Системи впізнавання за відбитками пальців

В основу ідентифікації лежить порівняння відносного положення закінчень та розгалужень ліній відбитка. Пошукова система шукає на поточному зображенні контрольні елементи, визначені при дослідженні еталонного зразка. Для ідентифікації однієї людини вважається достатнім визначити координати 12 точок. Такі системи достатньо складні. Вони рекомендуються до використання на об'єктах, які потребують надійного захисту.

Системи впізнавання за голосом

Існує декілька способів виділення характерних ознак мови людини: аналіз короткочасних сегментів, контрольний аналіз, виділення статистичних характеристик. Слід відзначити, що теоретичні питання ідентифікації за голосом розроблені достатньо повно, але промислове виробництво таких систем поки відстає.

Системи впізнавання за почерком

Системи впізнавання за почерком вважаються найбільш зручними для користувача. Основним принципом ідентифікації за почерком є постійність підпису кожної особистості, хоча абсолютного збігу не буває.

Системи впізнавання за геометрією рук

Для ідентифікації застосовують аналіз комбінацій ліній згинів пальців та долоні, ліній складок, довжина та товщина пальців. Технічно це реалізується шляхом накладення руки на матрицю фотокомірок. Рука освітлюється потужною лампою, здійснюється реєстрація сигналів з комірок, які несуть інформацію про геометрію.

Усі пристрої ідентифікації людини можуть працювати як окремо, так і в комплексі. Комплекс може бути вузькоспеціальним або багатоцільовим, при якому система виконує функції охорони, контролю, реєстрації та сигналізації. Такі системи є вже комплексними.

Комплексні системи забезпечують:

■ допуск на територію підприємства за карткою (перепусткою), яка містить індивідуальний машинний код;

■ блокування проходу при спробах несанкціонованого проходу (прохід без перепустки, прохід до спеціальних підрозділів співробітників, які не мають перепустки);

■ можливість блокування проходу для порушників графіка роботи (запізнення на роботу, передчасне залишення робочого місця і т. ін.);

■ відкриття зони проходу для вільного виходу за командою вахтера;

■ перевірка кодів перепусток та затримання їх пред'явників на КПП за вказівкою оператора системи;

■ реєстрацію часу перетинання прохідної та збереження його в базі даних ПЕОМ;

■ обробку одержаних даних та формування різноманітних документів (табель робочого часу, рапорт за добу, відомість порушників трудової дисципліни і т. ін.), що дозволяє мати оперативну інформацію про порушників трудової дисципліни, відпрацьований кожним час і т.ін.;

■ оперативне коригування бази даних із доступом за паролем;

■ роздрукування табелів робочого часу за довільною групою співробітників (підприємство в цілому, структурний підрозділ, окремо вибрані співробітники);

■ роздрукування списків порушників графіка робочого часу з конкретними даними про порушення;

■ поточний та ретроспективний аналіз відвідування співробітниками підрозділів, пересування співробітників через КПП, видача списку присутніх або відсутніх у підрозділах або на підприємстві для довільно вибраного моменту часу (при умові збереження баз даних за минулі періоди);

■ одержання оперативної інформації абонентами локальної мережі на випадок мережної реалізації системи.

Фізичні засоби є першою перешкодою (бар'єром) для зловмисника при реалізації ним заходових методів доступу.

 

Апаратні засоби захисту

До апаратних засобів захисту інформації відносяться найрізноманітніші за принципом дії, побудовою та можливостями технічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступові до джерел конфіденційної інформації.

Апаратні засоби захисту інформації застосовуються для виконання наступних завдань:

■ проведення спеціальних досліджень технічних засобів забезпечення виробничої діяльності на наявність можливих каналів витоку інформації;

■ виявлення каналів витоку інформації на різних об'єктах та в приміщеннях;

■ локалізація каналів витоку інформації;

■ пошук та виявлення засобів промислового шпигунства;

■ протидія несанкціонованому доступові до джерел конфіденційної інформації та іншим діям.

За функціональним призначенням апаратні засоби можуть поділятися на засоби виявлення, засоби пошуку та детальних вимірювань, засоби активної та пасивної протидії. При цьому за своїми характеристиками засоби можуть бути загального застосування, розраховані на використання непрофесіоналами з метою одержання попередніх (загальних) оцінок, і професійні комплекси, які дозволяють здійснювати ретельний пошук, виявлення та прецизійне вимірювання всіх характеристик засобів промислового шпигунства.

До першої групи можна віднести індикатори електромагнітних випромінювань, які можуть приймати широкий спектр сигналів із достатньо низькою чутливістю.

До другої групи можна віднести комплекси для виявлення та пеленгування радіозакладок, призначені для автоматичного виявлення та виявлення місцезнаходження радіопередавачів, радіомікрофонів, телефонних закладок та мережних радіопередавачів.

Пошукову апаратуру можна розділити на апаратуру пошуку засобів знімання інформації та дослідження каналів її витоку. Апаратура першого типу спрямована на пошук та локалізацію вже впроваджених зловмисниками засобів несанкціонованого доступу. Апаратура другого типу призначена для виявлення каналів витоку інформації.

Як і в будь-якій галузі техніки, універсальність будь-якої апаратури призводить до зниження її параметрів із кожної окремої характеристики.

З іншої сторони, існує велика кількість різних за природою каналів витоку інформації, а також фізичних принципів, на основі яких працюють системи несанкціонованого доступу. Ці фактори зумовлюють різноманіття пошукової апаратури, а її складність визначає високу вартість кожного приладу. У зв'язку з цим достатній комплекс пошукового обладнання можуть дозволити собі мати структури, які постійно проводять відповідні обстеження. Це або великі служби безпеки, або спеціалізовані фірми, які надають послуги стороннім організаціям.

До особливої групи можна віднести апаратні засоби захисту ЕОМ та комунікаційних систем на їхній основі.

Апаратні засоби захисту застосовуються як в окремих ПЕОМ, так і на різних рівнях та ділянках мережі: в центральних процесорах ЕОМ, в їхніх оперативних запам'ятовуючих пристроях (ОЗП), контролерах вводу/виводу, зовнішніх запам'ятовуючих пристроях, терміналах і т. ін.

Для захисту центральних процесорів (ЦП) застосовується кодове резервування — створення додаткових бітів у форматах машинних команд (розрядів секретності) і резервних регістрів (у пристроях ЦП). Одночасно передбачаються два можливих режими роботи процесора, які відділяють допоміжні операції від операцій безпосереднього вирішення задач користувача. Для цього служить спеціальна програма переривань, яка реалізується апаратними засобами.

Одним із заходів апаратного захисту ЕОМ та інформаційних мереж є обмеження доступу до оперативної пам'яті за допомогою встановлення меж або полів. Для цього створюються регістри контролю та регістри захисту даних. Застосовуються також додаткові біти парності — різновид методів кодового резервування.

Для позначення ступеню конфіденційності програм і даних, категорій користувачів використовуються біти, які називаються бітами конфіденційності (це два-три додаткових розряди, за допомогою яких кодуються категорії секретності користувачів, програм, даних).

Програми та дані, які завантажуються в ОЗП, потребують захисту, який гарантує їх від несанкціонованого доступу. Часто використовуються біти парності, ключі, постійна спеціальна пам'ять. При зчитуванні з ОЗП необхідно, щоб програми не могли бути знищені несанкціонованими діями користувачів або внаслідок виходу з ладу апаратури. Відмови повинні своєчасно виявлятися та усуватися, щоб запобігти виконанню спотвореної команди ЦП та втрати інформації.

Для попередження зчитування даних в ОЗП, які залишилися після обробки, застосовується спеціальна програма стирання. У цьому випадку формується команда на стирання ОЗП та вказується адреса блоку пам'яті, який повинен бути звільнений від інформації. Ця схема записує нулі або будь-яку іншу послідовність символів у всі комірки даного блоку пам'яті, забезпечуючи надійне стирання раніше завантажених даних.

Апаратні засоби захисту застосовуються й у терміналах користувачів. Для попередження витоку інформації при приєднанні незареєстрованого терміналу необхідно перед видачею запитуваних даних здійснити ідентифікацію (автоматичне визначення коду або номера) терміналу, з якого поступив запит. У багатокористувальницькому режимі цього терміналу його ідентифікації недостатньо. Необхідно здійснити автентифікацію користувача, тобто встановити його дійсність та повноваження. Це необхідно і тому, що різні користувачі, зареєстровані в системі, можуть мати доступ тільки до окремих файлів, і суворо обмежені повноваження їхнього використання.

Для ідентифікації терміналу найчастіше застосовується генератор коду, включений до апаратури терміналу, а для автентифікації користувача — такі апаратні засоби як ключі, персональні кодові картки, персональний ідентифікатор, пристрої розпізнавання голосу користувача або форми його пальців. Проте найбільш розповсюдженими засобами автентифікації є паролі, перевірені не апаратними, а програмними засобами впізнавання.

Апаратні засоби захисту інформації— це різноманітні технічні пристрої, системи та споруди, призначені для захисту інформації від розголошення, витоку і несанкціонованого доступу.

 

Програмні засоби захисту

Програмний захист інформації— це система спеціальних програм, які входять до складу програмного забезпечення та реалізують функції захисту інформації.

Виділяють наступні напрями використання програм для забезпечення безпеки конфіденційної інформації:

■ захист інформації від несанкціонованого доступу;

■ захист інформації від копіювання;

■ захист програм від вірусів;

■ захист інформації від вірусів;

■ програмний захист каналів зв'язку.

За кожним із вказаних напрямів існує достатня кількість якісних, розроблених професіональними організаціями програмних продуктів, представлених на інформаційному ринку.

Програмні засоби захисту мають наступні різновиди спеціальних програм:

■ ідентифікації технічних засобів, файлів та автентифікації користувачів;

■ реєстрації та контролю роботи технічних засобів та користувачів;

■ обслуговування режимів обробки інформації з обмеженим доступом;

■ захисту операційних систем ЕОМ та прикладних програм користувачів;

■ знищення інформації у запам'ятовуючих пристроях після використання;

■ сигналізації порушень використання ресурсів;

■ допоміжні програми захисту різноманітного призначення.

Ідентифікація технічних засобів і файлів, яка здійснюється програмно, реалізується на основі аналізу реєстраційних номерів різних компонентів та об'єктів інформаційної системи та співставлення їх із значеннями адрес та паролів, що зберігаються в запам'ятовуючому пристрої системи управління.

Для забезпечення надійності захисту за допомогою паролів робота системи захисту організується таким чином, щоб імовірність розкриття секретного пароля та встановлення відповідності тому чи іншому ідентифікатору файлу або термінала була як можна меншою. Для цього потрібно періодично змінювати пароль, а число символів у ньому встановлювати достатньо великим.

Ефективним способом ідентифікації елементів з адресами та автентифікації користувачів є алгоритм "запит-відповідь", відповідно до якого система захисту видає користувачеві запит на пароль, після чого він повинен дати на нього певну відповідь. Оскільки моменти введення запиту та відповіді на нього непередбачені, це ускладнює процес відгадування пароля, що забезпечує більш високу надійність захисту.

Одержання дозволу на доступ до тих чи інших ресурсів можна здійснити не тільки на основі використання секретного пароля та наступних процедур автентифікації та ідентифікації. Це можна зробити більш детальним способом, який враховує різні особливості режимів роботи користувачів, їхні повноваження, категорії даних і ресурсів, що запитуються. Цей спосіб реалізується спеціальними програмами, які аналізують відповідні характеристики користувачів, зміст завдань, параметри технічних і програмних засобів, пристроїв пам'яті і т. ін.

Конкретні дані запиту, які поступають у систему, порівнюються в процесі роботи програми захисту з даними, які занесені в реєстраційні секретні таблиці (матриці). Ці таблиці, а також програми для їхнього формування та обробки зберігаються в зашифрованому вигляді та знаходяться під особливим контролем адміністратора безпеки інформаційної мережі.

Для розмежування доступу окремих користувачів до певної інформації застосовуються індивідуальні заходи секретності цих файлів та особливий контроль доступу до них користувачів. Гриф секретності може формуватися у вигляді трирозрядних кодових слів, які зберігаються у файлі або в спеціальній таблиці. У цій же таблиці записується ідентифікатор користувача, який створив цей файл, ідентифікатори терміналів, з яких може здійснюватися доступ до даного файлу, а також їхні права на користування файлом (зчитування, редагування, стирання, оновлення, виконання і т. ін.). Важливо не допустити взаємовплив користувачів у процесі звернення до файлів. Якщо, наприклад, один запис має право редагувати декілька користувачів, то кожному з них необхідно зберегти саме його варіант редакції (робиться декілька копій запису з метою можливого аналізу та встановлення повноважень).