ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2021
Просмотров: 3588
Скачиваний: 3
326
Глава
17.
Программные
методы
защиты
•
если
пароль
передан
с
ошибкой
,
пользователь
будет
,
находится
в
трудном
положении
при
выборе
дальнейших
действий
:
повторить
ли
прежний
пароль
или
использовать
следующий
.
Если
при
каждой
ошибке
использовать
следующий
пароль
,
то
полный
список
паролей
должен
быть
достаточно
большим
,
а
при
повторном
использовании
одного
и
того
же
пароля
нарушается
принцип
одноразовости
,
кроме
того
,
пароль
в
такой
ситуации
может
быть
перехвачен
злоумышленником
;
•
при
большом
числе
пользователей
для
генерации
списка
паролей
необходимо
ис
-
пользовать
генераторы
случайных
последовательностей
,
что
в
принципе
позволяет
злоумышленнику
восстановить
пароли
с
помощью
статистического
анализа
.
При
использовании
метода
“
запрос
—
ответ
”
в
памяти
АС
заблаговременно
создается
и
особо
защищается
массив
вопросов
,
включающий
в
себя
вопросы
общего
характера
,
так
и
персональные
вопросы
,
относящиеся
к
конкретному
пользователю
.
Для
опознава
-
ния
пользователя
АС
последовательно
ставит
перед
ним
ряд
случайно
выбираемых
во
-
просов
,
на
которые
пользователь
должен
дать
ответ
.
Опознавание
считается
положи
-
тельным
,
если
в
ответах
пользователя
число
ошибок
не
превышает
заданного
порога
.
Метод
перекрестного
опознавания
заключается
в
том
,
что
процедура
опознавания
повторяется
периодически
в
процессе
работы
пользователя
,
причем
моменты
повторе
-
ния
процедуры
выбираются
случайно
.
При
этом
каждый
раз
могут
использоваться
раз
-
личные
методы
опознавания
.
Методы
особого
надежного
опознавания
Особо
надежное
опознавание
должно
использоваться
в
случае
обработки
информа
-
ции
повышенной
секретности
,
особенно
в
случае
работы
в
режиме
удаленного
доступа
.
При
этом
используются
сугубо
индивидуальные
характеристики
человека
:
голос
,
отпе
-
чатки
пальцев
,
сетчатка
глаза
,
фотография
,
личная
подпись
и
т
.
п
.
Реализация
методов
опознавания
по
перечисленным
характеристикам
сопряжена
с
решением
двух
групп
проблем
:
проблемы
снятия
индивидуальных
характеристик
чело
-
века
в
процессе
опознавания
и
проблемы
анализа
и
обработки
полученных
характери
-
стик
.
При
опознавании
пользователя
по
голосу
в
памяти
АС
заранее
формируется
эталон
его
голоса
,
для
чего
пользователь
должен
произнести
перед
микрофоном
заданную
со
-
вокупность
фраз
.
В
процессе
опознавания
АС
сравнивает
произносимые
фразы
с
храни
-
мыми
эталонными
и
принимает
решение
об
опознавании
.
Надежность
распознавания
по
голосу
в
идеальных
условиях
достаточно
высока
,
од
-
нако
на
нее
оказывают
значительное
влияние
такие
факторы
,
как
изменение
голоса
при
простуде
и
некоторых
других
заболеваниях
(
а
возможно
и
просто
от
усталости
),
воз
-
можность
имитации
голоса
злоумышленником
.
По
этим
причинам
опознавание
по
голо
-
су
до
последнего
времени
не
получило
широкого
распространения
.
Опознавание
по
отпечаткам
пальцев
и
по
сетчатке
глаза
,
наиболее
традиционный
метод
опознавания
,
основанный
на
общеизвестном
факторе
,
что
отпечатки
и
сетчатка
являются
строго
индивидуальными
характеристиками
человека
.
При
надлежащей
обра
-
Программы
внутренней
защиты
327
ботке
отпечатков
и
сетчатки
надежность
опознавания
может
быть
весьма
высокой
.
Схе
-
ма
процедуры
опознавания
для
этого
случая
понятна
и
общеизвестна
.
Основную
труд
-
ность
при
решении
этой
задачи
составляет
преобразование
рисунков
отпечатков
пальцев
и
сетчатки
глаза
в
цифровую
форму
для
последующей
их
обработки
на
ЭВМ
.
Разработка
и
реализация
программного
обеспечения
для
решения
этой
задачи
не
представляет
осо
-
бых
трудностей
.
Опознавание
по
длине
пальцев
основывается
на
менее
очевидном
и
менее
известном
факте
—
длина
пальцев
,
и
соотношение
длин
отдельных
пальцев
также
являются
инди
-
видуальными
характеристиками
человека
.
Измерение
длины
четырех
пальцев
(
без
большого
)
позволяет
опознать
человека
с
вероятностью
не
ниже
95%.
В
то
же
время
устройство
для
измерения
длины
пальцев
является
настолько
простым
,
что
им
можно
оборудовать
даже
небольшие
терминалы
пользователей
.
Опознавание
по
фотографии
связано
с
наличием
в
строении
лица
устойчивых
индиви
-
дуальных
характеристик
,
совокупность
которых
не
может
быть
имитирована
даже
при
ис
-
кусном
гримировании
.
В
эту
совокупность
входят
:
строение
и
расположение
ушей
,
гео
-
метрические
соотношения
черт
лица
,
снятого
в
анфас
и
в
профиль
,
геометрические
пара
-
метры
положения
глаз
и
т
.
п
.
Аналогично
приведенным
выше
методом
может
производится
опознание
по
личной
подписи
,
причем
в
системах
такого
типа
используются
не
только
геометрические
харак
-
теристики
подписи
,
но
и
динамические
характеристики
процесса
ее
написания
.
Эти
па
-
раметры
также
образуют
совокупность
характеристик
,
позволяющих
достаточно
надеж
-
но
произвести
опознавание
пользователя
.
Следует
отметить
,
что
высокую
надежность
опознавания
может
обеспечить
только
комбинированная
система
,
использующая
несколько
различных
методов
,
хотя
она
и
бу
-
дет
достаточно
сложной
и
дорогой
.
Методы
опознавания
АС
и
ее
элементов
пользователем
Такое
опознавание
необходимо
для
того
,
чтобы
пользователь
мог
убедиться
в
том
,
что
предоставляемые
ему
ресурсы
есть
именно
те
,
которые
предназначены
для
работы
с
ним
,
а
не
являются
ложными
,
фальсифицированными
злоумышленником
для
получения
секретных
данных
,
в
том
числе
и
паролей
.
Опознавание
пользователем
системы
и
ее
отдельных
элементов
также
можно
осуще
-
ствить
с
помощью
паролей
,
только
в
этом
случае
сама
система
будет
предъявлять
свой
код
(
пароль
)
пользователю
.
Совершенно
очевидно
,
что
пользователь
должен
знать
такой
пароль
заранее
.
Такой
метод
опознавания
при
большом
числе
пользователей
не
может
быть
надежным
.
Наиболее
эффективным
методом
решения
рассматриваемой
задачи
в
настоящее
вре
-
мя
считается
реализация
так
называемой
“
схемы
рукопожатия
”.
При
ее
реализации
за
-
ранее
выбирается
не
очень
сложное
,
но
далеко
не
тривиальное
преобразование
А
(
х
,
к
t
)
,
где
х
—
аргумент
,
а
к
t
—
ключ
,
зависящий
от
текущего
времени
.
Это
преобразование
должно
содержаться
в
секрете
,
но
быть
известным
пользователю
,
и
системе
.
Пользова
-
тель
вместе
с
запросом
на
работу
посылает
выбранное
им
значение
аргумента
х
(
напри
-
328
Глава
17.
Программные
методы
защиты
мер
,
свое
имя
).
Система
вычисляет
А
с
(
х
,
к
t
)
и
посылает
это
значение
пользователю
.
Пользователь
вычисляет
А
п
(
х
,
к
t
)
.
Если
А
с
=
А
п
,
опознавание
считается
положитель
-
ным
(“
рукопожатие
состоялось
”).
Такая
схема
опознавания
может
быть
достаточно
эффективной
даже
при
большом
числе
пользователей
,
поскольку
для
каждого
пользователя
нетрудно
подобрать
отдель
-
ное
преобразование
.
Особенно
просто
реализуется
режим
“
рукопожатия
”
при
наличии
шифровальной
аппаратуры
,
сопрягаемой
как
с
терминалом
,
так
и
с
АС
.
Тогда
в
качестве
преобразования
А
(
х
,
к
t
)
может
использоваться
криптографическое
преобразование
,
реа
-
лизуемое
в
имеющейся
криптографической
системе
.
Проблемы
регулирования
использования
ресурсов
Регулирование
использования
технических
средств
обычно
осуществляется
по
таким
параметрам
,
как
общее
право
на
доступ
,
время
доступа
и
выполняемая
функция
.
Регулирование
по
общему
праву
на
доступ
заключается
в
том
,
что
для
каждого
тех
-
нического
устройства
с
ограничениями
на
доступ
составляется
список
субъектов
и
объ
-
ектов
,
имеющих
право
доступа
к
нему
.
Тогда
регулирование
будет
заключаться
в
разре
-
шении
доступа
в
том
случае
,
когда
обращающийся
субъект
или
объект
содержится
в
списке
имеющих
право
доступа
,
и
запрещения
доступа
в
противном
случае
.
Регулирование
доступа
по
времени
состоит
в
том
,
что
для
всех
субъектов
или
объек
-
тов
может
быть
установлено
не
общее
право
доступа
,
а
право
доступа
в
определенное
время
(
дни
недели
,
число
,
часы
).
Аналогично
,
регулирование
доступа
по
выполняемым
функциям
состоит
в
разрешении
субъекту
или
объекту
выполнять
лишь
строго
опреде
-
ленные
функции
.
На
практике
могут
использоваться
и
комбинированные
системы
регу
-
лирования
доступом
.
Регулирование
доступа
к
базам
(
массивам
)
данных
получило
широкое
распростране
-
ние
при
ЗИ
в
АС
.
Заметим
,
что
данный
вид
регулирования
доступа
является
одним
из
основных
,
который
предусматривается
в
любой
системе
защиты
.
В
качестве
элементарной
(
наименьшей
)
защищаемой
единицы
информации
чаще
все
-
го
принимается
файл
,
что
обусловлено
двумя
обстоятельствами
:
во
-
первых
,
именно
файл
чаще
всего
выступает
единицей
информационного
обмена
,
и
,
во
-
вторых
,
на
уровне
файла
проще
всего
решаются
задачи
регулирования
доступа
.
Все
защищаемые
файлы
по
признаку
принадлежности
обычно
делят
на
общие
,
груп
-
повые
и
личные
.
К
общим
относятся
файлы
сервисных
программ
:
операционные
систе
-
мы
,
библиотеки
общего
пользования
и
т
.
п
.
К
общим
файлам
разрешается
доступ
всем
пользователям
,
зарегистрированным
в
данной
АС
.
Групповыми
обычно
являются
файлы
данных
справочного
характера
(
относящиеся
к
определенной
сфере
деятельности
или
принадлежащих
какой
-
либо
организации
),
библиотеки
программ
группового
пользова
-
ния
и
иные
подобные
файлы
.
Доступ
к
групповым
файлам
разрешается
некоторой
зара
-
нее
определенной
группе
пользователей
.
Личные
файлы
принадлежат
одному
пользова
-
телю
,
который
их
создает
и
имеет
право
доступа
к
ним
.
Другим
лицам
доступ
может
быть
предоставлен
только
по
разрешению
владельца
файла
.
Программы
внутренней
защиты
329
Информации
,
организованной
в
файлы
и
подлежащей
защите
,
присваивается
соот
-
ветствующий
гриф
секретности
.
Порядок
присвоения
грифа
секретности
регламентиру
-
ется
законодательными
актами
.
К
настоящему
времени
разработано
несколько
способов
разграничения
доступа
:
•
разграничение
по
спискам
;
•
матричное
разграничение
;
•
разграничение
по
уровням
(
кольцам
)
секретности
;
•
страничная
организация
памяти
;
•
мандатная
система
доступа
.
Разграничение
по
спискам
осуществляется
в
том
случае
,
если
права
пользователей
на
доступ
заданы
в
виде
списков
.
При
этом
либо
для
каждого
элемента
базы
задан
список
пользователей
,
имеющих
право
доступа
к
нему
,
либо
для
каждого
пользователя
задан
перечень
тех
элементов
базы
,
к
которым
ему
разрешен
доступ
.
В
любом
случае
проце
-
дура
разграничения
реализуется
в
следующей
последовательности
.
1.
По
данным
,
содержащимся
в
запросе
,
выбирается
соответствующая
строка
списка
:
перечень
пользователей
,
допущенных
к
запрашиваемому
элементу
или
перечень
эле
-
ментов
баз
данных
,
к
которым
допущен
обратившийся
с
запросом
пользователь
.
2.
В
выбранной
строке
проверяется
наличие
имени
пользователя
,
обратившегося
с
за
-
просом
,
или
имени
элемента
базы
данных
,
к
которому
обращается
пользователь
.
3.
По
данным
проверки
принимается
решение
о
допуске
к
запрашиваемым
данным
.
Кроме
того
,
могут
предусматриваться
санкции
за
попытку
несанкционированного
доступа
,
причем
в
качестве
санкций
могут
быть
приняты
следующие
меры
:
преду
-
преждение
пользователя
о
том
,
что
им
допущены
несанкционированные
действия
;
отключение
пользователя
от
системы
полностью
или
на
некоторое
время
;
подача
сигнала
контрольным
органам
о
попытке
несанкционированных
действий
.
Матричное
разграничение
является
более
гибким
по
сравнению
с
разграничением
по
спискам
,
поскольку
оно
позволяет
не
только
регулировать
доступ
к
данным
,
но
и
харак
-
тер
выполняемых
процедур
(
чтение
,
запись
,
реконструирование
данных
и
т
.
д
.).
Обеспе
-
чивается
это
тем
,
что
права
пользователей
задаются
в
виде
матрицы
,
по
строкам
которой
представлен
список
пользователей
,
а
по
столбцам
—
перечень
имен
элементов
базы
данных
.
Элементами
матрицы
являются
коды
,
каждый
из
которых
содержит
информа
-
цию
о
полномочиях
соответствующих
пользователей
относительно
соответствующих
элементов
базы
данных
.
Множество
возможных
прав
определяется
разрядностью
кода
.
Недостатками
метода
разграничения
по
матрице
полномочий
считаются
два
сле
-
дующих
обстоятельства
:
для
больших
систем
с
большим
объемом
защищаемых
данных
матрицы
полномочий
оказываются
громоздкими
,
динамическое
ведение
матриц
в
про
-
цессе
функционирования
системы
является
достаточно
сложной
процедурой
.
Разграничение
доступа
по
уровням
(
кольцам
)
секретности
заключается
в
том
,
что
базы
(
массивы
)
защищаемых
данных
делятся
на
части
в
соответствии
с
уровнями
их
секретности
.
Полномочия
каждого
пользователя
задаются
максимальным
уровнем
сек
-
330
Глава
17.
Программные
методы
защиты
ретности
данных
,
доступ
к
которым
ему
разрешен
.
В
соответствии
с
этим
пользователю
разрешается
доступ
ко
всем
данным
,
уровень
секретности
которых
не
выше
уровня
его
полномочий
.
Нетрудно
заметить
,
что
такое
разграничение
является
наименее
гибким
из
всех
рассмотренных
.
Страничная
организация
памяти
заключается
в
разделении
объема
ОП
АС
на
блоки
(
страницы
)
фиксированного
размера
.
При
этом
средствами
операционной
системы
орга
-
низуется
управление
использованием
страниц
программами
пользователя
.
Любая
по
-
пытка
несанкционированного
вхождения
в
поле
страницы
будет
вызывать
прерывание
.
Мандатная
система
доступа
или
доступ
по
пропускам
заключается
в
том
,
что
поль
-
зователю
выдается
мандат
(
пропуск
)
на
доступ
к
соответствующим
массивам
данных
или
сегментам
памяти
.
При
каждом
обращении
осуществляется
проверка
наличия
ман
-
дата
.
Сама
процедура
разграничения
является
достаточно
простой
:
предъявляемый
ман
-
дат
сравнивается
с
эталонным
и
по
результатам
сравнения
принимается
решение
о
до
-
пуске
.
Однако
при
этом
возникают
те
же
трудность
,
что
и
при
работе
с
паролями
—
воз
-
можны
перехват
,
разгадывание
мандатов
и
т
.
п
.
Основным
средством
разграничения
доступа
в
больших
банках
данных
является
про
-
граммный
механизм
замков
управления
доступом
.
Этот
механизм
позволяет
объявить
любой
элемент
базы
закрытым
и
присвоить
ему
персональный
замок
.
После
этого
дос
-
туп
к
данному
элементу
базы
будет
разрешен
только
в
том
случае
,
если
в
запросе
будет
представлен
ключ
именно
к
этому
замку
.
Используемый
язык
описания
данных
позволя
-
ет
закрыть
замком
любую
структуру
на
всех
иерархических
уровнях
.
Сам
замок
может
быть
задан
в
виде
постоянного
кода
,
значениями
переменной
или
результатом
некоторой
процедуры
.
Если
замок
задан
константой
или
значением
переменной
,
то
для
доступа
к
данным
необходимо
простое
совпадение
замка
и
предъявленного
ключа
.
Если
же
замок
задан
процедурой
,
то
доступ
к
данным
будет
разрешен
только
в
случае
получения
впол
-
не
определенного
результата
процедуры
.
Разграничение
доступа
с
помощью
механизма
замков
управления
доступом
считается
весьма
эффективным
методом
защиты
данных
.
Однако
одной
этой
защиты
недостаточно
.
В
современных
автоматизированных
банках
данных
,
ориентированных
на
коллективное
использование
и
долговременное
хранение
информации
,
механизм
защиты
должен
быть
развитым
и
многофункциональным
.
Такой
механизм
должен
обладать
следующими
харак
-
теристиками
.
1.
Иметь
средства
опознавания
терминалов
и
пользователей
,
причем
система
опознава
-
ния
должна
быть
развитой
и
надежной
.
2.
Обеспечивать
защиту
по
различным
аспектам
и
на
различных
уровнях
:
•
по
компонентам
банка
данных
,
к
которым
относят
компоненты
структур
данных
,
компоненты
структур
памяти
,
служебные
данные
,
и
т
.
д
.;
•
по
операциям
разграничения
доступа
и
выполнения
программ
и
процедур
,
разгра
-
ничения
возможностей
перемещения
данных
в
оперативной
памяти
,
контроля
санкционированности
реорганизации
баз
и
т
.
п
.;