Читайте также: |
|
Основой правового обеспечения ИБ является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей.
В этом плане российское законодательство отстаёт от законодательства других развитых стран.
Можно выделить четыре уровня правового обеспечения информационной безопасности:
· международные договора;
· подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ;
· государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами;
· локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации.
13. ОБЕСПЕЧЕНИЕ ДОСТУПА К ЭВМ: ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).
Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Примером аутентификации является процедура входа пользователя в систему, когда ему приходится вводить пароль. В данном случае ввод имени пользователя – это идентификация (этим пользователь сообщает системе, кто он есть), а ввод пароля – аутентификация (вводя пароль, пользователь доказывает, что входит в систему действительно он).
Субъект может подтвердить свою подлинность, предъявив хотя бы одно из следующего:
· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
· нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
· нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
Парольная аутентификация
Главное достоинство парольной аутентификации – простота и привычность.
Однако данный способ проверки подлинности является одним из самых слабых ввиду следующих обстоятельств:
· Чтобы пароль был запоминающимся, его зачастую делают простым (дата рождения ребёнка, любимая марка автомобиля и т.п.).
· Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации (например, логин «admin», пароль «123»), и далеко не всегда после установки системы производится их смена.
· Ввод пароля можно подсмотреть.
· Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля.
· Пароль можно угадать, методом перебора по словарю наиболее распространенных паролей.
Меры по повышению надежности парольной защиты:
· пароль должен быть не слишком коротким и должен содержать буквы, цифры, знаки пунктуации и т.п.;
· управление сроком действия паролей, их периодическая смена;
· ограничение числа неудачных попыток входа в систему (это затруднит применение методы перебора по словарю);
· обучение пользователей;
· использование программных генераторов паролей (такие программы могут создавать «сильные», но запоминающиеся пароли).
Идентификация/аутентификация с помощью биометрических данных
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик.
Примеры физиологических характеристик: особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица.
Примеры поведенческих характеристик: динамика ручной подписи, стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
Спрос на биометрические продукты интенсивно растет, поскольку с точки зрения пользователя гораздо удобнее предъявить себя самого, чем что-то запоминать.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.
Недостатки биометрической идентификации/аутентификации:
· Биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения (а прийти, ввиду различного рода помех и сбоев в системе, может вовсе не то, что нужно).
· Надежность биометрических методов стремится к нулю при ненадёжности базы данных шаблонов.
· Систему можно обмануть в условиях отсутствия должного контроля за соблюдением правил обеспечения информационной безопасности (например, к устройству сканирования роговицы могут поднести муляж).
· Биометрические данные человека меняются, вследствие чего база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.
· В отличие от паролей, которые, в крайнем случае, можно сменить, или аутентификационных карт, которые можно аннулировать и перевыпустить, биометрические данные изменить невозможно.
МЕТОДИЧНІ ВКАЗІВКИ
Дата добавления: 2014-12-15; просмотров: 126 | Поможем написать вашу работу | Нарушение авторских прав |