- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •Понятие угрозы информационной безопасности иткс
- •Уязвимости иткс
- •Уязвимости иткс в отношении угроз непосредственного доступа
- •Классификация и описание процессов реализации угроз непосредственного доступа к элементам иткс
- •Классификация атак
- •Классификация атак, связанных с непосредственным доступом в операционную среду компьютера
- •Описание атак как процессов реализации угроз
- •Описание процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным доступом к элементам иткс
- •Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •Меры контроля физического доступа к элементам иткс
- •Меры аутентификации
- •Аутентификация с помощью пароля
- •Протокол Kerberos
- •Аутентификация посредством цифровых сертификатов
- •Аутентификация с помощью аппаратных средств
- •Аутентификация на основе биометрических особенностей
- •Применение систем обнаружения вторжений
- •Понятие системы обнаружения вторжений
- •Классификация систем обнаружения вторжений
- •Архитектура систем обнаружения вторжений
- •Уровни применения систем обнаружения вторжений
- •Сетевой уровень
- •Системный уровень
- •Методы обнаружения вторжений
- •Сигнатурный метод
- •Метод обнаружения аномалий
- •Реакция систем обнаружения вторжений на проявления атак исследуемых классов
- •Анализ эффективности систем обнаружения атак
- •Анализ систем, использующих сигнатурные методы
- •Анализ систем, использующих методы поиска аномалий в поведении
- •Глава 3. Определение объектов защиты от угроз непосредственного доступа
- •Определение множества объектов защиты
- •Определение множества типов иткс с учетом их назначения и специфики функционирования
- •Определение функциональных требований к иткс различных типов
- •Определение характеристик атак, реализуемых в отношении иткс различных типов
- •Определение множеств мер защиты, применимых для иткс различных типов
- •Обоснование требований безопасности для иткс различных типов
- •Рекомендации по реализации защиты иткс различных типов
- •Определение комплексов мер защиты иткс различных типов
- •Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз непосредственного доступа к элементам иткс
- •Моделирование процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •Непосредственный доступ в операционную среду компьютера при помощи подбора паролей
- •Непосредственный доступ в операционную среду компьютера при помощи сброса паролей
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз непосредственного доступа к элементам иткс
- •Выбор параметров для осуществления количественного анализа рисков иткс
- •Определение видов ущерба иткс при реализации угроз непосредственного доступа к ее элементам
- •Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •Определение вероятностей реализации атак
- •Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •Расчет интенсивности возникновения атак
- •Расчет вероятности реализации атак
- •Расчет рисков реализации угроз непосредственного доступа к элементам иткс
- •Расчет рисков реализации угроз, наносящих различный ущерб
- •Оценка ущерба от реализации атак
- •Оценка вероятностей реализации атак
- •Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам непосредственного доступа к элементам иткс
- •Понятие эффективности защиты информации
- •Алгоритм оценки эффективности применения комплексов мер
- •Введение функции соответствия исследуемого показателя требованиям
- •Расчет общей эффективности применения комплексов мер защиты иткс
- •Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •Оценка эффективности защиты иткс
- •Оценка вероятностных параметров реализации атак
- •Расчет рисков иткс при использовании мер противодействия угрозам непосредственного доступа
- •Численная оценка эффективности защиты иткс
- •Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •Оценка защищенности иткс как функции от активности злоумышленника
- •Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным доступом к элементам иткс 21
- •Глава 3. Определение объектов защиты от угроз непосредственного доступа 67
- •Глава 4. Аналитическое моделирование процессов реализации угроз непосредственного доступа к элементам иткс 95
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз непосредственного доступа к элементам иткс 111
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам непосредственного доступа к элементам иткс 154
- •394026 Воронеж, Московский просп., 14
Аутентификация с помощью аппаратных средств
Аутентификация пользователей на базе аппаратных средств является надежным, но более дорогим и, как следствие менее распространенным решением. Для удостоверения личности принципала, используются специализированные аппаратные средства хранения (и генерации) идентификационных данных пользователя. Наиболее распространенными устройствами хранения являются пластиковые карты (смарт-карты), токены и устройства генерации одноразовых паролей.
Пластиковые смарт-карты представляют собой интеллектуальные карты, оснащенные микропроцессором и способные хранить данные пользователя.
Во время аутентификации при помощи пластиковых карт, пользователь вставляет карту в специальное устройство — считыватель, с помощью которого происходит считывание данных с карты. Информация на карте может быть защищена паролем, что обеспечивает повышенный уровень безопасности.
Токены — это небольшие устройства, предназначенные для хранения идентификационных данных пользователя, использующие для обмена информации USB-порт компьютера. Во время аутентификации, основанной на использовании токенов, пользователю необходимо подключить токен к USB-порту, своего компьютера и при использовании дополнительной защиты ввести пароль доступа к токену.
Решение о применении в качестве средств хранения идентификационных данных пользователя, основанное на использование токенов является экономически более выгодным за счет отсутствия необходимости в приобретении дополнительного оборудования, для чтения информации с носителя.
Устройства генерации одноразовых паролей — это активные аутентификационные устройства, которым не нужно передавать свой базовый секрет, чтобы аутентифицировать принципала. Вместо этого оно использует секретные данные для генерации одноразового пароля.
Традиционные устройства генерации одноразовых паролей имеет размер карманного калькулятора с клавиатурой. Такие устройства генерируют аутентификационные данные (одноразовый пароль), которые затем набираются с клавиатуры. Они способны взаимодействовать с любой интерактивной компьютерной системой и не требуют специальной аппаратной поддержки. Другие устройства генерации одноразовых паролей могут непосредственно подключаться к компьютеру. Одноразовые пароли обычно генерируются с использованием базового секрета и некоторой синхронизирующей информации — показаний синхронизирующего счетчика или синхронизируемых часов.
По сравнению с парольной, данный вид аутентификации является наиболее защищенным за счет того, что аутентифицироваться может, только тот пользователь, который обладает аппаратным носителем идентификационной информации. Также отпадает необходимость в запоминании (записывании) сложных паролей для пользователей, что является одной из причин несанкционированного доступа.
Аутентификация на основе биометрических особенностей
Методы биометрической идентификации являются наименее распространенными, наиболее сложными и дорогими, но обеспечивающими очень высокую надежность аутентификации. При использовании данных методов аутентификация осуществляется по определенным физическим характеристикам индивидуума, например, по отпечаткам пальцев или сетчатке глаза.
Такие средства аутентификации очень удобны и надежны с точки зрения информационной безопасности и администрирования, так как пароль может быть утерян или стать легко доступным злоумышленникам, а отпечаток пальца — уникальный признак, принадлежащий данному конкретному пользователю.
В подобных системах аутентификации основная опасность заключается в возможности кражи цифрового варианта биометрической информации, что дает возможность обойти систему безопасности.
Непрямая аутентификация
Решения на основе непрямой аутентификации применяются, когда в системе имеется несколько точек обслуживания и когда затруднительно поддерживать совместимость нескольких отдельных баз данных для аутентификации пользователей. Такие схемы предполагают наличие в системе специального сервера аутентификации.
Все другие точки обслуживания аутентифицируют принципалов непрямым образом, связываясь с сервером аутентификации всякий раз, когда кто-то пытается зарегистрироваться в системе.
Открытым стандартом для реализации непрямой аутентификации является протокол RADIUS. Компания Cisco разработала протокол TACACS+ для реализации схем непрямой аутентификации.
Современные корпоративные информационные системы имеют на своих границах соответствующие защитные устройства, которые используют схемы непрямой аутентификации. Например, серверы доступа (NetworkAccessServer — NAS), маршрутизаторы, межсетевые экраны. Когда эти устройства должны устанавливать определенные правила для принципалов (например, разрешить пользователю выход в Internet по протоколам ftp, http и т.д.), необходимо выполнение аутентификации. При этом, обычно, используются серверы аутентификации, работающие по протоколам Radius или TACACS+.