Парольные системы для защиты от несанкционированного доступа к информации

Под несанкционированным доступом к информации (НСД) согласно руководящим документам Гостехкомиссии будем понимать доступ к ин­формации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств, предоставляемых СВТ или АС). НСД может носить случайный или пред­намеренный характер.

Можно выделить несколько обобщенных категорий методов защиты от НСД, в частности:

• организационные;

• технологические;

• правовые.

К первой категории относятся меры и мероприятия, регламентируемые внутренними инструкциями организации, эксплуатирующей инфор­мационную систему. Пример такой защиты - присвоение грифов секрет­ности документам и материалам, хранящимся в отдельном помещении, и контроль доступа к ним сотрудников. Вторую категорию составляют меха­низмы защиты, реализуемые на базе программно-аппаратных средств, например систем идентификации и аутентификации или охранной сигна­лизации. Последняя категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования нормативной базы, регулирующей вопросы защиты информации. Реализуемые на практике методы, как правило, сочетают в себе элементы нескольких из перечисленных категорий. Так управление доступом в помещения может представлять собой взаимосвязь организационных (выдача допусков и ключей) и технологическим (установку замков и систем сигнализации) способов защиты.

Рассмотрим подробнее такие взаимосвязанные методы защиты от НСД, как идентификация, аутентификация и используемое при их реализации криптографическое преобразование информации.

Идентификация - это присвоение пользователям идентификатором (понятие идентификатора будет определено ниже) и проверка предъяви лаемых идентификаторов по списку присвоенных.

Аутентификация - это проверка принадлежности пользователя предъявленного им идентификатора. Часто аутентификацию также назьи вают подтверждением или проверкой подлинности.

Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. В этом смысле, чем выше стойкость системы аутентификации, тем сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы.

Различают три группы методов аутентификации, основанных на на­личии у каждого пользователя:

• индивидуального объекта заданного типа;

• знаний некоторой известной только ему и проверяющей стороне ин­формациии, индивидуальных биометрических характеристик.

К первой группе относятся методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

Во вторую группу входят методы аутентификации, использующие па­роли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие прило­жения имеют встроенные механизмы парольной защиты.

Последнюю группу составляют методы аутентификации, основанные на применении оборудования для измерения и сравнения с эталоном за­данных индивидуальных характеристик пользователя: тембра голоса, от­печатков пальцев, структуры радужной оболочки глаза и др. Такие сред­ства позволяют с высокой точностью аутентифицировать обладателя кон­кретного биометрического признака, причем "подделать" биометрические параметры практически невозможно. Однако широкое распространение подобных технологий сдерживается высокой стоимостью необходимого оборудования.

Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, такая процедура называется непосредственной аутентификацией (direct password authentication). Если же в процессе аутентификации участвуют не только эти стороны, но и дру­гие, вспомогательные, говорят об аутентификации с участием доверен­ной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбит­ром (arbitrator).