Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
К основным программным средствам защиты информации относятся:
• программы идентификации и аутентификации пользователей КС;
• программы разграничения доступа пользователей к ресурсам КС;
• программы шифрования информации;
• программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Примеры вспомогательных программных средств защиты информации:
Аутентификация и авторизация в веб-приложениях
• программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т.п.);
• программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
• программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
• программы тестового контроля защищенности КС и др.
К преимуществам программных средств защиты информации относятся:
• гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
• простота применения — одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя никаких новых (по сравнению с другими программами) навыков;
• практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.
Рис. 1.1 Пример пристыкованного программного средства защиты
Рис. 1.2. Пример встроенного программного средства защиты информации
К недостаткам программных средств защиты информации относятся:
• снижение эффективности КС за счет Потребления ее ресурсов, требуемых для функционирование программ защиты;
• более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
• пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС, рис. 1.1 и 1.2), что создает для нарушителя принципиальную возможность их обхода;
• возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.
Идентификация, аутентификация и авторизация простыми словами
2.2.4 «Аутентификация пользователей»
Аутентификация пользователей на основе паролей и модели «рукопожатия»
При выборе паролей пользователи КС должны руководствоваться двумя, по сути взаимоисключающими, правилами — пароли должны трудно подбираться и легко запоминаться (поскольку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).
Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе пароля (N), и минимально возможной длиной пароля (к). В этом случае число различных паролей может быть оценено снизу как Ср = N k . Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то Ср= 26 3 = 17576 (что совсем немного для программного подбора). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также из цифр и минимальная длина пароля равна 6, то Ср = 62 6 = 56800235584.
Сложность выбираемых пользователями КС паролей должна устанавливаться администратором при реализации установленной для данной системы политики безопасности. Другими параметрами политики учетных записей при использовании парольной аутентификации должны быть:
• максимальный срок действия пароля (любой секрет не может сохраняться в тайне вечно);
• несовпадение пароля с логическим именем пользователя, под которым он зарегистрирован в КС;
• неповторяемость паролей одного пользователя.
Требование неповторяемости паролей может быть реализовано двумя способами. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужденный после истечения срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вести список уже использовавшихся данным пользователем паролей (максимальная длина списка при этом может устанавливаться администратором) .
К сожалению, обеспечить реальную уникальность каждого вновь выбираемого пользователем пароля с помощью приведенных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли «Al», «A2», . где А1 — первый пароль пользователя, удовлетворяющий требованиям сложности.
Обеспечить приемлемую степень сложности паролей и их реальную уникальность можно путем назначения паролей всем пользователям администратором КС с одновременным запретом на изменение пароля самим пользователем. Для генерации паролей администратор при этом может использовать программный генератор, позволяющий создавать пароли различной сложности.
Однако при таком способе назначения паролей возникают проблемы, связанные с необходимостью создания защищенного канала для передачи пароля от администратора к пользователю, трудностью проверки сохранения пользователем не им выбранного пароля только в своей памяти и потенциальной возможностью администратора, знающего пароли всех пользователей, злоупотребления своими полномочиями. Поэтому наиболее целесообразным является выбор пароля пользователем на основе установленных администратором правил с возможностью задания администратором нового пароля пользователю в случае, если тот забыл свой пароль.
Еще одним аспектом политики учетных записей пользователей КС должно стать определение противодействия системы попыткам подбора паролей.
Могут применяться следующие правила:
• ограничение числа попыток входа в систему;
• скрытие логического имени последнего работавшего пользователя (знание логического имени может помочь нарушителю подобрать или угадать его пароль);
• учет всех попыток (успешных и неудачных) входа в систему в журнале аудита.
Реакцией системы на неудачную попытку входа пользователя могут быть:
• блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного числа попыток (на заданное время или до ручного снятия блокировки администратором);
• нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа.
При первоначальном вводе или смене пароля пользователя обычно применяются два классических правила:
• символы вводимого пароля не отображаются на экране (это же правило, применяется и для ввода пользователем пароля при его входе в систему);
• для подтверждения правильности ввода пароля (с учетом первого правила) этот ввод повторяется дважды.
Для хранения паролей возможно их предварительное шифрование или хеширование.
Шифрование паролей имеет два недостатка:
• поскольку при шифровании необходимо использовать ключ, требуется обеспечить его защищенное хранение в КС (знание ключа шифрования пароля позволит выполнить его расшифрование и осуществить несанкционированный доступ к информации);
• существует опасность расшифрования любого пароля и получения его в открытом виде.
Хеширование является необратимым преобразованием и знание хеш-значения пароля не даст нарушителю возможности его получения в открытом виде (он сможет только пытаться подобрать пароль при известной функции хеширования). Поэтому гораздо более безопасным является хранение паролей в хешированном виде. Недостатком является то, что не существует даже теоретической возможности восстановить забытый пользователем пароль.
Второй пример — аутентификация на основе модели «рукопожатия». При регистрации в КС пользователю предлагается набор небольших изображений (например, пиктограмм), среди которых он должен выбрать заданное число картинок. При последующем входе в систему ему выводится другой набор изображений, часть из которых он видел при регистрации. Для правильной аутентификации пользователь должен отметить те картинки, которые он выбрал при регистрации.
Преимущества аутентификации на основе модели «рукопожатия» перед парольной аутентификацией:
• между пользователем и системой не передается никакой конфиденциальной информации, которую нужно сохранять в тайне, I
• каждый следующий сеанс входа пользователя в систему отличен от предыдущего, поэтому даже длительное наблюдение за этими сеансами ничего не даст нарушителю.
К недостаткам аутентификации на основе модели «рукопожатия» относится большая длительность этой процедуры по сравнению с парольной аутентификацией.
Аутентификация пользователей по их биометрическим характеристикам
К основным биометрическим характеристикам пользователей КС, которые могут применяться при их аутентификации, относятся:
• геометрическая форма руки;
• узор радужной оболочки глаза;
• рисунок сетчатки глаза;
• геометрическая форма и размеры лица;
• геометрическая форма и размеры уха и др.
Наиболее распространенными являются программно-аппаратные средства аутентификации пользователей по их отпечаткам пальцев. Для считывания этих отпечатков обычно применяются оснащенные специальными сканерами клавиатуры и мыши. Наличие достаточно больших банков данных с отпечатками пальцев) граждан является основной причиной достаточно широкого применения подобных средств аутентификации в государственный структурах, а также в крупных коммерческих организациях. Недостатком таких средств является потенциальная возможность применения отпечатков пальцев пользователей для контроля над их частной жизнью.
Если по объективным причинам (например, из-за загрязненности помещений, в которых проводится аутентификация) получение четкого отпечатка пальца невозможно, то может применяться аутентификация по геометрической форме руки пользователя. В этом случае сканеры могут быть установлены на стене помещения.
Наиболее достоверными (но и наиболее дорогостоящими) являются средства аутентификации пользователей, основанные на характеристиках глаза (узоре радужной оболочки или рисунке сетчатки). Вероятность повторения этих признаков оценивается в 10 -78 .
Наиболее дешевыми (но и наименее достоверными) являются средства аутентификации, основанные на геометрической форме и размере лица пользователя или на тембре его голоса. Это позволяет использовать эти средства и для аутентификации при удаленном доступе пользователей к КС.
Основные достоинства аутентификации пользователей по их биометрическим характеристикам;
• трудность фальсификации этих признаков;
• высокая достоверность аутентификации из-за уникальности таких признаков;
• неотделимость биометрических признаков от личности пользователя.
Для сравнения аутентификации пользователей на основе тех или иных биометрических характеристик применяются оценки вероятностей ошибок первого и второго рода. Вероятность ошибки первого рода (отказа в доступе к КС легальному пользователю) составляет 10 -6 . 10 -3 . Вероятность ошибки второго рода (допуска к работе в КС незарегистрированного пользователя) в современных системах биометрической аутентификации составляет 10 -5 . 10 -2 .
Общим недостатком средств аутентификации пользователей КС по их биометрическим характеристикам является их более высокая стоимость по сравнению с другими средствами аутентификации, что обусловлено, в первую очередь, необходимостью приобретения дополнительных аппаратных средств. Способы аутентификации, основанные на особенностях клавиатурного почерка и росписи мышью пользователей, не требуют применения специальной аппаратуры.
Аутентификация пользователей по их клавиатурному почерку и росписи мышью
Одним из первых идею аутентификации пользователей по особенностям их работы с клавиатурой и мышью предложил С.П.Расторгуев. При разработке математической модели аутентификации на основе клавиатурного почерка пользователей было сделано предположение, что временные интервалы между нажатиями соседних символов ключевой фразы и между нажатиями конкретных сочетаний клавиш в ней подчиняются нормальному закону распределения. Сутью данного способа аутентификации является проверка гипотезы о равенстве центров распределения двух нормальных генеральных совокупностей (полученных при настройке системы на характеристики пользователя и при его аутентификации).
Рассмотрим вариант аутентификации пользователя по набору ключевой фразы (одной и той же в режимах настройки и подтверждения подлинности).
Процедура настройки на характеристики регистрируемого в КС пользователя:
1) выбор пользователем ключевой фразы (ее символы должны быть равномерно разнесены по клавиатуре);
2) набор ключевой фразы несколько раз;
3) исключение грубых ошибок (по специальному алгоритму);
4) расчет и сохранение оценок математических ожиданий, дисперсий и числа, наблюдений для временных интервалов между наборами каждой пары соседних символов ключевой фразы.
Достоверность аутентификации на основе клавиатурного почерка пользователя ниже, чем при использовании его биометрических характеристик.
Однако этот способ аутентификации имеет и свои преимущества:
• возможность скрытия факта применения дополнительной аутентификации пользователя, если в качестве ключевой фразы используется вводимая пользователем парольная фраза;
• возможность реализации данного способа только с помощью программных средств (снижение стоимости средств аутентификации).
Теперь рассмотрим способ аутентификации, основанный на росписи мышью (с помощью этого манипулятора, естественно, нельзя выполнить реальную роспись пользователя, поэтому данная роспись будет достаточно простым росчерком). Назовем линией росписи ломаную линию, полученную соединением точек от начала росписи до ее завершения (соседние точки при этом не должны иметь одинаковых координат). Длину линии росписи рассчитаем как сумму длин отрезков, соединяющих точки росписи.
Подобно аутентификации на основе клавиатурного почерка подлинность пользователя по его росписи мышью подтверждается прежде всего темпом его работы с этим устройством ввода.
К достоинствам аутентификации пользователей по их росписи мышью, подобно использованию клавиатурного почерка, относится возможность реализации этого способа только с помощью программных средств; к недостаткам — меньшая достоверность аутентификации по сравнению с применением биометрических характеристик пользователя, а также необходимость достаточно уверенного владения пользователем навыками работы с мышью.
Общей особенностью способов аутентификации, основанных на клавиатурном почерке и росписи мышью является нестабильность их характеристик у одного и того же пользователя, которая может быть вызвана:
1) естественными изменениями, связанными с улучшением навыков пользователя по работе с клавиатурой и мышью или, наоборот, с их ухудшением из-за старения организма;
2) изменениями, связанными с ненормальным физическим или эмоциональным состоянием пользователя.
Изменения характеристик пользователя, вызванные причинами первого рода, не являются скачкообразными, поэтому могут быть нейтрализованы изменением эталонных характеристик после каждой успешной аутентификацией пользователя.
Изменения характеристик пользователя, вызванные причинами второго рода, могут быть скачкообразными и привести к отклонению его попытки входа в КС. Однако эта особенность аутентификации на основе клавиатурного почерка и росписи мышью может стать и достоинством, если речь идет о пользователях КС поенного, энергетического и финансового назначения.
Перспективным направлением развития способов аутентификации пользователей КС, основанных на их личных особенностях, может стать подтверждение подлинности пользователя на основе его знаний и навыков, характеризующих уровень образования и культуры.
Источник: studfile.net
Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.
К основным аппаратным средствам защиты информации относятся:
• устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);
• устройства для шифрования информации;
• устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Примеры вспомогательных аппаратных средств защиты информации:
• устройства уничтожения информации на магнитных носите лях;
• устройства сигнализации о попытках несанкционированных действий пользователей КС и др.
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
К основным программным средствам защиты информации относятся:
• программы идентификации и аутентификации пользователей КС;
• программы разграничения доступа пользователей к ресурсам КС;
• программы шифрования информации;
• программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Примеры вспомогательных программных средств защиты информации:
• программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
• программы аудита (ведения регистрационных журналов) со бытий, связанных с безопасностью КС, для обеспечения возмож ности восстановления и доказательства факта происшествия этих
событий;
• программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
• программы тестового контроля защищенности КС и др К преимуществам программных средств защиты информации относятся:
• гибкость (возможность настройки на различные условия при менения, учитывающие специфику гроз информационной безопасности конкретных КС);
• простота применения — одни программные средства, напри мер шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни
каких новых (по сравнению с другими программами) навыков;
Программное средство защиты информации
Рис. 1.1. Пример пристыкованного программного средства защиты
| Защищаемая |
| Программное средство защиты информации |
| система |
Рис. 1.2. Пример встроенного программного средства защиты
• практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.
К недостаткам программных средств защиты информации относятся:
• снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирование программ защиты;
• более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты,например шифрования);
• пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС, рис. 1.1 и 1.2), что создает для нарушителя принципиальную возможность их об
хода;
• возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.
Требования к комплексным системам защиты информации
Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации (КСЗЙ), под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.
Основные требования к комплексной системе защиты информации:
• разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;
• использование комплекса программно-технических средств и организационных мер для защиты КС;
• надежность, производительность, конфигурируемость;
• экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации);
• выполнение на всех этапах жизненного цикла обработки информации в КС (в том числе при проведении ремонтных и регламентных работ);
• обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию(обеспечение не только пассивной, но и активной защиты);
• взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа;
• обеспечение проведения учета и расследования случаев нарушения безопасности информации в КС;
• сложная для пользователя (не должна вызывать у него психологического противодействия и стремления обойтись без применения ее средств);
• возможность оценки эффективности ее применения.Впервые основные категории требований к защищенности КС были сформулированы в документе Министерства обороны США «Trusted Computer System Evaluation Criteria» («Критерии оценки безопасности компьютерных систем», или «Оранжевая книга»), 1985 г. В этом документе предложены три основные категории требований.
• наличие явной и хорошо определенной политики обеспечения безопасности;
• использование маркировки объектов КС для управления доступом к ним.
• индивидуальная идентификация субъектов КС;
• сохранение и защита информации аудита.
• включение в состав КС программно-аппаратных средств для получения гарантий выполнения требований категорий 1 и 2;
• постоянная защищенность средств обеспечения безопасности информации в КС от их преодоления и (или) несанкционированного изменения.
В «Оранжевой книге» были введены семь классов защищенности КС — от минимальной защиты (класс D1) до верифицированной (формально доказанной) защиты (класс А1). Требования «Оранжевой книги» явились первой попыткой создать единый стандарт безопасности КС, рассчитанный на проектировщиков, разработчиков (программистов), пользователей подобных систем и специалистов по их сертификации.
Отличительной чертой этого стандарта является ориентация на государственные (в первую очередь военные) организации и операционные системы.
В 1992 г. Гостехкомиссия России опубликовала первый комплект руководящих документов по защите средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа.
СВТ не решают непосредственно прикладных задач, а используются в качестве элементов АС. Примерами СВТ являются плата расширения BIOS с соответствующим аппаратным и программным интерфейсом для аутентификации пользователей АС или программа «прозрачного» шифрования информации на жестком диске.
В руководящих документах Гостехкомиссии России определены семь классов защищенности СВТ от несанкционированного доступа к обрабатываемой (сохраняемой, передаваемой) с помощью этих средств информации (наиболее защищенным является первый класс),
АС рассматривается как комплекс СВТ и имеет дополнительные характеристики: полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская и многозадачная операционная система.
В руководящих документах Гостехкомиссии России определены девять классов защищенности АС от несанкционированного доступа, объединенных в три группы:
• однопользовательские АС с информацией, размещенной на
носителях одного уровня конфиденциальности (класс ЗБ и ЗА);
• многопользовательские АС с одинаковыми полномочиями пользователей и информацией на носителях разного уровня конфиденциальности (классы 2Б и 2А);
• многопользовательские АС с разными полномочиями пользователей и информацией разного уровня конфиденциальности (в порядке возрастания защищенности от класса 1Д до класса 1А).
Под несанкционированным доступом к информации в руководящих документах Гостехкомиссии России понимается доступ к информации, нарушающий установленные правила разграничения доступа и использующий штатные возможности СВТ и АС. Руководящие документы Гостехкомиссии России, подобно «Оранжевой книге», ориентированы прежде всего на применение в КС силовых структур Российской Федерации. Дальнейшее развитие стандартов в области информационной безопасности КС привело к появлению европейских «Критериев оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria), американских «Федеральных критериев безопасности информационных технологий» (Federal Criteria for Information Technology Security), канадских «Критериев оценки безопасности компьютерных продуктов» (Canadian Trusted Computer Product Evaluation Criteria) и завершилось на сегодняшний день принятием «Общих критериев оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation).
«Общие критерии. » адресованы трем группам специалистов (пользователям, разработчикам и экспертам по классификации КС) и представляют собой новый межгосударственный уровень в стандартизации безопасности информационных технологий.
В Российской Федерации «Общие критерии. » изданы в качестве ГОСТа (ГОСТ РИСО/МЭК 15408-2001 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).
В «Общих критериях. » предложена система функциональных требований к защищенным КС и критерии их независимого ранжирования.
Иначе говоря, в этих стандартах не устанавливается линейная шкала уровней безопасности КС, характерная для «Оранжевой книги». Это объясняется тем, что для одних КС наиболее важным требованием является идентификация и аутентификация пользователей, а для других — реализация конкретной политики разграничения доступа к ресурсам или обеспечение доступности информации.
33Способы несанкционированного доступа к информации в компьютерных системах и защиты от него ■■
В руководящих документах Гостехкомиссии России приведены следующие основные способы несанкционированного доступа к информации в КС:
• непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей
их в него);
• создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчи
ком этих средств, так называемых люков);
• модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);
• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа
(например, путем загрузки на компьютере иной, незащищенной операционной системы).
Модель нарушителя в руководящих документах Гостехкомиссии России определяется исходя из следующих предположений:
• нарушитель имеет доступ к работе со штатными средствами КС;
• нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).
Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):
1) запуск программ из фиксированного набора (например,подготовка документов или получение почтовых сообщений);
2) создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);
3) управление функционированием КС — воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);
4) весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями.
С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:
• ручной или программный подбор паролей путем их полного
перебора или при помощи специального словаря (взлом КС);
• подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;
• подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;
• выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации — «маскарад»;
• создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя залегального объекта КС (например, одного из ее серверов), — «ми
стификация»;
• создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;
• тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение про
граммных закладок, разрешающих доступ нарушителю.
Приведем пример использования способа несанкционированного доступа к информации в КС, основанный на создании аварийной ситуации. Если у нарушителя есть физический доступ хотя бы к одной рабочей станции локальной вычислительной сети (ЛВС) организации или к линии связи, то он сможет внедрить на рабочей станции программную закладку (или подключить к линии связи специальное устройство), перехватывать все пакеты подключения легального пользователя этой рабочей станции к серверу ЛВС и искажать имя пользователя в этих пакетах (иначе говоря, создать условия, при которых легальный пользователь КС никогда не сможет подключиться к серверу).
В этой ситуации на атакуемую рабочую станцию рано или поздно придет администратор ЛВС для того, чтобы разобраться в причинах сбоев при подключении к серверу. Если при этом администратор пошлет пакет подключения к серверу под своей привилегированной учетной записью, в которой оставлено имя администратора по умолчанию (например, «Supervisor» в операционной системе Novell Netware или «Администратор» в операционных системах Windows NT/2000/XP Professional), то тем самым цель нарушителя (перехват пароля администратора) будет достигнута.
Причиной успеха описанной в данном примере атаки является нарушение администратором системы правил политики безопасности, в соответствии с которыми он должен использовать привилегированную учетную запись только для выполнения административных функций и только с защищенной рабочей станции, а для выполнения других действия требуется создать другую учетную запись администратора с отличным от принятого по умолчанию именем.
В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.
К основным функциям СРД относятся:
• реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;
• изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;
• управление потоками информации в целях предотвращенияее записи на носители несоответствующего уровня конфиденциальности;
• реализация правил обмена информацией между субъектами в компьютерных сетях.
К функциям обеспечивающих средств для СРД относятся:
• идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;
• регистрация действий субъекта и активизированного им процесса;
• исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);
• учет выходных печатных форм в КС;
• контроль целостности программной и информационной части СРД и обеспечивающих ее средств.
Итак, основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.
Источник: cyberpedia.su
12 платформ аутентификации пользователей
Аутентификация пользователей-это мощный способ обеспечить законный доступ к вашим цифровым свойствам, таким как ваш веб-сайт или приложение. И это, очевидно, добавляет безопасности и настраиваемого пользовательского опыта.
₽ 0.00 – ₽ 799.00
₽ 0.00 – ₽ 999.00
₽ 0.00 – ₽ 599.00
Содержание скрыть
STYTCH
STYTCH является убежденным сторонником аутентификации без пароля. Он ориентирован на улучшение пользовательского опыта и сокращение головных болей разработчиков, делая именно это.
Аутентификация без пароля очень похожа на использование Slack. Они позволяют использовать сторонние логины или отправлять ссылку по электронной почте для аутентификации, но никогда не используют пароли. STYTCH называет их волшебными ссылками.
Вы можете использовать их SDK для быстрого развертывания или прямого API для использования метода аутентификации по вашему выбору. Существует несколько способов, таких как социальные логины, SMS/WhatsApp/Email passcodes, email magic links, TOTP apps и т. Д.
STYTCH имеет гибкие цены, которые настраиваются в соответствии с вашей активной базой пользователей. И в качестве приветственного пакета есть бесплатные кредиты на сумму 100 долларов США.
Ory
Ory обеспечивает полный контроль пользовательского опыта с помощью безголового управления аутентификацией пользователей.
Существует бесплатный уровень и облачный, если вы собираетесь использовать пользовательский домен. Кроме того, Ory позволяет создавать пользовательские схемы идентификации для создания персонализированных форумов аутентификации/регистрации пользователей.
Он также поддерживает создание одностраничных приложений с использованием React, Next.js, Гэтсби и AngularJS. С Ory разработчики могут тестировать и проверять систему без необходимости кода.
Ory представляет собой полную платформу аутентификации и авторизации с управлением идентификацией и разрешениями. Это сеть с нулевым доверием, совместимая с OAuth2 и OpenID Connect.
Ory также поставляется с двухфакторной аутентификацией, совместимой с FIDO 2 (2FA), и интерфейсом командной строки для разработчиков. Наконец, вы можете начать с бесплатного навсегда плана и обновить, если это необходимо.
Supabase
Supabase называет себя альтернативой Firebase с открытым исходным кодом.
Подобно STYTCH, Supabase имеет несколько способов приема ваших пользователей. Вы можете использовать обычную электронную почту и пароль, магические ссылки, социальные или телефонные логины. Кроме того, вы можете интегрировать сторонние протоколы аутентификации, такие как OAuth, несколькими щелчками мыши.
Используя библиотеки react, вы можете быстро начать работу с предварительно созданными виджетами аутентификации Supabase. Кроме того, вы можете интегрировать Supabase с REST и API реального времени с поддержкой GraphQL в будущих обновлениях.
Supabase также имеет механизмы управления пользователями и авторизации для реализации детализированных правил доступа. И, в конечном счете, Supabase имеет бесплатный, платный и платный план подписки, соответствующий всем возможным вариантам использования.
Okta
Okta снова является флагманом безопасности без паролей. Однако вы также можете запросить самые надежные пароли с помощью Okta.
В дополнение к настройке требований к паролям вы также можете включить многофакторную аутентификацию (MFA). Кроме того, можно настроить облачную аутентификацию Okta и позволить пользователям входить в систему с помощью биометрии или push-уведомлений.
Кроме того, вы получаете системный журнал в реальном времени с расширенным поиском для выявления проблем для мгновенного устранения неполадок.
Okta придает большое значение прогрессивному профилированию, что означает минимальную предварительную информацию при регистрации. Цель состоит в том, чтобы свести к минимуму неудобства пользователей, увеличить регистрацию и постепенно завершить профиль пользователя.
Okta обеспечивает отличную безопасность API, интегрируя протоколы идентификации, такие как OAuth. И у вас будет единая точка для всех политик авторизации API для интеграции безопасности и разработки.
И, наконец, он позволяет легко B2B интеграции с системами безопасности, такими как OpenID Connect и SAML в дополнение к устаревшей поддержке интеграции Active Directory и LDAP под ключ.
PingIdentity
PingIdentity формируется как интеллектуальный центральный модуль аутентификации для всех ваших облачных, внутренних и SaaS-реализаций.
Это позволяет развернуть адаптивную аутентификацию на основе поведения пользователя и оценки рисков.
Он извлекает выгоду из нескольких источников аутентификации в то же время, чтобы настроить для конкретных политик безопасности в соответствии с приложением.
Это также имеет поддержку MFA и различных правил аутентификации. Кроме того, PingIdentity разрешает SSO, инициированные IdP и SP. Кроме того, вы можете включить SSO для API, мобильных телефонов и SaaS-приложений.
И вы можете легко интегрировать его со сторонними приложениями, такими как Office 365, G Suite, Atlassian tools и т. Д.
Keycloak
Keycloak-это платформа управления идентификацией пользователей и доступом с открытым исходным кодом.
Вы можете интегрировать Keycloak с вашими приложениями, чтобы иметь единый вход и единый выход. Кроме того, можно активировать социальные логины без каких-либо изменений в коде. Кроме того, он позволяет аутентифицировать пользователя через существующий OpenID Connect или SAML 2.0
Keycloak поддерживает подключение к существующим серверам LDAP или Active Directory и использование их в качестве центральной базы данных пользователей. Консоль управления учетными записями позволяет пользователям управлять своим профилем, обновлять пароли, устанавливать 2FA и т. Д.
Консоль администратора дает вам контроль над всеми функциями, включая посредничество в идентификации, создание приложений, определение детального контроля доступа и т. Д.
Наконец, поскольку Keycloak является открытым исходным кодом, вы можете изменить код и раскошелиться или переключиться в любое время без каких-либо проблем, таких как блокировка поставщика.
Frontegg
В отличие от забавного названия, Frontegg-это удобное для разработчиков решение для аутентификации и управления пользователями практически для любой организации.
Вы можете развернуть свой SSO для интеграции корпоративных ВПЛ через SAML и OpenID connect. Frontegg также оснащен социальными логинами и многофакторной аутентификацией.
Кроме того, он поддерживает расширенные функции, такие как Google Captcha и аутентификация без пароля с помощью Magic links. Кроме того, пользователи могут управлять своими собственными командами, создавая профили и разрешения. Профиль пользователя также имеет журналы аудита для клиентов, чтобы проверить и контролировать свои действия входа в систему.
Вы также можете предоставить пользователям возможность включить уведомления webhooks для создания и управления токенами аутентификации API.
Forntegg также имеет некоторые ведущие в отрасли атрибуты, такие как принудительный MFA, блокировка пользователя, история смены пароля, блокировка IP и т. Д. Кроме того, вы можете применить Frontegg для авторизации между машинами. И, наконец, есть возможность включить пользовательские домены для межсайтовой аутентификации.
Frontegg имеет впечатляющий бесплатный план. Однако некоторые расширенные функции зарезервированы для платных клиентов.
Authress
С его длинным списком функций Authr кажется блестящей аутентификацией пользователя и альтернативой Firebase.
Authr делает ставку на свой API авторизации и интеграцию с существующими решениями идентификации. Вы можете определить детализированные элементы управления доступом и сгруппировать их соответственно по ролям пользователей.
Кроме того, Authr также имеет аутентификацию между машинами и неограниченные корпоративные интеграции. Аналогично, вы можете использовать SSO и любое количество социальных логинов для аутентификации вашего приложения.
Он дает вам исчерпывающие журналы использования и неограниченное количество пользователей с поддержкой импорта/экспорта. Вы также можете использовать свой брендинг с пользовательским доменом.
Хотя бесплатной подписки нет, ваши первые 1000 вызовов API бесплатны для стандартных и корпоративных планов.
Auth0
Auth0-это платформа аутентификации пользователей и альтернатива Firebase
Он имеет универсальный логин для всех ваших приложений, чтобы добавить удобство пользователя. Это похоже на SSO между несколькими приложениями. Таким образом, пользователь не будет раздражаться, чтобы войти в систему отдельно от других приложений; вместо этого будет автоматически подписан через SSO.
Существует центральная панель управления функциями для социальных логинов, обнаружения проблем и MFA. Можно также использовать пользовательские домены для бесшовного брендинга.
Кроме того, есть волшебные ссылки без пароля для еще лучшего пользовательского опыта. Auth0 имеет гибкие подписки для многих вариантов использования, включая бесплатный уровень.
Firebase
Firebase-это ассортимент продуктов Google, включая платформу аутентификации пользователей.
Вы можете использовать аутентификацию Firebase с помощью паролей, номеров телефонов или социальных логинов. У них есть готовые шаблоны и SDK, чтобы начать работу без особых усилий. И есть бесплатный план, чтобы начать с аутентификации приложений с щедрыми лимитами, после чего pay-as-you-go.
Amazon Cognito
Cognito-это решение для аутентификации облачных приложений Amazon для масс. Это развертывание с низким кодом, которое можно использовать с обычными паролями или логинами сторонних разработчиков, такими как Google или Facebook.
Он поставляется с гибким пользовательским интерфейсом, который может быть изменен в соответствии с вариантом использования. Это также имеет расширенные функции аутентификации пользователей, такие как адаптивный режим на основе риска.
Существует отличный бесплатный уровень, и впоследствии он переходит на подписку с оплатой по мере использования бесплатных кредитов.
OneLogin
OneLogin от OneIdentity-еще одна альтернатива Firebase с примечательными расширенными функциями.
OneLogin имеет адаптивный MFA, SSO и Vigilance AI, который, как сообщается, использует машинное обучение для защиты от продвинутых угроз.
Вы также можете использовать простые API OneLogin для персонализированного пользовательского опыта. Можно также развернуть их интеллектуальную факторную аутентификацию для авторизации пользователей с помощью SMS-кодов или автоматических телефонных звонков.
Наконец, вы можете начать с OneLogin с бесплатной пробной версии, чтобы получить представление об их поддержке и обслуживании.
сторонние платформы аутентификации пользователей-это не проблема для организаций начального и среднего уровня.
Создание и применение ваших собственных решений просто не стоит усилий и риска. Даже для компаний премиум-класса лучше всего дать задачу экспертам, а не неправильно обращаться с ней.
При выборе любого плана старайтесь избегать блокировок поставщиков. Окончательно, выбор в пользу аутентификации приложений с открытым исходным кодом может быть полезным в долгосрочной перспективе, даже если он кажется коротким по некоторым функциям.
Источник: xmldatafeed.com