Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
5. Пароли должны храниться в КС таким образом, чтобы они были недоступны посторонним лицам. Этого можно достичь двумя способами:
• использовать для хранения паролей специальное запоминающее устройство, считанная информация из которого не попадает за пределы блока ЗУ (схема сравнения паролей находится в самом блоке). Запись в такое ЗУ осуществляется в специальном режиме;
• применить криптографическое преобразование пароля.
6. Пароль не выдается при вводе на экран монитора. Чтобы субъект доступа мог определить число введенных символов пароля на экран, вместо них выдается специальный символ (обычно звездочка).
7. Пароль должен легко запоминаться и в то же время быть сложным для отгадывания. Не рекомендуется использовать в качестве пароля имена, фамилии, даты рождения и т.д. Желательно при наборе пароля использовать символы различных регистров, чередование букв, цифр, специальных символов. Очень эффективным является способ использования парадоксального сочетания слов («книга висит», «плот летит» и т.д.) и набора русских
205
букв пароля на латинском регистре. В результате получается бессмысленный набор букв латинского алфавита.
В качестве идентификатора во многих КС используется съемный носитель информации, на котором записан идентификационный код субъекта доступа. В ПЭВМ для этой цели используется гибкий магнитный диск. Такой идентификатор обладает рядом достоинств:
• не требуется использовать дополнительные аппаратные средства;
• кроме идентификационного кода на носителе может храниться другая информация, используемая для аутентификации, контроля целостности информации, атрибуты шифрования и т.д.
Для идентификации пользователей широко используются электронные жетоны — генераторы случайных идентификационных кодов. Жетон — это прибор, вырабатывающий псевдослучайную буквенно-цифровую последовательность (слово). Это слово меняется примерно один раз в минуту синхронно со сменой такого же слова в КС. В результате вырабатывается одноразовый пароль, который годится для использования только в определенный промежуток времени и только для однократного входа в систему. Первый такой жетон Security Dynamics появился в 1987 г.
Жетон другого типа внешне напоминает калькулятор. В процессе аутентификации КС выдает на монитор пользователя цифровую последовательность запроса, пользователь набирает ее на клавиатуре жетона. Жетон формирует ответную последовательность, которую пользователь считывает с индикатора жетона и вводит в КС. В результате опять получается одноразовый неповторяющийся пароль. Без жетона войти в систему оказывается невозможным. Вдобавок ко всему, прежде чем воспользоваться жетоном, нужно ввести в него свой личный пароль.
Атрибутивные идентификаторы (кроме паролей) могут использоваться только на момент доступа и регистрации или постоянно должны быть подключены к устройству считывания до окончания работы. На время даже кратковременного отсутствия идентификатор изымается, а доступ к устройству блокируется. Такие аппаратно-программные устройства способны решать задачи не только разграничения доступа к устройствам, но и обеспечения защиты от несанкционированного доступа к информации (НСДИ). Принцип действия таких устройств основан на расширении функций ОС на аппаратном уровне.
Процесс аутентификации может включать в себя также диалог субъекта доступа с КС. Субъекту доступа задаются вопросы, ответы на которые анализируются, и делается окончательное заключение о подлинности субъекта доступа.
В качестве простого идентификатора часто используют механические ключи. Механический замок может быть совмещен с блоком
206
подачи питания на устройство. Крышка, под которой находятся основные органы управления устройством, может закрываться на замок. Без вскрытия крышки невозможна работа с устройством. Наличие такого замка является дополнительным препятствием на пути злоумышленника при его попытке осуществить НСД к устройству.
Доступ к устройствам КС объекта может блокироваться дистанционно. Так, в ЛВС подключение к сети рабочей станции может блокироваться с рабочего места администратора. Управлять доступом к устройствам можно и с помощью такого простого, но эффективного способа, как отключение питания. В нерабочее время питание может отключаться с помощью коммутационных устройств, контролируемых охраной.
Организация доступа обслуживающего персонала к устройствам отличается от организации доступа пользователей. Прежде всего устройство, по возможности, освобождается от конфиденциальной информации и осуществляется отключение информационных связей. Техническое обслуживание и восстановление работоспособности устройств выполняются под контролем должностных лиц. Особое внимание обращается на работы, связанные с доступом к внутреннему монтажу и заменой блоков.
Обычно для осуществления НСДИ пользователь применяет:
• знания о КС и умения работать с ней;
• сведения о системе защиты информации;
• сбои, отказы технических и программных средств;
• ошибки, небрежность обслуживающего персонала и пользователей.
Для защиты информации от НСД создается система разграничения доступа к информации. Получить несанкционированный доступ к информации при наличии системы разграничения доступа можно только при сбоях и отказах КС, а также при использовании слабых мест в комплексной системе защиты информации, о которых злоумышленник должен знать.
