Службы информационной безопасности

Идентифицируемость

Про службу идентификации часто забывают, когда речь идет о безопасности. Главная причина в том, что сама по себе эта служба не позволяет предотвратить атаки. Она должна работать совместно с другими службами, чтобы увеличивать их эффективность. Если рассматривать эту службу отдельно, то мы увидим, что она усложняет систему безопасности и повышает ее стоимость. Однако без работы службы идентификации и служба обеспечения целостности, и служба обеспечения конфиденциальности обречены на неудачу.

Идентификация и аутентификация

Идентификация и аутентификация выполняют следующие функции. Во-первых, устанавливают личность индивидуума, во-вторых, доказывают, что индивидуум является именно тем, за кого себя выдает. Аутентификация использует любую комбинацию трех вещей:

• то, что вы знаете (пароль или PIN-код);
• то, что вы имеете (смарт-карта или бейдж);
• то, чем вы являетесь (отпечаток пальца или снимок сетчатки глаза).

Можно выбрать один элемент из этого списка, но лучше использовать их комбинацию, например, пароль и смарт-карту. Это называется двухфакторной аутентификацией. Двухфакторная аутентификация гораздо сильнее, чем однофакторная, поскольку каждый фактор имеет свои слабые места. Например, пароль можно угадать, а смарт-карту украсть. Биометрическую аутентификацию тяжелее фальсифицировать, однако человека могут насильно заставить поместить руку в сканер.

В реальной жизни для аутентификации используется пропуск, предъявляемый охране. Это считается достаточным для того, чтобы служащий мог войти в здание. Для установления подлинности лиц, желающих попасть в секретные охраняемые помещения, используются сканеры геометрии руки. Опознавательный механизм напрямую связан с физическим наличием индивидуума.

В компьютерном мире физические опознавательные механизмы не работают. Здесь для аутентификации пользователя традиционно используется пароль. Подлинность связана с идентификатором пользователя, который назначается администратором системы. Считается, что у администратора есть определенное доказательство, что лицо, получающее идентификатор, на самом деле является тем, за кого себя выдает. Пароли - единственный фактор установления подлинности пользователя и, как следствие, являются "слабым звеном". В отличие от реальной жизни здесь нет никакой гарантии физического присутствия индивидуума. Именно поэтому рекомендуется использование двухфакторной аутентификации, которая обеспечивает более сильный опознавательный механизм.

Идентификация и аутентификация применяются в системе управления доступом к файлам в компьютерных системах, обеспечивающей конфиденциальность и целостность этих файлов. Идентификация и аутентификация очень важна для работы механизмов шифрования и цифровых подписей. В этом случае идентификационные данные передаются удаленному пользователю, который подтверждает свою подлинность на локальном уровне, а затем эти сведения доставляются в нужное место. На рис. 4.4 показан процесс идентификации с помощью цифровой подписи при отправке сообщения. Пользователь сначала подтверждает свою подлинность, используя механизм защиты подписи на своем локальном компьютере. Затем локальный компьютер отправляет сообщение, подписанное этой цифровой подписью. Пользователь, принимающий сообщение, использует цифровую подпись как доказательство того, что отправитель является автором сообщения.

Механизм идентификации и аутентификации - это ключ к другим службам безопасности. Если он дает сбой, то их надежная работа оказывается под угрозой.

Рис. 4.4. Работа механизма идентификации и аутентификации в соединении удаленного доступа

Аудит

Аудит позволяет фиксировать происходящие события. Записи аудита связывают пользователя с действиями, которые он выполняет в системе. Без надежной службы идентификации и аутентификации аудит становится бесполезным, поскольку нет гарантии, что зафиксированные действия на самом деле выполнены указанным лицом.

Аудит в реальной жизни осуществляется с помощью журналов регистрации, ведомостей пропусков на выход, видеозаписей. Его задачей является отчет о выполненных действиях. Служба целостности должна гарантировать, что информация в журнале аудита не изменялась, иначе ее достоверность ставится под сомнение.

В компьютерных системах аудит ведется с помощью журналов, в которые записываются действия пользователя. Если служба идентификации и аутентификации работает должным образом, то эти события можно отождествить с определенным пользователем. Электронные журналы аудита тоже необходимо защищать от любых изменений.

Предотвращение атак

Служба идентификации сама по себе не может противостоять атакам, поскольку работает вместе с другими службами. Она ведет запись действий, выполняемых зарегистрированным пользователем и таким образом позволяет восстановить картину событий в случае атаки.

Защитите свою информацию

Сначала освежите в памяти проект 2 (см. в "Категории атак" ). В нем были выявлены способы, которые могут использоваться при атаке на вашу систему. В этом проекте вы определите способы защиты информации в своей системе и в организации.

Шаг за шагом

1. Начните со списка атак и стратегий осуществления этих атак, разработанного в проекте
2. Для каждого метода атаки определите наиболее походящую службу безопасности, которая позволить предотвратить или обнаружить эту атаку.
3. Для каждой выявленной службы примите решение о том, требуется ли ей для надежного функционирования служба идентификации. Если это так, то добавьте и эту службу к списку.
4. Расположите список по приоритетам, начиная от самой важной (с вашей точки зрения).
5. Если будут реализованы все службы безопасности, удастся ли вам обнаружить или предотвратить атаки, выявленные в проекте 2?

Выводы

Для защиты секретной информации самой важной является служба конфиденциальности. Однако не забудьте, что для одной информации требуется исключить возможность ее модификации, а для другой - возможность доступа. В обоих случаях нужна надежная служба идентификации и аутентификации. Если имеются системы или информация, от работы которых зависит деятельность организации, то потребуется также служба обеспечения доступности. Для ее работы не нужна служба идентификации и аутентификации.

Контрольные вопросы

1. Перечислите основные службы безопасности.
2. Какая служба полагается на службу конфиденциальности для обеспечения полной защиты информации?
3. Какие службы используются для противостояния атакам на модификацию?
4. В работе каких служб используется система контроля доступа?
5. Должны ли коммерческие организации соблюдать конфиденциальность потока данных?
6. Какой основной механизм обеспечивает конфиденциальность и целостность информации при передаче?
7. Для предотвращения перехвата должно использоваться шифрование - вместе с какой службой безопасности?
8. Может ли служба обеспечения доступности предотвратить атаки на отказ в обслуживании?
9. Назовите три типа аутентификационных факторов.
10. Почему двухфакторная аутентификация сильнее, чем однофакторная?
11. Зачем нужен аудит?
12. Какие службы позволяют предотвратить атаки на отказ от обязательств?
13. Какие службы позволяют предотвратить атаки доступа?
14. На какие три службы безопасности должен опираться аудит?
15. Примером работы какой службы безопасности является развертывание плана аварийного восстановления?