Лекція 15 на тему Механізми захисту інформації від НСД, Керування доступом з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція №15. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД. Керування доступом

План

1.  Доступ до інформації.

2.  Способи керування доступом.

3.  Розмежування доступу.

4.  Обмеження доступу.

5.  Ідентифікація.

6.  Автентифікація. Методи автентифікації.

7.  Облікова інформація користувача.

8.  Що таке парольна система?

9.  Найбільш розповсюджені загрози парольної системи.

10.  Основні складові парольної системи.

11.  Недоліки всіх парольних систем.

5. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД

В розділі розглянуті лише питання керування доступом до інформації, поняття ідентифікації/автентифікації та вступ до криптографії. Звичайно, тут подані лише деякі відомості про означені питання, оскільки це невичерпні проблеми ЗІ.

5.1. Керування доступом

Доступ до інформації (access to information ) – вид взаємодії двох об'єктів КС, унаслідок якого створюється потік інформації від одного об'єкта до іншого і/або відбувається зміна стану системи. Доступ характеризується типом та атрибутами.

Тип доступу (access type) – суттєвість доступу до об'єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видаляння, дозапис).

Атрибут доступу (tag, access mediation information) – будь-яка зв'язана з об'єктом КС інформація, яка використовується для керування доступом.

Кожному доступу передує запит на доступ. Запит на доступ (access request) – звернення одного об'єкта КС до іншого з метою отримання певного типу доступу.

Керування доступом (access control) – це сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням ПРД. Воно включає питання обмеження доступу, розмежування доступу, розподіл доступу (привілеїв), контроль та облік доступу.

Існує чотири основних способи керування доступом:

• фізичний, коли суб’єкти звертаються до фізично різних об’єктів;

• часовий, коли суб’єкти з різними правами доступу звертаються до одного об’єкта в різні проміжки часу;

• логічний, коли суб’єкти отримують доступ до сумісного об’єкта в рамках одної ОС;

• криптографічний, коли права доступу визначаються наявністю ключа розшифрування.

Обмеження доступу полягає в створенні фізичної замкнутої перешкоди навколо об’єкта захисту з організацією контрольованого доступу осіб, які мають відношення до об’єкту захисту за своїми функціональними обов’язками. Основні цілі, задачі та методи обмеження доступу розглянуті в попередньому розділі.

Розмежування доступу в АС полягає в розподілі інформації, яка в ній оброблюється, на частини та організації доступу до них відповідно до функціональних обов’язків та повноважень.

Задача розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації, при виконанні своїх функціональних обов’язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнями важливості, секретності, функціональному призначенню, по документах і т.д.

Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу до них починається саме з них шляхом розміщення їх в різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т.д. повинні бути технічно і організаційно відокремлені від основних задач АС. АС і організацію її обслуговування слід будувати наступним чином:

• технічне обслуговування АС в процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, що підлягає захисту;

• перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеним для цієї мети перевіреним фахівцем;

• функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т.д.) – службою безпеки;

• організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що оброблюється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів;

• реєстрація і документування технологічної та оперативної інформації повинні бути розділені.

Розмежування доступу користувачів повинно відбуватися за наступними параметрами:

• за видом, характером, призначенню, ступеню важливості та секретності інформації;

• за способами її обробки: зчитувати, записувати, модифікувати, виконати команду;

• за ідентифікатором терміналу;

• за часом обробки тощо.

Принципова можливість розмежування за вказаними параметрами має бути забезпечена проектом АС. Конкретне розмежування при експлуатації АС встановлюється споживачем і вводиться до дії його підрозділом, що відповідає за безпеку інформації.

Розподіл доступу (привілеїв) до інформації полягає в тому, що з числа допущених до неї посадових осіб виділяється група, яка може отримати доступ тільки при одночасовому пред’явленні повноважень всіх членів групи. Задача такого методу – суттєво утруднити навмисне перехоплення інформації порушником. Прикладом такого доступу є сейф з декількома ключами, замок якого можна відчинити тільки за наявністю всіх ключів. Аналогічно в АС може бути застосований такий механізм при доступі до особливо важливих даних. Хоча даний метод ускладнює процедуру доступу, проте має високу ефективність.

Контроль та облік доступу реалізується за допомогою такої послуги, як реєстрація. Реєстрація (audit, auditing) – це процес розпізнавання, фіксування й аналізу дій і подій, що зв'язані з дотриманням політики безпеки інформації. Використання засобів перегляду й аналізу журналів, а особливо засобів настроювання механізмів фіксування подій, повинно бути прерогативою спеціально авторизованих користувачів. Часто [5] сам процес реєстрації підрозділяється на протоколювання та аудит. Під протоколюванням розуміється збір і нагромадження інформації про події, що відбуваються в інформаційній системі. Аудит – це аналіз накопиченої інформації. Оскільки в нормативних документах України [1-4] визначене тільки поняття реєстрації, далі буде використовуватися саме воно. Опис усього, що пов'язано з реєстрацією, який наводиться нижче, цілком відповідає [1-4].

Вибір фізичного носія для збереження даних реєстрації повинен відповідати способу їхнього використання й обсягу, а будь-яке переміщення таких даних – повинно гарантувати їхню безпеку. У будь-якому випадку ступінь захищеності даних реєстрації повинна бути не нижче, ніж ступінь захищеності даних користувачів, що забезпечують реалізовані послуги конфіденційності і цілісності. Повинні бути розроблені також угоди по плануванню і веденню архівів даних реєстрації.

Для жодного з рівнів послуги не встановлюється ніякого фіксованого набору контрольованих подій [3], оскільки для кожної КС їхній перелік може бути специфічним. Критична для безпеки подія визначається як така, що пов'язана зі звертанням до якої-небудь послуги безпеки чи відбулася в результаті виконання якої-небудь функції СЗІ, чи що-небудь інше, що хоча прямо і не обумовлено функціонуванням механізмів, які реалізують послуги безпеки, але може призвести до порушення політики безпеки. Остання група подій визначається як така, що має непряме відношення до безпеки. Для з'ясування ступеня небезпеки таких подій часто необхідно їх аналіз у контексті інших подій, що відбулися.

Для реалізації найбільш високих рівнів даної послуги необхідна наявність засобів аналізу журналу реєстрації (audit trail), що виконують більш складну, чим перегляд, оцінку журналу з метою виявлення можливих порушень політики безпеки, що дозволяє адміністратору здійснювати сортування, фільтрацію за визначеними критеріями й інші подібні операції. СЗІ повинна надавати адміністратору можливість вибирати події, що реєструються. Це може бути досягнуто шляхом передвибірки або поствибірки. Передвибірка подій дозволяє виділити при ініціалізації системи з усієї множини доступних для реєстрації подій підмножину тих, котрі необхідно реєструвати в журналі. Використовуючи передвибірку, адміністратор може зменшити кількість подій, що реально реєструється і, отже, розмір остаточного журнального файлу. Недоліком є те, що обрані події не можуть уже пізніше бути проаналізовані, навіть якщо виникне така необхідність. Перевага ж поствибірки полягає в гнучкості можливості аналізу постфактум, однак така організація ведення журнального файлу вимагає виділення значного обсягу пам'яті під дані реєстрації.

5.2. Ідентифікація та автентифікація

Одним з найважливіших механізмів ЗІ є ідентифікація та автентифікація (ІА).

Відповідно до [6] термін ідентифікація використовується в двох значеннях: по-перше, це процедура присвоєння ідентифікатора об'єкту КС, а по-друге, це процедура встановлення відповідності між об'єктом і його ідентифікатором, тобто процедура упізнання. Ідентифікатор – це деякий унікальний образ, ім'я чи число.

Автентифікація – це процедура перевірки відповідності пред'явленого ідентифікатора об'єкту КС на предмет приналежності його цьому об'єкту, тобто встановлення чи підтвердження дійсності, ще – перевірка, є об'єкт, що перевіряється, чи суб'єкт справді тим, за кого він себе видає.

Під безпекою (стійкістю) системи ідентифікації та автентифікації розуміється ступінь забезпечуваних нею гарантій того, що ЗЛ не здатний пройти автентифікацію від імені іншого користувача, тобто, чим вище стійкість системи автентифікації, тим складніше ЗЛ вирішити зазначену задачу. Система ІА є одним із ключових елементів інфраструктури захисту від НСД будь-якої інформаційної системи.

Розрізняють три групи методів автентифікації, заснованих на наявності в кожного користувача:

* індивідуального об'єкта заданого типу;

* знань деякої відомої тільки йому і стороні, що перевіряє, інформації;

* індивідуальних біометричних характеристик.

До першої групи відносяться методи автентифікації, що використовують посвідчення, перепустки, магнітні карти й інші пристрої, що носяться, які широко застосовуються для контролю доступу в приміщення, а також входять до складу програмно-апаратних комплексів захисту від НСД до засобів обчислювальної техніки.

В другу групу входять методи автентифікації, що використовують паролі. З економічних причин вони включаються як базові засоби захисту в багатьох програмно-апаратних комплексах захисту інформації. Усі сучасні ОС і багато додатків мають убудовані механізми парольного захисту.

Останню групу складають методи автентифікації, засновані на застосуванні устаткування для виміру і порівняння з еталоном заданих індивідуальних характеристик користувача: тембру голосу, відбитків пальців, структури райдужної оболонки ока та ін. Такі засоби дозволяють з високою точністю автентифікувати власника конкретної біометричної ознаки, причому “підробити” біометричні параметри практично неможливо. Однак широке поширення подібних технологій стримується високою вартістю необхідного устаткування.

Якщо в процедурі автентифікації беруть участь тільки дві сторони, що встановлюють дійсність один одного, така процедура називається безпосередньої автентифікацією (direct password authentication). Якщо ж у процесі автентифікації беруть участь не тільки ці сторони, але й інші, допоміжні, говорять про автентифікації за участю довіреної сторони (trusted third party authentication). При цьому третю сторону називають сервером автентифікації (authentication server) чи арбітром (arbitrator).

Отже, кінцева мета ІА – допуск об'єкта до інформації обмеженого користування у випадку позитивного результату перевірки чи відмовлення в допуску у випадку негативного результату. Об'єктами ІА можуть бути:

* особистість (оператор, користувач, посадова особа);

* технічний засіб (термінал, ЕОМ і т.д.);

* документи;

* носії інформації;

* інформація на терміналі, табло і т.д.

ІА може здійснюватися людиною, апаратним пристроєм, програмою КС і ін. У захищених КС передбачається конфіденційність образів і імен об'єктів.

Загальна схема ІА представлена на рис. 5.1.

Ясно, що в цій схемі основною ланкою є реалізація процедури встановлення дійсності особистості. Ця процедура може реалізуватися всілякими способами. Розглянемо деякі з них.

Найбільш розповсюдженою, історично сформованою і простою є система “ключ-замок”, у якій власник ключа є об'єктом встановлення особистості. Але ключ можна втратити, украсти, зняти копію і т.д. Інакше кажучи, ідентифікатор особистості є відділеним від ключа фізично.

Іншим розповсюдженим методом ІА є парольна схема. Для більш детального розгляду принципів побудови парольних систем сформулюємо кілька основних визначень.

Ідентифікатор користувача – деяка унікальна кількість інформації, що дозволяє розрізняти індивідуальних користувачів парольної системи (проводити їхню ідентифікацію). Часто ідентифікатор також називають ім'ям користувача чи ім'ям облікового запису користувача.

Пароль користувача – деяка секретна кількість інформації, відома тільки користувачу і парольній системі, яку може запам'ятати користувач і пред'явити для проходження процедури автентифікації. Одноразовий пароль дає можливість користувачу однократно пройти автентифікацію. Багаторазовий пароль може бути використаний для перевірки дійсності повторно.

Обліковий запис користувача – сукупність його ідентифікатора та його пароля.

База даних користувачів парольної системи містить облікові записи всіх користувачів даної парольної системи.

Під парольною системою будемо розуміти програмно-апаратний комплекс, що реалізує системи ІА користувачів АС на основі одноразових чи багаторазових паролів. Як правило, такий комплекс функціонує разом з підсистемами розмежування доступу і реєстрації подій. В окремих випадках парольна система може виконувати ряд додаткових функцій, зокрема генерацію і розподіл короткочасних (сеансових) криптографічних ключів.

Основними компонентами парольної системи є:

* інтерфейс користувача;

* інтерфейс адміністратора;

* модуль сполучення з іншими підсистемами безпеки;

* база даних облікових записів.

Парольна система являє собою «передній край оборони» усієї СЗІ. Деякі її елементи (зокрема, що реалізують інтерфейс користувача) можуть бути розташовані в місцях, відкритих для доступу потенційному ЗЛ. Тому парольна система стає одним з перших об'єктів атаки при вторгненні ЗЛ в захищену систему.

Серед найбільш розповсюджених загроз безпеки парольних систем зазначимо розголошення параметрів облікового запису через:

* підбір в інтерактивному режимі;

* підглядання;

* навмисну передачу пароля його власником іншій особі;

* захоплення бази даних парольної системи (якщо паролі не зберігаються в базі у відкритому виді, для їхнього відновлення може знадобитися підбір чи дешифрування);

* перехоплення переданої по мережі інформації про пароль;

* збереження пароля в доступному місці.

Більш активною загрозою є втручання у функціонування компонентів парольної системи через:

* упровадження програмних закладок;

* виявлення і використання помилок, допущених на стадії розробки;

* виведення з ладу парольної системи.

Деякі з перерахованих типів загроз пов'язані з наявністю так званого людського фактора, що виявляється в тому, що користувач може:

* вибрати пароль, що легко запам'ятати і також легко підібрати;

* записати пароль, що складно запам'ятати, і покласти запис у доступному місці;

* увести пароль так, що його зможуть побачити сторонні;

* передати пароль іншій особі навмисно чи під впливом омани.

На додаток до вище сказаного необхідно відзначити існування «парадокса людського фактора». Полягає він у тому, що користувач нерідко прагне виступати скоріше супротивником парольної системи, як і будь-якої системи безпеки, функціонування якої впливає на його робочі умови чи він відчуває себе некомфортно, ніж союзником системи захисту, тим самим послабляючи її. Захист від зазначених загроз ґрунтується на ряді організаційно-технічних засобів і заходів.

У більшості систем користувачі мають можливість самостійно вибирати паролі чи одержують їх від системних адміністраторів. При цьому для зменшення деструктивного впливу описаного вище людського фактора необхідно реалізувати ряд вимог до вибору і звання паролів (табл. 5.1).

Таблиця 5.1.

Існує можливість приблизно оцінювати стійкість парольної системи. Для цього вводяться деякі її параметри. Параметри для кількісної оцінки стійкості парольних систем приведені в табл. 5.2.

Таблиця 5.2.

За допомогою введених параметрів можна сформулювати та розв’язати деякі задачі з оцінок надійності парольної системи.

Як ілюстрацію розглянемо задачу визначення мінімальної потужності простору паролів (що залежить від параметрів А и L) відповідно до заданої імовірності підбору пароля протягом терміну його дії.

Отже, нехай задана імовірність . Необхідно знайти мінімальну довжину пароля, що забезпечить його стійкість протягом одного тижня безупинних спроб підібрати пароль. Нехай швидкість інтерактивного підбору паролів V=10 паролів/хв. Тоді протягом тижня можна перебрати =100800 паролів (60 хвилин, 24 години, 7 днів).

Далі, з огляду на те, що параметри S, V, Т и Р зв'язані співвідношенням P=VT/S (тобто імовірність дорівнює відношенню кількості набраних паролів VT до можливої кількості паролів – парольного простору S), одержуємо

S=100800/10^-9=1,008•10¹⁶. Отриманому значенню S відповідають пари: А=26, L=8 і А=36, L=6, оскільки S=А^L.

Існує очікуваний безпечний час (час відгадування пароля) пароля,

де  – число можливих паролів,  – час для того, щоб увести кожен пароль з послідовності запитів. Помітимо, що з цієї формули видно, що очікуваний безпечний час можна істотно збільшити, якщо до часу введення пароля додавати час затримки (тобто кожен наступний пароль дозволяється ввести не відразу, а через деякий час – час затримки). Саме така процедура завжди реалізується в КС з підвищеним рівнем захищеності. Крім того, в таких КС обов’язково обмежується кількість спроб введення пароля (наприклад, до трьох разів), тобто після останньої невдалої спроби доступ і введення паролів забороняється. В такому випадку навіть законний користувач, якщо він трійчи помилився, об’являється зловмисником, який хоче отримати НСД до КС.

Існують різні модифікації парольних схем для підвищення їхньої ефективності. Так істотно ускладнюється процес відгадування пароля, якщо в паролі на початку і наприкінці використовувати звичайні пробіли. В такому разі навіть записаний пароль набуває певного захисту – про пробіли знає тільки сам користувач. Можна фіксувати номер входу в систему або продовження сеансу роботи. Тоді під час відсутності законного користувача можна знайти розбіжність. Існує схема паролів однократного використання: є множина паролів, при вході у КС використовується один пароль і при виході він викреслюється. При наступному вході використовується наступний пароль з заданої множини. Надійність підвищується, але виникає проблема запам'ятовування паролів, збереження всього списку паролів, а також виявлення закону генерування паролів. Крім того, при виникненні помилки користувач виявляється в скрутному становищі.

Інша модифікація: пароль складається з на двох частин. Одна запам'ятовується користувачем і вводиться вручну, інша зберігається на спеціальному носії (наприклад, на електронній картці), що далі вводиться у КС за допомогою, наприклад, PIN-коду. Тут перевага полягає в тому, що у випадку втрати картки нею не можна скористатися.

Відомі ще модифікації парольної схеми: «запит-відповідь» і «рукостискання». У схемі «запит-відповідь» є набір питань, що зберігаються у КС, причому всі користувачі знають відповіді на всі питання. Коли користувач робить спробу входу у КС, ОС випадковим чином вибирає і задає йому деякі (чи усі) питання. Правильні відповіді на питання дають доступ у КС. “Рукостискання” відрізняється тим, що від користувача потрібно виконання якої-небудь дії (наприклад, запуску деякої програми), відомого тільки користувачу і КС. Хоча всі ці модифікації забезпечують великий ступінь безпеки, вони все-таки складні і створюють певні незручності. Тому проблема зводиться до компромісу між ступенем безпеки і простотою використання.

Усі парольні системи мають наступні недоліки:

• пароль необхідно періодично змінювати;

• він не повинен легко асоціюватися з користувачем;

• пароль необхідно запам'ятовувати (але тоді його можна забути) чи записувати (але тоді запис може потрапити до ЗЛ);

• якщо пароль розкритий, то не існує ефективного способу виявлення, ким він далі використовувався – користувачем чи ЗЛ;

• парольний файл повинен ретельно захищатися.

Парольні системи можуть також використовуватися для ІА інших об'єктів (технічних засобів, документів тощо).

Контрольні запитання

1. Що таке доступ до інформації?

2. Які є способи керування доступом?

3. Що таке розмежування доступу?

4. Що таке обмеження доступу?

5. Що таке ідентифікація?

6. Що таке автентифікація?

7. Які існують методи автентифікації?

8. До яких об’єктів можливе застосування процедури автентифікації?

9. Що таке облікова інформація користувача?

10. Що таке парольна система?

11. Наведіть найбільш розповсюджені загрози парольної системи.

12. Назвіть основні складові парольної системи.

13. Які недоліки мають всі парольні системи?

14. Що таке очікуваний безпечний час?

15. Як оцінити довжину необхідного паролю на певному алфавіті, знаючи ймовірність його злому протягом певного часу?

З повагою ІЦ “KURSOVIKS”!