Опубликован: 03.09.2003 | Уровень: специалист | Доступ: платный
Лекция 6:

Профили защиты, разработанные на основе "Общих критериев". Часть 2. Частные требования к сервисам безопасности

Аннотация: Описываются предположения и цели безопасности, функциональные требования и требования доверия, специфичные для конкретных сервисов безопасности. Основное внимание уделено функциональным требованиям, как наиболее важным для обеспечения безопасности.
Ключевые слова: идентификация, аутентификация, профиль защиты, ПО, угроза, ошибка первого рода, ошибка второго рода, администратор, вероятность, мимикрия, артефакт, контроль, злоумышленник, атака на близнеца, уязвимость, безопасность, доступ, класс безопасности, C2, оранжевая книга, требования безопасности, произвольное управление доступом, идентификатор пользователя, дискреционное управление доступом, атрибут пользователя, верификация секретов, связывание пользователь-субъект, статический атрибут, принудительноe управление доступом, функциональные требования, экспорт данных пользователя, мандатное управление доступом, управление информационными потоками, иерархические атрибуты безопасности, метка безопасности, набор категорий, импорт данных пользователя, роли безопасности, требования доверия, неформальная модель политики безопасности, ролевое управление доступом, разделение обязанностей, иерархия ролей, FMT, безопасное состояние, база данных ролей, межсетевой экран, целый, экранирование, сервис безопасности, эталонная семиуровневая модель, пакетная фильтрация, комплексное экранирование, политика безопасности, информация, одноразовый пароль, операторы, администрирование, инициализация, общие критерии, FIPS, компонент, входной, интерфейс, пакетный фильтр, сервер-посредник, FTP, анонимность, псевдонимность, невозможность ассоциации, трансляция адресов, слово, криптография, шифрование, доверенный канал, сетевые угрозы, активный аудит, сенсор, подозрительная активность, автоматическое реагирование, масштабируемость, менеджер, агент, анализ, значение, очередь, сигнатура атаки, анализ защищенности, аудит безопасности, соответствие политике безопасности, пороговый анализ, статистический анализ, сигнатурный анализ, генерация данных аудита безопасности, разрыв соединения, операции, симметрия, поиск, логические выражения, решатель, монитор, группа, программное обеспечение промежуточного слоя, переход в небезопасное состояние, функции безопасности, безопасность интерфейсов, конфиденциальность, классификационная схема, функциональный пакет, предположения безопасности, класс, вывод, изделие ИТ, анонимизатор, приватность, FPR, сеть, опыт, многоаспектная информационная безопасность, субъект информационных отношений, скрытность, путь, knowledge, угрозы безопасности, маскарад, перенаправление потока, цели безопасности, объект, потоки данных, место, пользователь, адрес, формальная модель политики безопасности, проект верхнего уровня, анализ скрытых каналов, распределение доверия, устойчивость к отказам, архитектурные требования, безопасность повторного использования, информация ограниченного доступа, работ, выход, выпуск сертификатов, аннулирование сертификатов, управление сертификатами, центр выпуска и аннулирования сертификатов, статус сертификата, хранилище сертификатов, криптографический модуль, компонентная архитектура, электронная цифровая подпись, имитовставка, хранение секретных ключей, процедура разделения знаний, устранение недостатков, FPA, автообнаружение, атака, администратор безопасности, имитация атаки

Биометрическая идентификация и аутентификация

Системы биометрической идентификации и аутентификации, общие сведения о которых можно найти в курсе [ 91 ] "Основы информационной безопасности", весьма актуальны и интересны с точки зрения оценки их безопасности. В данном разделе рассматривается профиль защиты [ 30 ] , разработанный специалистами Министерства обороны США для оценки коммерческих продуктов, применяемых в среде со средними требованиями к безопасности.

Наиболее интересная (и самая большая по объему) часть в этом профиле - описание угроз, которым подвержены системы биометрической идентификации и аутентификации, что наводит на определенные размышления.

Первой упомянута угроза случайного прохождения злоумышленником чисто биометрической процедуры идентификации и аутентификации. Если база биометрических шаблонов велика, то уже этот метод атаки, не требующий ничего, кроме нахальства, может принести успех. Вообще говоря, биометрические системы подвержены ошибкам первого ( успешная идентификация и аутентификация лица, не являющегося уполномоченным пользователем ) и второго ( неправомерный отказ в доступе уполномоченному пользователю ) рода. Величины допустимых расхождений эталонного и представленного биометрических шаблонов входят в число параметров безопасности. Неквалифицированный администратор, желая уменьшить число отказов уполномоченным пользователям, способен чрезмерно повысить вероятность ошибки первого рода.

Вторая угроза - мимикрия под атакуемого субъекта (подражание его голосу, попытки воспроизвести подпись и т.п.). Биометрические данные трудно скрыть, поэтому лучше изначально предполагать, что они общеизвестны, и строить защиту, исходя из этого предположения.

Для компрометации биометрических систем могут применяться искусственные средства идентификации (например, желатиновые муляжи глаз). В контролируемой среде подобным артефактом воспользоваться трудно, однако контроль возможен не всегда.

В биометрической базе данных некоторые элементы могут быть "слабее" остальных, т. е. их легче атаковать. Нередко причина заключается в низком качестве биометрического шаблона в сочетании с высокой вероятностью ошибки первого рода. Например, можно использовать как эталонные несколько образцов подписи, имеющих существенные различия. Другой пример - слишком тихая, с паузами речь при запоминании голоса пользователя. "Зашумление" биометрических шаблонов - косвенная угроза, способствующая появлению слабых элементов. Для защиты рекомендуется выявление и удаление (замена) подобных шаблонов.

Злоумышленник с помощью технических средств способен зашумлять каналы связи между частями биометрической системы, чтобы заставить администратора увеличить вероятность ошибок первого рода.

"Атака на близнеца" - угроза, реализуемая в том случае, если в биометрической базе оказываются данные о людях с похожими характеристиками (это могут быть и настоящие близнецы, один из которых - злоумышленник).

Возможно использование "остаточных" биометрических данных от предыдущего пользователя, а также воспроизведение подобных данных.

Неквалифицированные действия штатного администратора и злоумышленные - уполномоченного пользователя, не являющегося администратором, могут привести к изменению значений разного рода параметров безопасности и ослаблению защиты, в частности, изменению или порче базы биометрических данных.

Возможные недостатки в протоколировании и аудите биометрической системы повышают ее уязвимость, поскольку некоторые атаки длительное время остаются незамеченными.

Выделим ряд специфических функциональных требований:

  • мониторинг целостности данных функций безопасности (FPT_ITT.3). Требуется обнаружение модификации данных, передаваемых между разделенными частями объекта оценки; при обнаружении ошибки целостности следует уведомить администратора и запротоколировать это событие;
  • противодействие физическому нападению (FPT_PHP.3). Функции безопасности должны противодействовать нарушению физической целостности объекта оценки, а также применению электромагнитных и иных зашумляющих устройств.
  • Для мер доверия выбран четвертый оценочный уровень, что можно считать стандартным (общим) решением.
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова
Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
Валентина Конюхова
Валентина Конюхова
Россия, Казань, КГТУ им.А.Н.Туполева (КАИ), 2008