в диалоговом режиме может быть осуществлено по сле­дующей схеме. В файлах механизмов защиты заблаговременно создаются записи, содержащие персонифицирующие пользователя данные (дата рождения, рост, вес, имена и даты рождения родных и близких и т.п.) или достаточно большой и упорядоченный набор паролей. При обращении пользователя программа механизма защиты предлагает пользователю назвать некоторые данные из имеющейся записи, которые сравниваются с хранящимися в файле. По результатам сравнения принимается решение о допуске. Для повышения надежности опознавания запрашиваемые у пользователя данные могут выбираться каждый раз разные. Достоинства и недостатки данного способа очевидны.

Опознавание по индивидуальным, особенностям и физиологическим ха­рактеристикам может быть весьма надежным, но для его реализации не­обходима специальная аппаратура для съема и ввода соответствующих параметров и достаточно сложные программы их обработки и сравнения с эталоном. Все это в настоящее время вполне разрешимо, однако сопря­жено с удорожанием и усложнением аппаратуры и программ ПЭВМ. В силу сказанного данный способ применительно к ПЭВМ пока не получил сколько-нибудь значительного распространения. Заманчивым по срав­нительной простоте и доступности может оказаться опознавание пользо­вателя по параметрам его работы с клавиатурой ПЭВМ (скорость набора текста, интервалы между нажатием клавиш и др.), которые тоже носят сугубо индивидуальный характер.

Опознавание по радиокодовым устройствам, как это следует из са­мого названия, заключается в том, что изготавливаются специальные устройства, каждое из которых может генерировать радиосигналы, имеющие индивидуальные характеристики. ПЭВМ оснащается про­граммно-аппаратными средствами приема (например, при приближении устройства к экрану дисплея), регистрации и обработки генерируемых сигналов. Каждому зарегистрированному пользователю выдается такое устройство, а его параметры заносятся в ЗУ механизмов защиты. Надеж­ность опознавания по данному способу может быть высокой, однако та­кие устройства персонифицируют владельца, а не персону, поэтому по­хищение устройства дает злоумышленнику реальные шансы несанкцио­нированного доступа.

Опознавание по специальным идентификационным карточкам заклю­чается в том, что изготавливаются специальные карточки, на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти дан­ные на карточку заносятся в зашифрованном виде, причем ключ шифро­вания может быть дополнительным идентифицирующим параметром, поскольку он может быть известен только пользователю, вводится им каждый раз при обращении к системе и уничтожается сразу же после ис­пользования. Опознавание по карточкам может быть очень надежным, однако для его реализации необходимы предприятия - изготовители кар­точек, а ПЭВМ должна быть оснащена устройством считывания данных с карточки. Поскольку все это сопряжено со значительными дополнитель­ными расходами, то данный способ опознавания оказывается эффек­тивным при его использовании в больших территориально распределен­ных сетях, где он в последнее время находит все большее применение, причем особенно в автоматизированных банковских системах. Более де­тально он будет рассмотрен в § 8.7.

Для опознавания компонентов обработки данных, т.е. ЭВМ, ОС, программ функциональной обработки, массивов данных (такое опозна­вание особенно актуально при работе в сети ЭВМ) используются сле­дующие средства:

1) специальные аппаратные блоки-приставки (для опознавания
ЭВМ, терминалов, внешних устройств);

2) специальные программы, реализующие процедуру "запрос-ответ";

3) контрольные суммы (для опознавания программ и массивов дан­
ных).

Опознавание 'с помощью блоков-приставок заключается в том, что технические средства оснащаются специальными устройствами, генери­рующими индивидуальные сигналы. В целях предупреждения перехвата этих сигналов и последующего их злоумышленного использования они могут передаваться в зашифрованном виде, причем периодически может меняться не только ключ шифрования, но и используемый способ (алгоритм) криптографического преобразования.

Программное опознавание по процедуре "запрос-ответ " заключается в том, что в ЗУ опознающего и опознаваемого объектов заблаговременно вносятся достаточно развитые массивы идентифицируемых данных. Тог­да опознающий объект в диалоговом режиме запрашивает те или иные данные из массива опознаваемого объекта и сравнивает их с соответ­ствующими данными своего массива. Опять-таки в целях предупреждения перехвата и злоумышленного использования передаваемых идентифици­рующих данных может осуществляться их криптографическое закрытие.

Опознавание по контрольной сумме заключается в том, что для про­грамм и массивов данных заблаговременно вычисляются их контрольные суммы (или другие величины, зависящие от содержания опознаваемых объектов). Дальнейшая процедура опознавания очевидна.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.)