2.4.4 Идентификация и аутентификация

Идентификация и аутентификация пользователя это разные действия. Первое, что делает пользователь, соединяясь с компьютером, это идентификация. Цель этой операции состоит в вводе пользователем своего пользовательского имени, личного кода, итд. Этот идентификатор должен быть зарегистрирован в базе данных пользователей. Затем система проверяет, является ли пользователь тем, за кого себя выдаёт. Это проверка идентификатора (личтности) пользователя, или аутентификация пользователя.

При аутентификации от пользователя требуется подтвердить свою личность, и для этого за основу берутся следующие понятия:

• Что-то, что пользователь знает
• Что-то, что у пользователя есть
• Что-то, чем пользователь является.

В первом случае метод аутентификации в общем состоит из запроса пароля. Введённый пароль сравнивается с сохранённымн паролем, и, если они совпадают, пользователь аутентифицирован.

Во втором случае аутентификация происходит, например, при помощи чип-карты, которую пользователь должен вставить в считывающее устройство.

В третьeм случае аутентификация происходит на основе физиологических параметров (биометрия), например отпечатков пальцев.

Благодаря своей простоте аутентификация с помощью пароля получила наибольшее распространение. Основная слабость этого метода в том, что пароль часто трудно сохранить в секрете. Хороший пароль (например, случайная комбинация букв) достаточно надёжен, но часто пользователи предпочитают пароли, которые легко запомнить (например, важные даты). Такие пароли легко подобрать, и существуют базы данных распространённых паролей и программы, использующие это базы данных для незаконного проникновения в компьютерные системы через Интернет. Пароль можно похитить визуально или с помощью электронного слежения: сотрудник может подсмотреть пароль при вводе его на клавиатуре, или может использовать программу, напоминающая процедуру аутентификации, чтобы пользователь непреднамеренно свой ввёл сам.

Для защиты паролей от прослушивания, нужно применять их одностороннее шифрование, т.е. алгоритм хеширования. Хеширование это алгоритм одностороннего шифрования, при котором вычисляется контрольная сумма какого-то файла, которая всегда одна и та же, если только файл не изменён (например Sh2). Пароли в системе сохраняются в зашифрованном виде и их невозможно расшифровать к изначальному виду. Для проверки введённого пользователем пароля, пароль зашифровывается тем же алгоритмом хеширования, и полученный результат сравнивается с сохранённым в системе. Если аутентификация происходит через терминал, то на сервер не передаётся незашифрованный пароль, а применяется метод вызова-ответа (Challenge-Response) вместе с техникой шифрования.

Симметричные криптосистемы не годятся для эффективной аутентификации. Например, проиcходит покупка товара через интернет с помощью кредитной карты: если покупатель и продавец договорились использовать симметричный ключ, то сообщение, содержащее номер кредитной карты, можно открыть с помощью договорённого ключа. Но как безопасно обмениваться ключом симметричного шифрования междy партнёрами? Ключ нельзя просто переслать, поскольку третье лицо может захватить ключ и с его помощью расшифровать отправленный номер кредитной карты. Поэтому современные каналы безопасной связи используют для аутентификации ассиметричное шифрование.

В ассиметричном шифровании используются два ключа шифрования, которые связаны другс другом сложным алгоритмом шифрования, (например RSA), который исключает получение одного ключа из другого. Данные, зашифрованные одним ключом, можно расшифровать с помощью другого, и наоборот. Один из ключей называется открытым, поскольку он доступен каждому, а другой закрытым, поскольку доступен лишь пользователю. Таким образом, один пользователь, знающих открытый ключ второго пользователя, может послать ему защищённые данные, расшифровать которые сможет только тот пользователь своим личным ключом. Для распознания пользователя при использовании цифровой подписи, пользователь зашифровывает хеш передаваемых данных своим закрытым ключом, а для проверки аутентичности пользователя можно расшифровать переданный хеш открытым ключом пользователя и сравнить с хешем, полученному по этому же документу. Ассиметричное шифрование лежит в основе инфраструктуры открытого ключа и на сегодня считается самым безопасным средством защиты данных и аутентификации.

Рисунок 2‑14. Примемение цифровой подписи (Иточник: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Процедура сильной аутентификации должна содержать несколько и ранее описанных механизмов аутентификации. Примером сильной аутентификации является аутентификация цифровой подписью, для чего пользователю нужно представить свой личный ключ с помощью чип-карты, доступ к которой в свою очередь защищён паролем.

ШИПКА ПИ — ОКБ САПР

Одним из важнейших механизмов защиты информации от несанкционированного доступа является процедура идентификации пользователя.

Идентификация пользователя может осуществляться как программными механизмами (с использованием логина — последовательности символов, вводимых вручную с клавиатуры, позволяющей идентифицировать субъект), так и аппаратными (с использованием специального устройства, предоставляющего уникальный набор символов, позволяющий идентифицировать обладателя устройства).

Требования по реализации процедуры идентификации и аутентификации определяются руководящими документами в области защиты информации. При этом аппаратная идентификация/аутентификация относительно программной меры имеет статус дополнительной, усиливающей.

Например, утвержденный ФСТЭК России методический документ «Меры защиты информации в государственных информационных системах» предъявляет следующие требования к реализации меры защиты ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА:

«В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.

Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации — определенной комбинации указанных средств.

В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами…».

Одним из усилений данной меры защиты является следующее:

«В информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ».

Очевидно, аппаратная реализация механизма идентификации в силу физической изолированности обеспечивает эффективную защиту от НСД наиболее важных процедур и данных, используемых при аутентификации в информационных системах.

Продукты, разработанные в «ОКБ САПР», поддерживают работу с аппаратными идентификаторами различных видов: TM-идентификаторы DS-1992, DS-1993, DS-1996, смарт-карты, USB-устройства, USB-ключи вида eToken, JaCarta «ACOSxx», «ESMART Token xx», считыватели биометрических данных и др.

Кроме того, для реализации механизма аппаратной идентификации в «ОКБ САПР» разработан ПАК «ПИ ШИПКА», обеспечивающий идентификацию пользователя в автоматизированных системах обработки данных путем реализации функции предоставления уникального номера USB-устройства «ПИ ШИПКА» по запросу.

ПАК «ПИ ШИПКА» может использоваться в качестве персонального идентификационного устройства при идентификации/аутентификации как в различных программных продуктах, так и программно-аппаратных изделиях и комплексах (например, СЗИ НСД «Аккорд-АМДЗ», ПАК СЗИ НСД «Аккорд»).

ПАК «ПИ ШИПКА» включает в себя:

• аппаратную базу — USB-устройство «ПИ ШИПКА»;
• встраиваемое программное обеспечение «ПИ ШИПКА»;
• программную надстройку — специальное программное обеспечение (СПО) «ПИ ШИПКА», устанавливаемое в ОС СВТ.

Для использования ПАК «ПИ ШИПКА» требуется следующий минимальный состав технических и программных средств:

• IBM-совместимый ПК, поддерживающий работу устройств по интерфейсу USB стандарта 1.1. или 2.0;

• установленная операционная система (семейства Windows (32-битная, 64-битная) или семейства Linux (32-битная)), поддерживающая спецификацию протокола обмена данными CCID Rev.1.1 посредством соответствующего системного CCID-драйвера;

• свободный разъем USB.

7.1. 3.X. Меры по защите информации

Функциональные возможности по защите информации ПО «ОИК Диспетчер НТ» соответствуют следующим базовым наборам мероприятий по защите информации АСУ ТП:

1. Идентификация и аутентификация субъектов доступа и объектов доступа

1.1. Идентификация и аутентификация пользователей, являющихся работниками оператора. Сопровождается записью в журнал аудита.

1.2. Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных. Аутентификация удалённых контроллеров в ПО «ОИК Диспетчер НТ» обеспечивается с использованием соответствующих протоколов аутентификации.

1.3. Управление идентификаторами, в том числе создание, присвоение, изменение, уничтожение идентификаторов.

1.4. Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.

1.5. Исключение отображения для пользователя действительного значения аутентификационной информации.

2. Управление доступом субъектов доступа к объектам доступа (УПД)

2.1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей.

2.2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.

2.3. Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование автоматизированной системы управления.

2.4. Ограничение неуспешных попыток входа в автоматизированную систему управления (доступа к системе).

2.5. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.

2.6. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно — телекоммуникационные сети.

3. Регистрация событий безопасности

3.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения.

3.2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.

3.3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.

3.4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти.

3.5. Генерирование временных меток и (или) синхронизация системного времени в автоматизированной системе управления.

3.6. Защита информации о событиях безопасности.

3.7. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей.

4. Обеспечение целостности

4.1. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.

4.2. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.

5. Обеспечение доступности

5.1. Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование.

5.2. Периодическое резервное копирование конфигурации на резервные машинные носители информации.

5.2. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала

5.3. Кластеризация информационной системы.

7. Защита автоматизированной системы и ее компонентов

7.1. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

7.2. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов.

7.3. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации.

7.4. Перевод автоматизированной системы или ее устройств (компонентов) в заранее определенную конфигурацию (откат), обеспечивающую защиту информации, в случае возникновении отказов (сбоев).

Понимание идентификации и объединения IEEE* 802.11

Проверки подлинности
Аутентификация 802.11 — это первый шаг в области сетевого вложения. Для аутентификации с использованием технологии 802.11 требуется мобильное устройство (станция) для идентификации его идентификации с помощью точки доступа или широкополосного беспроводного маршрутизатора. На данном этапе шифрование или безопасность данных недоступны.

Институт инженеров по электротехнике и электронике (IEEE) стандарта 802.11 определяет два типа аутентификации на уровне ссылок:

• Открытая система
• Общий ключ

Открытая аутентификация системы
Открытая аутентификация системы включает два сообщения:

1. Во-первых, запрос на аутентификацию отправляется с мобильного устройства, содержаного идентификацию станции (обычно MAC-адрес).
2. Затем ответ аутентификации от ap/router с сообщением об успехе или неисправности.

Общая аутентификация ключа
При общей аутентификации ключей общий ключ или passphrase устанавливается вручную на мобильном устройстве и на ap/маршрутизаторе. Сегодня доступно несколько типов общей аутентификации ключей для домашних или офисных сред WLAN:

Эквивалентная конфиденциальность проводного (WEP)
Для безопасной WLAN не рекомендуется использовать weP. Главный риск безопасности — это хакеры, запечатлеющие шифруемую форму кадра аутентификации, используя доступные программные приложения и используя информацию для взлома шифрования WEP.

Защищенный доступ к Wi-Fi (WPA)
WPA соблюдает стандарт безопасности беспроводной связи и значительно повышает уровень защиты данных и контроля доступа (аутентификации) для беспроводной сети. WPA обеспечивает проверку подлинности и обмен ключами IEEE 802.1X и работает только с динамическими ключами шифрования. Пользователи могут видеть различные конвенции наименования для WPA в домашних условиях или средах малого бизнеса. Примеры: WPA-Personal, WPA-PSK, WPA-Home. Общий предварительно общий ключ (PSK) должен быть сконфигурирован вручную для клиентского и ap/маршрутизатора.

Защищенный доступ Wi-Fi 2 (WPA2)
WPA2 — это повышение безопасности для WPA. Пользователи должны убедиться, что конфигурация мобильного устройства и AP/маршрутизатора имеет эту же версию WPA и предварительно общий ключ (PSK).

Ассоциации
После завершения аутентификации мобильные устройства могут связать (зарегистрироваться) с AP/маршрутизатором для получения полного доступа к сети. Объединение позволяет AP/маршрутизатору записывать каждое мобильное устройство для правильной доставки кадров. Объединение возникает только в сетях беспроводной инфраструктуры, а не в одноранговом режиме. Станция может быть ассоциирована только с одним ap/router одновременно.

Процесс объединения:

1. Мобильное устройство аутентификация на AP/маршрутизатор и отправка запроса объединения.
2. Ap/маршрутизатор обрабатывает заявку объединения. Поставщики AP/маршрутизаторов могут иметь различные реализаций для принятия решения о допустимой клиентской заявке.
   • Когда точка доступа/маршрутизатор предоставляет объединение, оно отвечает кодом статуса 0 (успешно) и кодом объединения (AID). Aid используется для идентификации станции для доставки буферных кадров при включении энергосбережения.
   • Запросы на объединение, не включенные в заявку на регистрацию, содержат только код состояния, и процедура заканчивается.
3. AP/маршрутизатор передает кадры в мобильное устройство или с него.

Понимание идентификации и объединения IEEE* 802.11

Проверки подлинности
Аутентификация 802.11 — первый шаг в области сетевого вложения. Для аутентификации 802.11 требуется мобильное устройство (станция) для идентификации его идентификации с помощью точки доступа или широкополосного беспроводного маршрутизатора. На данном этапе шифрование или безопасность данных недоступны.

Институт инженеров по электротехнике и электронике (IEEE) стандарта 802.11 определяет два типа аутентификации на уровне ссылок:

• Открытая система
• Общий ключ

Открытая аутентификация системы
Открытая системная аутентификация состоит из двух коммуникаций:

1. Во-первых, запрос на аутентификацию отправляется с мобильного устройства, содержаного идентификацию станции (обычно MAC-адрес).
2. Затем ответ аутентификации от ap/router с сообщением об успехе или неисправности.

Общая аутентификация ключей
При общей аутентификации ключей общий ключ или passphrase устанавливается вручную на мобильном устройстве и на ap/маршрутизаторе. Сегодня для домашних или небольших офисных сред WLAN доступно несколько типов общей аутентификации ключей:

Эквивалентная конфиденциальность проводного (WEP)
WeP не рекомендуется для безопасной WLAN. Главный риск безопасности — это хакеры, которые запечатлели шифруемую форму кадра аутентификации, используя доступные программные приложения и используя информацию для взлома шифрования WEP.

Защищенный доступ к Wi-Fi (WPA)
WPA соблюдает стандарт безопасности беспроводной связи и значительно повышает уровень защиты данных и контроля доступа (аутентификации) для беспроводной сети. WPA обеспечивает проверку подлинности и обмена ключами IEEE 802.1X и работает только с динамическими ключами шифрования. Пользователи могут видеть различные конвенции наименования для WPA в домашних условиях или средах малого бизнеса. Примеры: WPA-Personal, WPA-PSK, WPA-Home. Общий предварительно общий ключ (PSK) должен быть сконфигурирован вручную для клиентских и точках доступа/маршрутизатора.

Защищенный доступ Wi-Fi 2 (WPA2)
WPA2 — это повышение безопасности для WPA. Пользователи должны убедиться в конфигурации мобильного устройства и ap/маршрутизатора, используя ту же версию WPA и предварительно общий ключ (PSK).

Ассоциации
После завершения аутентификации мобильные устройства могут связать (зарегистрироваться) с AP/маршрутизатором для получения полного доступа к сети. Объединение позволяет ap/маршрутизатору записывать каждое мобильное устройство для правильной доставки кадров. Объединение возникает только в сетях беспроводной инфраструктуры, а не в одноранговом режиме. Станция может одновременно связываться только с одним AP/маршрутизатором.

Процесс объединения:

1. Мобильное устройство аутентификация на AP/маршрутизатор и отправка заявки на объединение.
2. Ap/маршрутизатор обрабатывает заявку объединения. Поставщики AP/маршрутизаторов могут иметь различные реализаций для принятия решения о допустимой клиентской заявке.
   • Когда точка доступа/маршрутизатор предоставляет объединение, он отвечает кодом статуса 0 (успешно) и кодом объединения (AID). Aid используется для идентификации станции для доставки буферных кадров при включении энергосбережения.
   • Заявки на объединение, не включенные в заявку на регистрацию, содержат только код состояния, и процедура заканчивается.
3. AP/маршрутизатор передает кадры в мобильное устройство или с него.

Методы, средства и процедуры обеспечения доверенного процесса начальной загрузки ЭВМ

Таныгин, М. О. Методы, средства и процедуры обеспечения доверенного процесса начальной загрузки ЭВМ / М. О. Таныгин. — Текст : непосредственный // Молодой ученый. — 2011. — № 9 (32). — С. 77-79. — URL: https://moluch.ru/archive/32/3638/ (дата обращения: 21.05.2021).

Идентификация и аутентификации пользователя – важнейший процесс в системе обеспечения информационной безопасности. Ошибки при проведении аутентификации сказываются критическим образом на работоспособности всей ЭВМ в целом и её подсистемы разграничения доступа в частности. Как указывалось в [], идентификация и аутентификация пользователей в системах защиты информации (СЗИ) должны быть отделены от идентификации пользователя механизмами операционной системы (ОС). Это обеспечивает дополнительный барьер на пути проникновения злоумышленника в систему, а так же делает безопасным сам процесс, ограждая его возможных уязвимостей в самой ОС.

Аппаратная идентификация является наиболее надёжным механизмом опознавания пользователя. Она предполагает наличие у пользователя специального устройства ввода идентификационных признаков (УВИП), на котором записан его персональный идентификатор. При начальной загрузке ЭВМ данной УВИП предъявляется (подносится к считывателю, вставляется в интерфейсный разъём), и персональный идентификатор считывается СЗИ.

В настоящей статье мы рассматриваем особенности идентификации и аутентификации в программно–аппаратных СЗИ, в которых функции проверки правомочности доступа, идентификации пользователя и хранения атрибутов безопасности ложатся на аппаратную часть – устройство защиты информации (УЗИ), а программные модули лишь обеспечивают взаимодействие системы с ОС и поддерживают пользовательский интерфейс. В подобных системах возможны два способа проведения аппаратной идентификации: с использованием изолированных от ЭВМ интерфейсов для обмена данными между УЗИ и УВИП и с использованием стандартных интерфейсов ЭВМ.

Первый из данных способов подразумевает обмен данным между УВИП и компьютером через какую-либо физическую среду и специализированное устройство сопряжение, обеспечивающее преобразование сигналов от УВИП в форму, обрабатываемую программным обеспечением компьютера. Преимущества такого подхода очевидны: данные от УВИП (идентификаторы пользователя, ключи шифрования, контрольные суммы данных, коды синхронизации) могут быть переданы без угрозы их компрометации возможными деструктивными программами, работающими в системе. С дрогой стороны, подобные данные могут быть перехвачены с использованием технических средств, воспринимающих побочные электромагнитные излучения и наводки [].

Второй же подход более уязвим для угроз, связанных с деструктивными программами и программными закладками, но устойчив к возможным утечкам по техническим каналам, так как обнаружить передачу каких-то конкретных данных в электромагнитном шуме от компьютера очень сложно.

В рамках настоящей статьи мы рассмотрим методы и средства обеспечения доверенной загрузки в системах, использующих идентификаторы, подключаемые к стандартным интерфейсам ЭВМ, то есть так, как показано на рисунке 1.

Рис. 1 – Идентификация с помощью устройства ввода идентификационных признаков, подключаемого к стандартным интерфейсам компьютера

Любая доверенная загрузка должна происходит путём выполнения основных процедур безопасности и настройки СЗИ до загрузки операционной системы. Реализуется это путём расширения BIOS (ПО BIOS) во время процедуры POST []. Обычно, для устройств расширения этот код записан в ПЗУ, отображаемом на часть верхней памяти ЭВМ. То есть, вместо исполнения кода ПО BIOS происходит переадресация на код ПО, записанный в энергонезависимой памяти устройства расширения При этом устройством расширения может быть как УЗИ, так и УВИП. Исполняя загрузочный код СЗИ, ЭВМ, и, пожалуй, наиболее важное – передачу идентификатора пользователя из УВИП в УЗИ и, при необходимости, ввод пользователем пароля. После этого (при условии успешности идентификации, управление передаётся стандартному загрузчику ЭВМ)

Остановимся подробнее на тех операциях, которые необходимо выполнять загрузочному коду СЗИ.

Первое – это контроль неизменности аппаратной конфигурации, целостность отдельных областей жёсткого диска (например, областей с программным кодом программных компонентов СЗИ), целостность BIOS.

Второе – передача считанного с УВИП идентификационного признака (последовательности чисел, характеризующей каждого пользователя) в УЗИ. Передача идентификатора происходит, когда в ЭВМ не загружена ни одна программа. Тем самым обеспечивается изолированность канала передачи идентификатора от остальных программ. Возможны исключения, когда в системе присутствуют загрузочные вирусы или вирусы, искажающие BIOS [], но для этого предусмотрен контроль целостности компонентов ЭВМ

Третье – обеспечение процедур настройки параметров безопасности. Под настройкой параметров безопасности может пониматься широкий круг процедур. Это и передача в УЗИ атрибутов доступа аутентифицированного пользователя, и передача отдельных участков кода программного обеспечения и особо секретных данных с УВИП на жёсткий магнитный диск, и определение режимов работы пользователя (администратор, пользователь, гость) и .т.д.

Четвёртое – обмен сеансовыми секретными параметрами между всем компонентами СЗИ: УВИП, УЗИ, программным обеспечением. Иными словами, устанавливается доверительный канал обмена данными между программными компонентами СЗИ и её аппаратной частью для исключения возможности несанкционированного вмешательства в работу системы защиты. С помощью этих секретных параметров, неизвестных посторонним программным средствам источник командных слов осуществляет преобразования над пакетами передаваемых данных, а приёмник по этому пакету опознаёт их как выданные именно этим легальным источником, а никакими другими. Так же с их помощью можно осуществляться шифрование пакетов, что обеспечит невозможность контекстного анализа данных, передаваемых между компонентами СЗИ В системах, где подобный параметр является сеансовым, то есть действует некоторое время, а затем генерируется вновь, встаёт проблема, как из аппаратной части передать в программное обеспечение (или наоборот) этот ключевой параметр, чтобы он не был перехвачен действующими в системе программными закладками. Варианты решения данной проблемы в различных программно–аппаратных системах могут быть разнообразны. Нас же интересуют системы защиты данных на постоянных носителях, исполненные в виде интерфейсных экранов [, ], фильтрующих команды на доступ к данным в соответствии с атрибутами доступа и правилами политики безопасности, хранящимися в их памяти. Для таких систем наиболее удачным представляется решение, связанное с непосредственной записью сгенерированного УЗИ ключевого параметра на жёсткий диск компьютера, в области, где записан код программного обеспечения. При перезагрузке ПО эти новые параметр окажутся в памяти программы уже как константы и будут использованы им для обеспечения безопасной передачи данных. Конечно, они могут быть выявлены путём анализа содержимого исполняемого кода с помощью дизассемблеров и отладчиков или выявлены с помощью контроля изменений вносимых в файлы. Однако, с помощью элементарных методов защиты от отладки, эти уязвимости можно если не устранить полностью, то существенно снизить вероятность их использования злоумышленником.

Таким образом, в настоящей работе рассмотрены основные проблемы, возникающие при проведении аппаратной идентификации пользователя специализированными системами защита информации обозначены те необходимые процедуры безопасности, выполнение которых обеспечивало бы снижение вероятности нарушения работы систем защиты информации и получения несанкционированного доступа к данным ЭВМ.

Работа выполнена при поддержке гранта Президента РФ для государственной поддержки молодых российских ученых — кандидатов наук (Конкурс — МК-2010). Шифр МК-3642.2010

Литература:

1. Таныгин, М.О. Анализ угроз и выработка практических рекомендаций по построению программно–аппаратных средств защиты информации на постоянных носителях [Текст] // Молодой ученый. – 2010 – №8 – С. 179 – 181.

2. Таныгин, М.О., Типикин А.П. Архитектура системы аппаратного ограничения доступа к информации на жестком диске ЭВМ [Текст] // Телекоммуникации. – 2006. – №3. – С.44 – 46.

3. Торокин, А.А. Основы инженерно-технической защиты информации [Текст] – М.: «Ось-89», 1998. – 336 с.

4. Конявский, В.А. Управление защитой информации на базе СЗИ НСД «АККОРД» [Текст] / В.А.Конявский– М.: Радио и связь, 1999 – 325 с.: ил.

5. Фейнштайн, К. Защита ПК от спама, вирусов, всплывающих окон и шпионских программ [Текст] / Кен Фейнштайн – М.: НТ Пресс, 2005. – 240 с. : ил.

6. Таныгин, М.О Методы аутентификации устройств защиты информации и управляющих программных средств [Текст] / М.О Таныгин, Типикин А.П. // Телекоммуникации. – 2005. – №9. – С.37 – 42.

Основные термины (генерируются автоматически): BIOS, программное обеспечение, данные, система, аппаратная идентификация, аппаратная часть, загрузочный код, ключевой параметр, операционная система, персональный идентификатор.

IA-3 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВА

Последнее обновление страницы:

Соответствие PCF

Виртуальные машины, которые создаются в развертывании PCF, создаются BOSH в существующей инфраструктуре IAAS в выделенной частной подсети.
Все устройства, «допущенные» к этой подсети, определяются авторизованным оператором BOSH. например нет положения о внешнем управлении устройство для получения адреса в частной подсети через, e.грамм. DHCP и EAP. Кроме того, контролируемое распределение учетных данных IPsec предотвращает обмен данными между внешними управляемыми виртуальными машинами в частной подсети PAS.
Допуск клиентских устройств конечных пользователей к сети, маршрутизируемой в PCF, является обязанностью разработчика.

Описание управления

Информационная система однозначно идентифицирует и аутентифицирует [Назначение: определенные организацией конкретные и / или типы устройств] перед установлением [Выбор (одно или несколько): локальный; удаленный; подключение к сети.

Дополнительное руководство

Организационные устройства, требующие уникальной идентификации и аутентификации между устройствами, могут определяться типом, устройством или комбинацией типа / устройства. Информационные системы обычно используют либо совместно используемую известную информацию (например, адреса управления доступом к среде [MAC] или протокола управления передачей / Интернет-протокола [TCP / IP]) для идентификации устройства, либо решения для аутентификации организации (например, IEEE 802.1x и Extensible Authentication Protocol [EAP ], Radius-сервер с аутентификацией EAP-Transport Layer Security [TLS], Kerberos) для идентификации / аутентификации устройств в локальных и / или глобальных сетях.Организации определяют требуемую стойкость механизмов аутентификации по категориям безопасности информационных систем. Из-за проблем, связанных с применением этого элемента управления в больших масштабах, организациям рекомендуется применять этот элемент управления только к тому ограниченному количеству (и типу) устройств, которые действительно нуждаются в поддержке этой возможности.

Управление идентификацией и аутентификацией людей и устройств — CISSP: Домен 5 — Управление идентификацией и доступом (IAM)

Мы собираемся продолжить обсуждение в Разделе 2 «Управление идентификацией и аутентификацией людей и устройств».Итак, этот процесс получения доступа, мы собираемся исследовать, как он на самом деле происходит. Это возможность доступа к информации и управления ею, и она должна быть активирована в процессе инициализации после утверждения руководством. Как я описал ранее, процесс определения того, что может потребоваться конкретному предмету, должен быть отделен от фактического осуществления этой потребности. Итак, процесс начинается с идентификации, которая представляет собой логическую или физическую характеристику, используемую в качестве утверждения идентичности.Затем следует проверка подлинности, которая предлагается для проверки этого утверждения и преобразования его в удостоверение. Мы следуем за этим с помощью авторизации, которая связывает эту личность, однажды установленную, с привилегированным профилем или профилем возможностей. И, конечно же, она должна заканчиваться подотчетностью, которая включает в себя две задачи. Один из них — это учет, то есть запись всех доступов и других действий, которые будет совершать личность, и аудит, который представляет собой просмотр всех записей таких действий.

Таким образом, идентификация — это утверждение уникальной личности или электронной личности для человека или возраста, персонажа, человеческой личности или системы, которая является отправной точкой для любого доступа, который должен быть предоставлен или, в этом отношении, запрещен. Без надлежащей идентификации было бы невозможно определить, как применять соответствующие меры контроля. И действительно, как определить субъект, который вообще что-то предпринимает.

В части аутентификации этого процесса это процесс проверки личности пользователя, где они предлагают уникальную характеристику, которая подтверждает утверждение личности, которое делает этот субъект.И этот дополнительный элемент должен использоваться вместе с заявлением о идентичности, но сам по себе должен быть отдельной характеристикой в ​​целом. Как только субъект аутентифицирован, мы можем подключить его к профилю, который определяет, к каким ресурсам можно получить доступ и какие действия могут быть предприняты в отношении этого профиля ресурсов. Авторизация сама по себе является процессом определения конкретных ресурсов, которые пользователь имеет право иметь, и определения типа доступа, который этот субъект будет иметь к этим ресурсам, как было определено, когда руководство разъяснило роль этого пользователя, что привело к определению этого конкретного профиля.

Итак, отношения атрибутов и действий таковы. Идентификация устанавливает уникальность, аутентификация подтверждает заявление об идентичности, авторизация — это механизм, с помощью которого мы реализуем контроль, а подотчетность подтверждает действия субъектов, как положительные, так и отрицательные. Со временем, конечно, появилось много разных способов идентифицировать субъектов. Они стали именами пользователей. Когда-то они были идентификатором пользователя, в основном произвольной символьной строкой, обычно составленной по какой-то схеме.Номер счета, например, у вас в банке. Персональный идентификационный номер или ПИН-код. А затем некоторая форма цифровой идентификации, которая является эквивалентом этих других элементов.

У нас, конечно же, есть пропуски — еще одна форма идентификации. Сейчас это очень распространенная форма физической идентификации и авторизации в организациях, основанная на характеристиках физической идентификации. Это означает, что обладатель значка официально признан и имеет определенный статус в организации.На некоторых значках отображается много информации, на других значках может отображаться очень мало или вообще не отображаться. Большинство бейджей будут содержать название или логотип организации, имя и фотографию владельца. Поскольку он обладает этими характеристиками, считается, что он обеспечивает гораздо более надежный механизм безопасности. И он используется множеством способов для входа в безопасные зоны объектов в сочетании со считывателями, которые извлекают информацию с карты для ее обработки, сравнивают ее с сохраненным профилем, а затем, в зависимости от результата, разрешают или запрещают доступ с докладчиком. этой карты.

ID пользователя был одной из первых форм идентификации. Как я уже упоминал, это была произвольная символьная строка, обычно построенная по какой-то схеме, возможно, для отдела, возможно, для физического местоположения. Но он был назначен человеку, когда ему был разрешен доступ к системе или пространству, но сам идентификатор пользователя, однозначно идентифицирующий человека, связанного с ним, сам по себе должен был не раскрывать, в отличие от имени пользователя, которое, как правило, ваше имя, за которым следуют другие характеристики.

У нас, конечно же, есть вездесущий номер счета или личный идентификационный номер. Теперь этот номер учетной записи действительно обеспечивает уникальную идентификацию для пользователя, который является ее владельцем. Персональный идентификационный номер может предоставить это, и он может предоставить информацию аутентификации заявленной идентичности, связанной с номером учетной записи.

Теперь мы должны идентифицировать всех людей, которые будут получать доступ к этим вещам, но понятие идентификации должно распространяться на различные ресурсы внутри системы.Одним из наиболее часто используемых является управление доступом к среде передачи или MAC-адрес. Теперь этот MAC-адрес представляет собой 48-битный аппаратный номер, предположительно уникальный в глобальном масштабе, который назначается сетевой карте на каждом компьютере.

Теперь, аналогично MAC-адресу, у нас есть IP-адрес. Компьютерам, использующим сетевые протоколы TCP / IP, назначается IP-адрес. В отличие от MAC-адреса, это логически назначенный адрес устройству, связанному с MAC-адресом, и он используется сетью, устройствами, маршрутизаторами, коммутаторами и т. Д., Чтобы гарантировать, что устройства сгруппированы в логические группы, сети. , подсети и т.п., и что они однозначно идентифицируются, чтобы информация, предназначенная для маршрутизации к той или иной из них, не была ошибочно маршрутизирована.

У нас есть RFID, радиочастотная идентификация. Теперь это бесконтактная технология автоматической идентификации, которая использует радиочастотную сигнализацию для идентификации и отслеживания практически любого актива, человека, транспортного средства или другого объекта, который можно отслеживать с помощью этой технологии. RFID обычно не требует прямого контакта или прямой видимости для работы. Система RFID состоит из нескольких компонентов. Один из них представляет собой интегральную схему для модуляции и демодуляции радиосигналов и антенну для приема и передачи сигнала.

Некоторые формы, которые мы находим очень часто, представляют собой RFID-метки, которые не содержат интегральной схемы. Они сделаны из волокнистых материалов, которые отражают часть сигнала считывающего устройства, и уникальный обратный сигнал может использоваться в качестве идентификатора. Это тип, который мы обычно находим в книгах в таких магазинах, как Barnes and Noble. Читатель, имеющий форму пистолета, излучает луч, бирка отражает луч обратно к читателю, и тогда читатель может почувствовать, какие книги находятся на полках, вместо того, чтобы физически пересчитать их все, и может обнаружить книги, у которых есть были сбиты с толку с большой легкостью.

Таким образом, типичные компоненты включают тег, считыватель и внутреннюю базу данных, в которой хранятся различные значения, присвоенные этим тегам RFID. Теперь каждая метка RFID предназначена для уникального идентификационного кода, связанного с объектом, в котором она находится. Считыватель будет излучать низкоуровневое магнитное поле радиочастоты, которое возбуждает метку, метка отвечает запросом считывателя и объявляет о своем присутствии. с помощью радиоволн, передавая свои уникальные идентификационные данные. Затем данные декодируются устройством чтения и передаются в локальную систему приложений через промежуточное программное обеспечение.А промежуточное программное обеспечение действует как интерфейс между считывателем и прикладной системой RFID, включая его внутреннюю базу данных, где хранятся различные значения, возвращаемые тегами.

подвержены различным видам атак, таким как подслушивание или сканирование. Эти сигналы радиопоследовательности, передаваемые от метки и считывающего устройства, могут быть обнаружены другими радиоприемниками на расстоянии нескольких метров. Следовательно, неавторизованный пользователь может получить доступ к данным, содержащимся в метке RFID, если легитимные передачи не защищены должным образом, например, с помощью шифрования.

Это означает, что эти сигналы подлежат анализу трафика лицом, имеющим соответствующее оборудование для обнаружения радиочастот. Даже если данные тегов защищены, можно использовать инструменты анализа трафика для отслеживания предсказуемых ответов тегов в течение определенного периода времени. Сопоставление и анализ данных создает картину движения, социальных взаимодействий или финансовых транзакций. Злоупотребление этим анализом трафика оказывает прямое влияние на конфиденциальность. Например, злоупотребление этим позволит кому-то, читающим сигналы, выяснить, какие книги кто-то может получить в библиотеке или купить в книжном магазине без его ведома, тем самым нарушив и поставив под угрозу их конфиденциальность.

Подобные системы подвержены спуфингу. На основе собранных данных можно выполнить спуфинг тегов, вставив их в радиочастотный сигнал или отключив теги.

Эти системы также подвержены атакам типа «отказ в обслуживании» или даже для распределенных атак типа «отказ в обслуживании». Теперь атака отказа в обслуживании против инфраструктуры RFID может произойти, если, например, была повреждена большая партия тегов. Представьте на мгновение, что книжный магазин получает партию из 1000 книг с различными бирками.Сами теги из-за собственного производственного процесса были сделаны несовершенными, а это означает, что считыватель не сможет правильно прочитать сигналы. А учитывая объем книг, для исправления ситуации потребуется много ручного труда. В то же время несовершенные теги будут непригодны для использования.

Это такие системы, как RFID, отсутствие необходимости в прямой видимости или физическом контакте иногда считается небольшим риском или даже угрозой для личной жизни.Широко распространенная RFID-маркировка товаров на уровне товаров вызывает обеспокоенность общественности по этому поводу. Люди могут быть профилированы и отслежены без их ведома или согласия теми, у кого есть соответствующее оборудование для считывания RFID и которым нет необходимости присутствовать или контактировать со статьей, они могут читать ее на расстоянии, вне поля зрения человека, который обладающий статьей.

Теперь необходимо установить правила идентификации пользователей, независимо от используемой системы. Поскольку нам необходимо установить уникальность человека, предпочтительно, чтобы какой бы идентификатор ни использовался, он не был описательным, что означает, что он ничего не раскрывает о своем владельце.И что у нас есть процесс, обеспечивающий безопасную выдачу этих учетных данных, чтобы они не могли быть перехвачены или перехвачены любым другим лицом.

Итак, при реализации управления идентификацией у нас есть несколько вещей, о которых мы должны позаботиться. Технологии, используемые в этом, включают элементы, которые будут иметь дело с управлением паролями, управлением учетными записями, управлением профилями, управлением каталогами и формой, которая объединяет многие из этих вещей, единый вход.

Теперь управление паролями состоит из политик, стандартов и правил сложности, связанных с использованием паролей, и ими необходимо управлять единообразно в масштабах всего предприятия, чтобы у нас был уникальный, но согласованный уровень правил и соблюдения политики.

Сейчас существует множество различных типов систем управления паролями. Они устанавливаются для единообразного управления паролями на предприятии. Обычно они достигаются с помощью центрального инструмента, способного синхронизировать пароли в нескольких системах. А с облачными вычислениями и множеством серверных систем синхронизация паролей в нескольких системах действительно является очень важной проблемой.

Кроме того, у нас есть управление счетами. Теперь эти системы пытаются упростить администрирование идентификации пользователей в этих множественных системах.Иногда они совместимы, иногда несовместимы по нужным им формам, правилам паролей, которые они могут применять, и так далее.

Теперь наши системы управления учетными записями обычно включают одну или несколько из следующих характеристик. Будет центральное средство управления доступом пользователей к нескольким системам одновременно. Существует система рабочего процесса, гарантирующая, что все шаги, которые необходимо выполнить, пройдены и ни один из них не будет пропущен. Он должен следить за автоматической репликацией данных, чтобы обеспечить согласованный сбор учетных данных и систем, в которых эти учетные данные существуют.Должно быть средство для загрузки пакетных изменений в каталоги пользователей, и должен быть способ облегчить автоматическое создание, изменение или удаление доступа к системным ресурсам. Например, человек, имеющий доступ к трем-четырем или более системам. Если нам придется пройти и рассмотреть все отдельные системы по отдельности, есть очень хороший шанс, что мы упустим одну или несколько. Возможность делать это автоматически обеспечивает более плавное и менее затратное администрирование.

Теперь, в управлении профилями, это набор информации, связанной с определенным идентификатором или группой, и может включать в себя множество факторов, таких как имя пользователя и пароль, очевидно, имя человека, связанного с этим идентификатором пользователя и паролем. , номер телефона, адрес электронной почты, домашний адрес, дата рождения, информация, связанная с привилегиями, и многое другое, выходящее далеко за рамки того, что вы можете найти в обычной телефонной книге.Теперь, что касается управления профилем, выбранные элементы должны быть тщательно защищены, потому что, как вы видите в этом списке, есть ряд личных характеристик, которые будут нарушением конфиденциальности человека, если они будут раскрыты любому неавторизованному администратор или другое лицо. Но как минимум предпочтительнее использовать идентификатор пользователя, имя, номер телефона, адрес электронной почты.

На этом мы подошли к концу нашего первого модуля в обсуждении пятого домена, управления идентификацией и доступом.Обязательно вернитесь к оставшимся модулям, когда мы продолжим обсуждение. Спасибо.

Устройство аутентификации — обзор

Управление физическим доступом

Многие из методов управления доступом, которые мы обсуждали в этой главе, можно применить как к физической, так и к логической безопасности. Когда речь идет о контроле физического доступа, мы часто в значительной степени озабочены контролем доступа людей и транспортных средств.

Контроль доступа для людей часто сводится к контролю за входом и выходом из зданий или сооружений.Мы можем видеть простые примеры таких элементов управления на зданиях многих организаций в виде значков, управляющих открыванием дверей в помещение или внутри него (то, что у вас есть, из главы 2). Такие значки обычно настраиваются в ACL, который разрешает или запрещает их использование для определенных дверей и регулирует время суток, в которое они могут быть использованы.

Одной из наиболее распространенных проблем с контролем физического доступа является задержка доступа. Отслеживание происходит, когда мы аутентифицируемся с помощью меры контроля физического доступа, такой как использование значка, а затем другой человек следует прямо за нами, не аутентифицируясь.Отслеживание может вызвать множество проблем, включая доступ посторонних лиц в здание и создание неточного представления о том, кто на самом деле находится в здании, в случае возникновения чрезвычайной ситуации.

Мы можем попытаться решить проблему несанкционированного доступа различными способами, от реализации политики, запрещающей это, до размещения охранника в этой зоне, до простой (но дорогостоящей) установки решения для контроля физического доступа, которое позволяет пройти только одному человеку. за один раз, например турникет.Все это разумные решения, но, в зависимости от рассматриваемой среды, могут быть или не быть эффективными. Мы часто обнаруживаем, что для разработки полного и полного решения требуется комбинация нескольких решений.

Гораздо более сложным примером этого типа контроля доступа, с которым знакомы многие люди, является система безопасности, используемая во многих аэропортах. В частности, после террористических атак 11 сентября в США, мы стали свидетелями повышения уровня безопасности в аэропортах, большая часть которого была ориентирована на контроль доступа.После того, как мы вошли в систему безопасности аэропорта, мы должны предъявить посадочный талон и удостоверение личности (то, что у вас есть, дважды). Затем мы обычно выполняем ряд шагов, чтобы убедиться, что мы не несем никаких опасных устройств, что является формой контроля доступа на основе атрибутов. Затем мы идем к выходу на посадку и еще раз предъявляем посадочный талон, чтобы сесть в самолет. Такие процессы могут немного отличаться в зависимости от страны, в которой мы путешествуем, но в целом они одинаковы с точки зрения контроля доступа.

Контроль физического доступа к транспортным средствам часто сводится к предотвращению въезда указанных транспортных средств в районы или через них, в которых мы не хотим, чтобы они находились. Это часто достигается за счет использования различных простых барьеров, включая барьеры из Джерси, такие как показанные на рис. 3.5, болларды, односторонние полосы с шипами, заборы и аналогичные инструменты. Мы также можем видеть более сложные установки, которые включают в себя подъемные шлагбаумы с персоналом или без человека, автоматические ворота или двери и другие подобные предметы.

Рисунок 3.5. Барьер Джерси [8]

Конечно, существует огромное количество других средств контроля и методов физического доступа, которые мы здесь не обсуждали. Кроме того, когда мы говорим об устройствах контроля физического доступа или контроле доступа в целом, грань между устройством аутентификации и устройством контроля доступа часто становится довольно размытой.

Авторизация и контроль доступа в реальном мире

Мы видим, что авторизация и контроль доступа используются в нашей личной и деловой жизни почти постоянно, хотя те части, которые нам сразу видны, — это средства контроля доступа.Рассматривая конкретно элементы управления логическим доступом, мы можем увидеть, как они используются, когда мы авторизуемся в компьютерах или приложениях, когда мы отправляем трафик через Интернет, когда мы смотрим кабельное или спутниковое телевидение, когда мы звоним на наши мобильные телефоны, и в тысячах других мест. В некоторых случаях такие меры видны нам и требуют от нас ввода пароля или ПИН-кода, но большая часть из них происходит в фоновом режиме, полностью невидимым для задач, которые мы выполняем, и о которых заботятся технологии, которые упрощают наши задачи.

Что касается средств контроля физического доступа, мы тоже довольно часто их видим, хотя нам может не показаться, что мы их видим. Большинство из нас носит с собой набор ключей, которые позволяют нам получить доступ к нашим домам, машинам и другим устройствам, и это учетные данные для доступа к ним. Многие из нас также носят бейджи, которые позволяют нам получить доступ к нашим местам работы, школам и другим местам. Мы также можем видеть элементы управления доступом, которые управляют движением транспортных средств при повседневном использовании в зонах, ориентированных на транспортные средства, таких как гаражи и стоянки в аэропортах, а также в непосредственной близости от зон с высоким уровнем безопасности, таких как Белый дом в Соединенных Штатах.

Руководство по идентификации и аутентификации в доверенных системах

                                                              NCSC-TG-017
                                                       Библиотека № 5-235,479
                                                                  Версия 1

                                   ПРЕДИСЛОВИЕ
Руководство по идентификации и аутентификации в доверенных системах
предоставляет набор передовых практик, связанных с идентификацией и аутентификацией (I&A).Мы написали это руководство, чтобы помочь сообществу поставщиков и экспертов по оценке:
соответствовать требованиям I&A, а также уровню детализации, необходимому для
Я и А на всех классах, как описано в Надежных компьютерных системах Министерства обороны.
Критерии оценки. В целях обеспечения руководства мы даем рекомендации в
это техническое руководство, не являющееся требованиями Критериев.

Руководство I & A - последнее из серии технических руководств, опубликованных Национальной
Национальный центр компьютерной безопасности.Эти публикации предоставляют информацию для доверенных лиц.
Требования к критериям оценки компьютерных систем для поставщика компьютерной безопасности
и технический оценщик. Цель программы технических рекомендаций - обсудить
детально проработать каждую особенность критериев и предоставить правильную интерпретацию с
конкретное руководство.

Национальный центр компьютерной безопасности разработал агрессивную программу по
изучать и внедрять технологии компьютерной безопасности. Наша цель - поощрять
широкая доступность проверенных компьютерных продуктов для использования любой организацией
желая лучшей защиты своих важных данных.Один из способов сделать это -
Программа оценки надежных продуктов. Эта программа фокусируется на функциях безопасности
серийно выпускаемых и поддерживаемых компьютерных систем. Мы оцениваем про-
возможности обнаружения в соответствии с установленными критериями, представленными в Trusted Comput-
er Критерии оценки системы. Эта программа и открытый и кооперативный бизнес
отношения с компьютерной и телекоммуникационной отраслями, приведут к
выполнение требований безопасности информационных систем нашей страны.Мы решаем
решить задачу выявления надежных компьютерных продуктов, подходящих для использования в профессиональных
отказ от деликатной информации.

 Я приглашаю ваши предложения по пересмотру этого технического руководства. Мы рассмотрим это
документ по мере необходимости.






Патрик Р. ГАЛЛАХЕР-МЛАДШИЙ. 1 сентября 1991 г.
Директор
Национальный центр компьютерной безопасности
 

                                БЛАГОДАРНОСТИ

    Национальный центр компьютерной безопасности пользуется особым признанием и
благодарность Джеймсу Андерсону и лейтенантуCoI. Рэйфорд Вон (США) как
соавторы этого документа. Лейтенант Патриция Р. Тот (USN) получила признание за разработку
этого руководства, и капитан Джеймс А. Муйзенберг (USAF) признан за его
редактирование и публикация.

    Мы хотим поблагодарить многих членов сообщества компьютерной безопасности, которые
с энтузиазмом посвятили свое время и технический опыт изучению этого руководства
и предоставление ценных комментариев и предложений.


































                                      ii
 

                               ОГЛАВЛЕНИЕ

                                   ПРЕДИСЛОВИЕ.................................................
БЛАГОДАРНОСТИ 11
1.0 ВВЕДЕНИЕ 1
     1.1 Предпосылки 1
     1.2 Цель 1
     1.3 Объем 1
     1.4 Цель управления 2

2.0 ОБЗОР ПРИНЦИПОВ 3
     2.1 Цель I&A 3
     2.2 Процесс I&A 4
     2.3 Аспекты эффективной аутентификации 5
     2.4 Безопасность аутентификационных данных 9

3.0 СОБЛЮДЕНИЕ ТРЕБОВАНИЙ TCSEG 11
     3.1 C1 Требования 11
          3.1.1 Требования к I&A 11
          3.1.2 Другие связанные требования 11
          3.1.3 Комментарии 11
     3.2 Требования C2 12
          3.2.1 Требования к I&A 12
          3.2.2 Другие связанные требования 12
          3.2.3 Комментарии 13
     3.3 81 Требования 14
          3.3.1 Требования к I&A 14
          3.3.2 Другие связанные требования 14
          3.3.3 Комментарии 15
     3.4 82 Требования 15
          3.4.1 Требования к I&A 15
          3.4.2 Другие связанные требования 16
          3.4.3 Комментарии 16
     3.5 83 (и A1) Требования 16
          3.5.1 Требования к I&A 16
          3.5.2 Другие связанные требования 17
          3.5.3 Комментарии 17


                                      iii
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





4.0 ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ 19
     4.1 Что-то, что знает пользователь (метод типа 1) 19
     4.2 Что-то, что есть у пользователя (метод типа 2) 20
     4.3 Что-то, чем является пользователь (метод типа 3) 21
     4.4 Комментарии 21

ГЛОССАРИЙ 25
БИБЛИОГРАФИЯ 29





























                                      iv
 

1.0 ВВЕДЕНИЕ

1.1 ИСТОРИЯ ВОПРОСА
    Основная цель Национального центра компьютерной безопасности (NCSC) состоит в том, чтобы
мужество повсеместной доступности надежных компьютерных систем. В поддержку этого
цель NCSC создал метрику, DoD Trusted Computer System Evaluation Cri-
teria (TCSEC) [3], по которым можно оценивать компьютерные системы.

    TCSEC был первоначально опубликован 15 августа 1983 года как CSC-STD-001-83. В
В декабре 1985 года Министерство обороны приняло его с некоторыми изменениями в качестве
Стандарт Министерства обороны США, DoD 5200.28-СТД. Директива Министерства обороны США 5200.28, Securi-
ty Требования к автоматическим информационным системам (A 155) [11], требует TCSEC
использоваться во всем Министерстве обороны. TCSEC - это стандарт, используемый
для оценки эффективности мер безопасности, встроенных в службы безопасности Министерства обороны США.

    TCSEC разделен на четыре подразделения: D, C, B и A. Эти подразделения
упорядочены в иерархическом порядке, с высшим разделом (A), зарезервированным для
системы, обеспечивающие наилучший доступный уровень уверенности и безопасности.Внутри подразделений
C и B - это подразделения, известные как классы, которые также упорядочены в иерархическом порядке.
способ представления различных уровней безопасности в этих подразделениях.

1.2 ЦЕЛЬ
    Этот документ предоставляет поставщикам руководство по разработке и внедрению
эффективные механизмы идентификации и аутентификации (l & A) в своих системах. Это
также написан, чтобы помочь поставщикам и оценщикам понять требования I&A. Экзамен-
Содержащиеся в этом документе не являются единственным способом идентификации или аутентификации.
тикация.Рекомендации не являются дополнительными требованиями к TCSEC.
Единственной мерой соответствия TCSEC является сам TCSEC.

1.3 ОБЪЕМ
    Компьютерная безопасность основана на понятии контроля доступа между
Пользователи AlS и данные в AlS. Концепция контролируемого доступа основана на
установление идентифицирующей информации для пользователей AlS, чтобы эта информация могла
использоваться для определения того, имеет ли пользователь надлежащий допуск или удостоверение личности, чтобы принять
получить доступ к заданному объекту данных.Таким образом, требования I&A являются центральными для
 
 ИДЕНТИФИКАЦИЯ И РУКОВОДСТВО ПО АУТЕНТИФИКАЦИИ





системы идентификации и аутентификации пользователей, и, таким образом, обеспечение соблюдения
Политики обязательного контроля доступа (MAC) и дискреционного контроля доступа (DAC).
I&A также предоставляет механизму аудита информацию, необходимую для связи
отношения с конкретными пользователями.

1.4 ЦЕЛЬ КОНТРОЛЯ
    Идентификация является частью цели контроля подотчетности.Подотчетность
цель управления гласит:

"Системы, которые используются для обработки или обработки секретной или другой конфиденциальной информации.
обязательство должно гарантировать индивидуальную подотчетность всякий раз, когда обязательное или дискреционное
активирована обычная политика безопасности. Кроме того, для обеспечения подотчетности возможность
должен существовать для авторизованного и компетентного агента для доступа и оценки учетной записи -
информацию о возможностях безопасным способом, в разумные сроки и без
из неоправданных трудностей."[3, с. 76]

    Основное требование идентификации гласит:

«Отдельные субъекты должны быть идентифицированы. Каждый доступ к информации должен быть медиа-
редактируется в зависимости от того, кто имеет доступ к информации и к каким классам информации они
уполномочены иметь дело с. Эта идентификационная и авторизационная информация должна быть
надежно поддерживаются компьютерной системой и связаны с каждым активным
элемент, который выполняет некоторые важные для безопасности действия в системе."[3, стр. 4]




















                                       2
 

2.0 ОБЗОР ПРИНЦИПОВ
    Требования к идентификации и аутентификации встречаются во всех
оценочные классы. Они напрямую связаны в том смысле, что «идентификация» - это утверждение
кто пользователь (всемирно известный), тогда как «аутентификация» является доказательством идентификации.
Аутентификация - это процесс подтверждения заявленной личности.Процедура l & A-
Характеристики системы имеют решающее значение для правильной работы всех других доверенных вычислений.
базовые (TCIS) функции безопасности.

2.1 ЦЕЛЬ ИиП
    Эффективность процедур I&A напрямую влияет на возможности других УТС.
механизмы для выполнения своей функции. Например, сила механизма аудита
и уверенность в правильности аудита зависит от механизма контроля и аудита.
низм. Если L&A успешно обойти, то все проверенные действия станут ненадежными.
возможно, потому что неверный идентификатор может быть связан с проверяемыми действиями.В этом
В смысле, требование l&A является основой для других функциональных требований TClB.
(фигура 1).

    TCB, используя структуры данных, относящиеся к безопасности, контролирует доступ к системе, де-
прекращает авторизованный доступ к объектам в системе и связывает проверенные
действия * с конкретными людьми в зависимости от их личности.

    При контроле доступа к системе TCIS действует как первая линия защиты.
Как только TCIS идентифицирует пользователя как уникальную сущность или члена группы, она затем
точно определяет, какие права доступа могут быть назначены пользователю повторно.
Spect к данным, защищаемым системой.Если система имеет рейтинг С1, сгруппируйте



                AUDIT DAC MAC;


                       ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
                                    #фигура 1


   Аудит механизмов & A начинается с C2.



                                       3
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





членство обеспечивает достаточную степень детализации для выполнения требований L&A.В
Системы с рейтингом C2 или выше, принудительное исполнение должно осуществляться на уровне отдельного пользователя.
Системы на уровнях B и A применяют политику обязательного контроля доступа и используют
механизм l&A для установления авторизованного уровня или уровней безопасности, на которых
пользователь будет работать во время данного сеанса.

    Личность пользователя определяет, какие функции или привилегии он может выполнять.
безопасность в системе. В некоторых системах (например, системах транзакций) функциональный доступ
может быть преобладающим выражением политики безопасности.Распространенный случай функционального
доступ во многих системах - это контроль доступа к офису безопасности системы.
функции cer, основанные на его личности.

    Назначение устройства также может определять функции или привилегии пользователя.
может тренироваться по системе. Например, те же физические механизмы, защищающие
системное оборудование обычно защищает устройство, обычно называемое "контролем оператора".
sole. "Пользователь этого устройства обычно подвергается более строгому физическому контролю и
административные процедуры, чем другие пользователи системы.В некоторых случаях ac-
доступ к устройству подразумевает физический доступ к данным (всем носителям), которые
УТС отвечает за защиту. В системах с рейтингом B1 и ниже требования l и A
может быть расслаблено для пользователя пульта оператора, если устройство защищено
те же механизмы физической безопасности, защищающие саму систему.

    Функции аудита в доверенных системах являются обязанностью УТС. Безусловно, аккуратно
идентификация рейтинга отдельного пользователя необходима для правильной атрибуции действий
принимаются системой от имени человека.Опять же, сила l&A
механизм напрямую влияет на надежность и уверенность в правильности аудиторских функций.

2.2 ПРОЦЕСС L&A
    Процесс идентификации и аутентификации (обычно называемый «Iogin») начинается с
пользователь, устанавливающий связь с TCB. (В B2 и выше TCB это
выполняется путем вызова доверенного пути, который, как гарантируется, является незыблемым

----------------------------

   * Дискреционный контроль доступа, применяемый на уровне C и выше, зависит от эффективных и
надежный я и А.** См. Интерпретации ct -cl-02-83 и ci -cl-04-86 в NCSC DockMaster Eva __Announcements
Форум. B2 и выше требуют, чтобы оператор входил в систему, но вход оператора в B1 и ниже не является обязательным.


                                       4
 

                                                         ОБЗОР ПРИНЦИПОВ



канал связи между пользователем и TCIS).
Используя TCIS, пользователь идентифицирует себя (т.е., претензии - личность). Либо как часть
передача, требующая идентичности, или в ответ на запрос от TCIS,
пользователь предоставляет один или несколько элементов аутентификации в качестве подтверждения личности.

    TCIS, используя заявленные элементы идентификации и аутентификации в качестве параметров,
проверяет предоставленную информацию по базе данных аутентификации. Если информация-
От пользователя удовлетворяет процесс проверки TClB, TCIS завершает вход в систему
установив сеанс пользователя и связав личность пользователя и разрешение доступа
троллить информацию с этой сессией.В системах C1-C2 эта информация управления доступом
может быть просто записью личности пользователя для сравнения с информацией управления доступом.
связь с файлами. В системах 191-Al TClIS также связывает определенный
уровень безопасности (в пределах допустимого диапазона для пользователя) с сеансом пользователя для использования в
принятие решений об обязательном управлении доступом.

    На уровне C2 и выше TCB может регистрировать (проверять) успех или неудачу
новый логин. Если вход в систему прошел успешно, TCB выполняет все необходимые действия, чтобы
установить сеанс пользователя.2.3 АСПЕКТЫ ЭФФЕКТИВНОЙ АУТЕНТИФИКАЦИИ

    Личность пользователей проверяется одним из трех общих методов: что-то
они знают (тип 1), что-то, что у них есть (тип 2), или то, чем они являются (тип 3).
Хотя требованиям TCSEC может соответствовать ОДИН из этих различных
методы, системы, использующие два или более методов, могут привести к большей безопасности системы.
Системы, использующие только один метод аутентификации, могут быть более уязвимы для заражения.
обещание аутентификатора, поэтому предпочтительны несколько методов.Примеры механизмов типа 1 включают пароли, парольные фразы, PIN-коды (Per-
личные идентификационные номера), а также данные о себе или членах семьи. Тип 2
механизмы включают реальные и электронные ключи, генераторы запросов resport.se и
карточки или бейджи с магнитной полосой. В последнюю категорию, тип 3, входят отпечатки пальцев, не подлежащие повторному использованию.
конечные узоры, узоры ДНК и геометрия рук.

    Чтобы быть эффективными, механизмы аутентификации должны быть уникальными и надежными.
идентифицировать человека.«Аутентификация по знанию» (тип 1) и «аутентификация по
механизмы собственности »(тип 2) ограничены в эффективности только потому, что
общается с человеком одержимостью. Человек обладает знаниями или какими-то

                                       5
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





     Тип 1 = аутентификация посредством знаний (то, что они знают)
     Тип 2 = Аутентификация по собственности (что-то, что у них есть)
     Тип 3 = аутентификация по признаку (что-то такое)
                                   фигура 2

идентифицирующий объект, но поскольку пользователь физически не привязан к аутентификации
информации, аутентификационная информация может быть утеряна, украдена или иным образом передана.
обещал.Что отличает первые два типа, так это то, насколько эффективно каждый из них может быть защищен;
у каждого есть свои преимущества и недостатки. Основная слабость типа 1 - двойная
катион. Мало того, что обычно очень легко узнать что-то, что знает кто-то другой, но и
информацию можно угадать, даже не имея к ней доступа. Нет
специальные инструменты, навыки или оборудование требуются для дублирования "аутентификации по знанию"
край ". Часто можно сломать его простой атакой методом перебора с использованием автозапуска.
совмещенные техники.Самым важным преимуществом этого типа аутентификации является следующее:
пользователь может взять его где угодно и изменить при возникновении компромисса. An-
другим преимуществом является его простота, поскольку такая информация имеет тенденцию легко быть представлена.
ед. в УТС без спец. оборудования. Любые данные аутентификации в конечном итоге должны быть
закодированы в той или иной форме в базе данных аутентификации TCB, и в этом смысле
копия информации должна храниться в TCB, чтобы ее можно было использовать при аутентификации.Поскольку символьная строка обычно может представлять тип 1, ее легко сохранить для дальнейшего использования.
использование УТС.

    Хотя тип 1 легко скопировать, если он действительно уникален, например чушь
слово или число, его может быть легче охранять, чем физический объект. Это потому что
элемент знания, хотя его легко скопировать, всегда полностью принадлежит
человека, которого он идентифицирует. В отличие от ключа, карты или другого физического устройства "аутентификация
по знанию «нельзя украсть, временно оставив сидеть на столе, не может произойти-
счетчик выпадает из кармана, и его часто нельзя насильно украсть, если только человек не украдет
он может проверить его правильность.Тем не менее, простота дублирования делает тип 1 всегда
несовершенная форма аутентификации и, следовательно, требует добросовестной защиты, чтобы повторно
главный эффективный.



                                       6
 

                                                         ОБЗОР ПРИНЦИПОВ



    Для сравнения: «аутентификация по владению» имеет большую силу в трудностях.
культ дублирования. Тип 1, по сути, является примером типа 2. Поэтому, когда мы говорим о
тип 2 мы будем, по соглашению, иметь в виду физический объект, а не элемент знания.
край.Хотя такие предметы требуют больше усилий для защиты от кражи, их можно сделать
с использованием специального оборудования или процедур, которые обычно недоступны. Следовательно, dupli-
их выявление обходится дороже, чем ценность всего, что может быть получено путем фальсификации
их. Это препятствует их дублированию, хотя и не обязательно предотвращает их дублирование.
соединение решительным злоумышленником.

    Третий тип аутентификации, "аутентификация по характеристикам", очень
сильнее первых двух.В конце концов, цель аутентификации - проверить, кто вы
есть, и тип 3 очень тесно с этим связан.

    Основным препятствием для этого типа аутентификации является сложность затрат на строительство.
эффективные периферийные устройства, которые могут получить достаточно полный образец характеристики
чтобы полностью отличить одного человека от другого. Стоимость также является фактором определения
тип 2. Но в типе 3 сам элемент аутентификации может быть разработан для упрощения идентификации.
фиксация УТС.Обычные компьютерные периферийные устройства обычно не могут быть легко подключены.
код «аутентификация по признаку». Хотя может быть легко построить устройства, которые
подтвердить чьи-то отличительные особенности, такие как вес или длина пальца, дополнительные
Более подробная информация, позволяющая полностью отличить одного человека от другого, может служить основанием для
существенно увеличивают стоимость.

    К счастью, достаточно уникальная идентификация не требует каждой детали.
о человеке. Таким образом, специальные методы, такие как снятие отпечатков пальцев или сканирование сетчатки глаза
может использоваться отдельно, что снижает затраты по сравнению с полным исследованием всех
физические атрибуты человека.Даже эти методы требуют больших затрат, чем простые
использование пароля, которое не требует вообще никакого дополнительного оборудования, и они не
гарантированно будет безошибочным. Например, однояйцевые близнецы не будут различимы.
считывателями ДНК, и могут быть не различимы другими спецификациями тестов физического
характеристики. В воображаемом случае полностью идентичных близнецов эти два человека
могут отличаться исключительно по признакам категории "аутентификация посредством знания".
кровавый.Мало того, что различные типы методов аутентификации имеют стоимость и осуществимость -
компромиссы, но адекватная уверенность в аутентификации может потребовать нескольких методов
од. (Каждый из них подвержен ошибкам на самом теоретическом уровне.) Можно было бы


                                       7
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





ожидать большей уверенности от комбинации механизмов типа 1 и типа 2, чем
либо используется отдельно.Точно так же тип 3 может обеспечить большую уверенность, чем комбинация.
ция типов 1 и 2 вместе. Возможные варианты подхода показаны на рисунке 3,
где тип 12 представляет использование механизмов типа 1 и типа 2.

    Прямые сравнения силовых отношений невозможны, если никто не знает
точный механизм реализации; однако можно предположить, что некоторые такие
дружеские отношения вероятны. Кто-то может возразить, что тип 2 сильнее, чем члены типа олово
гарантия, и тип 123, вероятно, сильнее, чем тип 12.Необычные механизмы
может предложить необходимую уверенность на более низких уровнях, тогда как более высокие уровни могут потребовать
комбинации для достижения адекватной уверенности.






                      Возможные подходы аутентификации



                    Тип I Тип 12 Тип 2


                            Тип 13 Тип 23



                                    Тип 3


                   Тип 1 = аутентификация по знаниям
                   Тип 2 = аутентификация по владению
                  Тип 3 = аутентификация по признаку
                                   фигура 3



                                       8
 

                                                         ОБЗОР ПРИНЦИПОВ



2.4 БЕЗОПАСНОСТЬ АУТЕНТИФИКАЦИОННЫХ ДАННЫХ

    Данные идентификации и аутентификации (как и большинство передач) уязвимы для
перехват (например, подслушивание, спуфинг) злоумышленником, находящимся между
пользователь и УТС. Как следствие, связь между пользователем и трастом -
компьютер требует защиты, соизмеримой с конфиденциальностью данных,
системные процессы. Согласно государственным постановлениям, системы, используемые для обработки классификаций
данные должны соответствовать строгим стандартам физической безопасности, которые включают защиту
подключение терминала к TCB.(Эта защита может включать в себя установку
компьютер и его терминалы в физически безопасном месте, защищая кабельные каналы от
между терминалами и компьютером или с использованием криптографии для защиты транзакции.
Для несекретных систем может потребоваться аналогичная защита. Кроме того, 192 и
системы с более высоким рейтингом должны иметь надежные пути.

    Сети предоставляют злоумышленникам множество возможностей для перехвата данных L&A.
Одноразовые пароли могут помочь защититься от такой возможности.Данные аутентификации пользователя должны храниться, защищаться и поддерживаться
УТС. Он должен быть доступен только сотруднику службы безопасности системы (550). Тем не мение,
даже 550 следует запретить видеть фактическую текстовую версию данных
(например, пароли, используемые пользователями.) Чтобы убедиться, что только 550 может входить в
открывать и управлять базой данных l&A, уникальным и, возможно, расширенным специальным
550 процедура идентификации и аутентификации должна быть встроена в TCB.В
TCB следует использовать эту процедуру для проверки идентичности 550 (и, возможно,
устройство), когда этот человек ведет базу данных l&A.

    Помимо перехвата, неправомерные действия оператора или несанкционированный физический доступ
может поставить под угрозу I&A данные. Это может быть сделано путем неправильного обращения с автономными версиями
данные в таких формах, как файлы резервных копий системы, дампы системы, вызванные сбоями, или списки
ings. Чтобы защитить данные I&A от такого рода несанкционированного раскрытия, данные могут быть
хранится в зашифрованном виде.Несколько так называемых односторонних преобразований (необратимых
functions) аутентификационных данных, которые могут выполнять эту функцию (см. Purdy [10]).
Однако, если кто-то использует односторонние преобразования, важно, чтобы оно было истинным не-
обратимое преобразование. Пример того, как произвольное одностороннее преобразование
был сломан, см. статью Дауни [4].





                                       9
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    База данных аутентификации нуждается в защите от общего доступа, независимо от того,
база данных зашифрована или нет.Даже в зашифрованном виде база данных может быть
объект к "атаке по каталогу". (Такая атака была очень успешной в ноябре
Бер 1988 ИНТЕРНЕТ-атака программой сетевого червя. [5]) Атака по каталогу
осуществляется путем шифрования словаря вероятных данных аутентификации (например, пароль
слова). Затем злоумышленник сопоставляет шифрованные тексты базы данных аутентификации.
с зашифрованным текстом словаря для обнаружения законных аутентификаторов. Если данные-
база хранит как идентификацию пользователя, так и аутентификацию в зашифрованном виде,
злоумышленник должен найти идентификатор пользователя И аутентификатор (например,g., пароль) в
КОМБИНАЦИЯ. Однако необходимость защиты механизма трансформации повторно
сеть.


































                                      10
 

3.0 СОБЛЮДЕНИЕ ТРЕБОВАНИЙ TCSEC
    В этой главе описаны требования TCSEC к I&A и их взаимодействие.
ции с соответствующими требованиями TCSEC.3.1 С1 ТРЕБОВАНИЯ

3.1.1 Требования к I&A

«2.1.2.1 Идентификация и аутентификация
TCB должен требовать, чтобы пользователи идентифицировали себя с ним перед началом выполнения
любые другие действия, которые, как ожидается, осуществит УТС. Кроме того, УТС должно
использовать защищенный механизм (например, пароли) для аутентификации личности пользователя.
TCB должен защищать данные аутентификации таким образом, чтобы к ним не мог получить доступ посторонний.
авторизованный пользователь ".

3.1.2 Другие связанные требования

«2.1.1.1 Дискреционный контроль доступа
    Механизм правоприменения (например, личный / групповой / общественный контроль, контроль доступа
списки) должны позволять пользователям определять и контролировать совместное использование этих объектов с помощью именованных
diviauals или определенные группы или и то, и другое ".

3.1.3 Комментарии

    Соответствующее требование дискреционного контроля доступа (DAC), позволяющее пользователям
совместное использование управления определенными группами означает, что достаточно идентифицировать пользователей как память
бер группы.Индивидуальная идентификация НЕ требуется для C1. Таким образом, допустимо
иметь коллективную идентификацию, такую ​​как "Покупка", аутентифицированную паролем,
троллинг доступ к файлу закупок. TCSEC не требует дополнительной информации.
А без индивидуального учета аудит невозможен или не требуется.

    Что такое достаточная аутентификация? Это сложный вопрос, поскольку он взаимодействует
критически с тем, как используется доверенная система, в сочетании с гарантиями и
особенности дизайна, связанные с рейтингами.(См. Руководство по применению Depart-
Критерии оценки доверенных компьютерных систем в конкретной среде
[7].) Требование C1 определяет только использование защищенного механизма.




                                      11
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





и дает, например, пароли. Как обсуждалось в другом месте данного руководства,
пароли могут быть эффективным механизмом аутентификации, если их применять добросовестно.3.2 ТРЕБОВАНИЯ C2

3.2.1 Требования к I&A

«2.2.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, которые, как ожидается, осуществит УТС. Кроме того, УТС должно
использовать защищенный механизм (например, пароли) для аутентификации личности пользователя.
TCB должен защищать данные аутентификации таким образом, чтобы к ним не мог получить доступ посторонний.
авторизованный пользователь. УТС должно иметь возможность обеспечить индивидуальную ответственность путем
предоставление возможности однозначно идентифицировать каждого отдельного пользователя системы ADI.TCB также должен обеспечивать возможность связывания этого идентификатора со всеми автоматическими устройствами.
соответствующие действия, предпринятые этим лицом ".

3.2.2 Другие связанные требования

«2.2.1.1 Дискреционный контроль доступа
    Механизм правоприменения. . . позволяет пользователям определять и контролировать совместное использование
ing оф. . . объекты по. . . определенные группы лиц. . . . Эти права доступа
тролли должны иметь возможность включать или исключать доступ к детализации
Один пользователь..

«2.2.2.2 Аудит
... УТС должно иметь возможность записывать следующие типы событий: использование идентификатора
механизмы фиксации и аутентификации, ... действия, предпринятые оператором компьютера
торов и системных администраторов и / или сотрудников службы безопасности системы. . . . Для каждого
зарегистрированное событие, в протоколе аудита должны быть указаны: дата и время события,
пользователь, тип события и успех или неудача мероприятия. Для идентификации /
события аутентификации источник запроса (например,g., ID терминала) должны быть включены
в протоколе аудита. . . . Системный администратор ADP должен иметь возможность выбирать:
проводить аудит ... одного или нескольких пользователей на основе индивидуальной идентичности ".







                                      12
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ 7CSC




3.2.3 Комментарии

    Начиная с уровня C2, идентифицируются отдельные пользователи. Контроль доступа повторно
требование требует использования индивидуальной идентичности для принятия решений о доступе.lf групповой
доступен контроль доступа, членство в группе основано на личности
человек, а не пользователь, предоставляющий имя группы с помощью аутентификатора. Это
важное различие. С идентификатором группы, коллективным именем и общей аутентификацией.
катор действителен. С индивидуальными идентификаторами, уникальный индивидуальный идентификатор, проверенный через
уникальная аутентификация, используется для определения членства в группе, с группой
затем идентификация используется для доступа к данным.В этой последней реализации система
может проверять действия человека, тем самым обеспечивая индивидуальную подотчетность.

    Требование аудита - ужесточение требования к индивидуальной идентичности.
Это означает, что системный администратор может проверять действия одного или нескольких нас-
эры, основанные на индивидуальной идентичности. L&A должны различать операторов, системных администраторов.
tors, и офицеры безопасности системы от обычных пользователей для записи безопасности
связанные события как действия, инициированные лицами, выполняющими эти роли.Поскольку в-
лица, выполняющие эти роли, также могут быть обычными пользователями системы, это необходимо
essary, чтобы различать людей, когда они действуют как обычные пользователи.

    Например, в одной (сетевой) системе с множеством лиц, выполняющих рекламные
задачи министра или сотрудника службы безопасности, система установила идентификатор, связанный
с выполняемой ролью (например, системный администратор (SA)). В расширенном журнале-
включен, произошла двухэтапная идентификация и аутентификация; сначала как SA, а затем как
человек, выполняющий эту роль.Если человек не был признан одним из
тех, кто авторизовал функции SA, вход в систему завершился, и система провела аудит
мероприятие.

    Записи аудита действий, предпринятых SA, включали индивидуальные
личность. Последующая проверка записей аудита позволила собрать все действия
SA в упорядоченном по времени порядке. В рамках функции SA система определила
лица, выполняющие роль SA. Поскольку это было очень большое международное время-
система совместного использования, два или более человека могут выполнять функции SA совершенно независимо.
однозначно друг друга.Система фиксировала все их действия под идентификатором SA,
и в каждой записи были личности лиц, фактически выполняющих
функция.




                                      13
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    Наконец, соответствующее требование аудита требует идентификации происхождения документов и документов.
События. Приведенный пример взят из терминала, но в некоторых системах это может быть
хранимая пакетная процедура (PROC в некоторых системах), активируемая оператором -оператором из
пульт оператора.В этом случае запись аудита должна содержать как оператор
идентификатор консоли и указание, что оператор выполнил задание для некоторого человека, указанного в
пакетная процедура. Источник соединения часто присоединяется к идентификатору пользователя.
ty, чтобы убедиться, что местоположение терминала одобрено для обработки секретных материалов на
авторизованный уровень пользователя.

3.3 ТРЕБОВАНИЯ B1

3.3.1 Требования к I&A

«3.1.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, которые, как ожидается, осуществит УТС.Кроме того, УТС должно
поддерживать данные аутентификации, которые включают информацию для проверки личности
отдельных пользователей (например, пароли), а также информацию для определения
оформление и авторизация отдельных пользователей. Эти данные будут использоваться
TCB для аутентификации личности пользователя и обеспечения уровня безопасности и
полномочия субъектов, внешних по отношению к УТС, которые могут быть созданы для действий
от имени отдельного пользователя преобладают разрешения и авторизация
этого пользователя.TCB должен защищать данные аутентификации, чтобы к ним нельзя было получить доступ.
sed любым неавторизованным пользователем. УТС должно иметь возможность принудительно применять индивидуальную учетную запись:
способность, предоставляя возможность однозначно идентифицировать каждую отдельную систему ADP
Пользователь. TCB также должен обеспечивать возможность связывания этого идентификатора со всеми автоматическими устройствами.
соответствующие действия, предпринятые этим лицом ".

3.3.2 Другие связанные требования

«3.1.1.4 Обязательный контроль доступа

... Идентификационные и аутентификационные данные должны использоваться УТС для аутентификации.
установить личность пользователя и убедиться, что уровень безопасности и авторизация
субъектов, внешних по отношению к УТС, которые могут быть созданы, чтобы действовать от имени ин-
у отдельного пользователя преобладает допуск и авторизация этого пользователя."





                                      14
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ TCSEC




3.3.3 Комментарии

    B1 - это первый уровень рейтинга, на котором управление доступом и перемещением данных на основе
уровни чувствительности субъектов и объектов. Для непривилегированного пользователя
& Данные используются для определения текущего уровня авторизации пользователя, который TCB
сравнивается со своей пользовательской базой данных, содержащей диапазоны авторизации для каждого пользователя.Если
информация для входа в систему верна и его уровень действителен, TCB позволяет ему в системе.
Затем TCB модерирует доступ к файлам в зависимости от текущего уровня пользователя и
метка файла или объекта, к которому пытается добраться пользователь. Поскольку уровень чувствительности
представлен разрешением и категорией доступа, а также разрешениями на доступ к объекту.
Сознание определяется чувствительностью, связанной с обоими объектами (за пределами
УТС) и объект, авторизация субъекта становится компонентом авто-
требование к трактовке.Значение термина «авторизация» в этом разделе включает функциональные
роли, назначенные отдельным лицам. Авторизации, связанные с ролями пользователей (например, SA,
550, оператор) определяют режимы доступа, которые могут или не могут контролироваться
политика обработки меток (или MAC), в зависимости от конкретной системы. Можно
иметь систему, в которой пользователь, действующий как авторизованный 550, может добавлять новых пользователей, де-
lete пользователей, или изменить их данные аутентификации, чтобы увеличить или уменьшить их
расширенный доступ, и все это без какой-либо метки конфиденциальности, связанной с записями или
550-е акции.Такие действия, конечно, подлежат проверке. Лучший подход
использует механизмы MAC для обеспечения дополнительной поддержки для наименее привилегированных административных
легенда. Здесь пользователь, как 550, по-прежнему должен входить в систему на любом уровне
необходимо делать свою работу.

3.4 ТРЕБОВАНИЯ B2

3.4.1 Требования к I&A

«3.2.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, которые, как ожидается, осуществит УТС.Кроме того, УТС должно
поддерживать данные аутентификации, которые включают информацию для проверки личности индивидов.
визуальные пользователи (например, пароли) в качестве информации для определения допуска
и авторизация отдельных пользователей. Эти данные должны использоваться УТС для аутентификации:
указать личность пользователя и убедиться, что уровень безопасности и авторизация



                                      15
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





субъекты, внешние по отношению к УТС, которые могут быть созданы, чтобы действовать от имени отдельного лица.
пользователем преобладают допуск и авторизация этого пользователя.УТС должно
защищать данные аутентификации, чтобы к ним не мог получить доступ неавторизованный пользователь.
УТС должно иметь возможность обеспечить индивидуальную подотчетность, предоставив возможность
для уникальной идентификации каждого отдельного пользователя системы ADP. УТС также предоставляет
возможность связать эту личность со всеми контролируемыми действиями, предпринимаемыми этим лицом.
ual. "

«3.2.2.1.1 Надежный путь

TCB должен поддерживать доверенный канал связи между собой и []
пользователь для первоначального входа в систему и аутентификации.Связь по этому пути должна быть
инициирован исключительно пользователем ".

3.4.2 Другие связанные требования

«3.2.3.1.4 Trusted Facility Management

УТС должно поддерживать отдельные функции оператора и администратора ».

3.4.3 Комментарии

    Требование доверенного пути - главное дополнение на этом уровне. Уровень B2
это первый уровень рейтинга, обеспечивающий достаточную архитектурную поддержку доверенных путей в
Операционная система. Это требование гарантирует, что на уровне B2 и выше индивид
визуальный вход пользователя в систему - это безупречная связь с TCB, а не какая-то
программа маскируется под УТС.В противном случае пользователь может быть введен в заблуждение.
передать свои данные аутентификации прикладной программе.

    Требование поддержки отдельных функций оператора и администратора может
возложить дополнительную нагрузку на функцию l & A, чтобы различать лиц, действующих в
эти роли. С этой целью (функциональные) авторизации, связанные с аутентификацией.
данные о катионах из требования B1 могут быть эффективно использованы.

3.5 ТРЕБОВАНИЯ B3 (И A1)

3.5.1 l & A Требования

«3.3.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, которые, как ожидается, осуществит УТС. Кроме того, УТС должно


                                      16
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ TCSEC



поддерживать данные аутентификации, которые включают информацию для проверки личности индивидов.
виртуальные пользователи (например,g., пароли), а также информацию для определения зазора
и авторизация отдельных пользователей. Эти данные должны использоваться УТС для аутентификации:
указать личность пользователя и убедиться, что уровень безопасности и авторизация
субъекты, внешние по отношению к УТС, которые могут быть созданы, чтобы действовать от имени отдельного лица.
пользователем преобладают допуск и авторизация этого пользователя. УТС должно
защищать данные аутентификации, чтобы к ним не мог получить доступ неавторизованный пользователь.УТС должно иметь возможность обеспечить индивидуальную подотчетность, предоставив возможность
для уникальной идентификации каждого отдельного пользователя системы ADP. УТС также предоставляет
возможность связать эту личность со всеми контролируемыми действиями, предпринимаемыми этим лицом.
ual. "

«3.3.2.1.1 Надежный путь
TCB должен поддерживать доверенный канал связи между собой и пользователями для
используйте, когда требуется положительное соединение TCB-to-user (например, вход в систему, изменение
уровень безопасности предмета).Связь через этот доверенный путь должна быть активирована ex-
исключительно пользователем или TCB и должны быть логически изолированы и безошибочно
отличим от других путей ".

3.5.2 Другие связанные требования

«3.3.1.1 Дискреционный контроль доступа
TCB должен определять и контролировать доступ между именованными пользователями и именованными объектами.
(например, файлы и программы). . . . Эти средства управления доступом должны иметь возможность определять:
для каждого именованного объекта список именованных лиц и список групп
именованные лица с их соответствующими режимами доступа к этому объекту.Мех-
Кроме того, для каждого такого именованного объекта должна быть возможность указать список
поименованные лица и список групп поименованных лиц, в отношении которых нет доступа
доступ к объекту должен быть предоставлен .... "

3.5.3 Комментарии

    Использование доверенного пути обобщается на случай, когда [когда-либо] положительный TCB-to-user
требуется подключение "не только для входа в систему. В 193 системах другие TCB-to-user общаются.
связи могут продолжаться, отсюда и требование логически изолировать и различать
уберите НАДЕЖНЫЙ путь от всех других путей.Обратите внимание, что TCB может запускать
доверенный путь при необходимости.



                                      17
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    Различие между надежным путем в B3 и надежным путем в B2 зависит от
нужно ли TCB знать о предыдущем контексте. В случае B2 единственный
требование для доверенного пути есть у Иогина. В случае B3 доверенный путь может быть повторно
требуется, чтобы пользователь изменил уровни безопасности или инициировал другой процесс на другом уровне.
уровень безопасности ниже того, на котором он сейчас находится.Пример запуска TCB
доверенный путь может сообщать пользователю, что его уровень безопасности был изменен по запросу -
изд.

    Основное влияние этого требования - установление доверенного пути.
между пользователем (то есть физическим лицом) и УТС, а не субъектом процесса или какими-либо другими
эр пользователь-суррогаты. Для человека, подключающегося к TCB, так же важно быть как-
удостовериться в идентичности TCB, как для TCB, чтобы быть уверенным в идентичности
человек.Ранее работа в области компьютерной безопасности предполагала повторную аутентификацию в качестве
гарантийный механизм для случаев такого рода. Если в системе есть такая возможность-
Обычно время между (повторными) аутентификациями должно быть параметром конфигурации.

    Соответствующее требование дискреционного контроля доступа состоит из двух компонентов;
во-первых, каждый именованный объект (уже управляемый элементами управления обязательным доступом) должен
также находиться под контролем дискреционного доступа. Во-вторых, списки названных лиц или
группы, авторизованные или специально запрещенные в доступе, должны поддерживаться для каждого названного
объект.18
 

4.0 ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ

    Существует множество возможных методов реализации `для идентификации и
аутентификация людей. Задача разработчика TCB заключается в том, как интегрировать
выбранный метод в остальной конструкции УТС таким образом, чтобы выбранная технология-
nique нельзя обойти или проникнуть внутрь.Самый частый метод выявления
люди по-прежнему являются заявленной идентичностью, подтвержденной паролем. Разумный
обсуждение вопросов проведено Хоффманом [8], хотя и не полностью
Spect ко всем проблемам. Следующее обсуждение служит хорошим экзаменом.
ples или только общие рекомендации. Есть много других приемлемых методов l&A.

4.1 ЧТО-ТО ЗНАЕТ ПОЛЬЗОВАТЕЛЯ (МЕТОД ТИПА 1)

    Этот метод почти полностью ориентирован на пароли.В прошлом восемь символов
пароли были более или менее стандартом для большинства систем, предоставляющих пользователю
идентификации и аутентификации, хотя не существует определенного стандарта для
длина слова. Руководство Министерства обороны по управлению паролями [2] rec-
заменяет не менее шести символов. В двух приложениях к этому руководству обсуждается
параметры, влияющие на выбор длины пароля.

    В руководстве также настоятельно рекомендуется автоматизировать создание паролей.А
Описание генератора произносимых паролей можно найти в статье Гассера.
по [6].

    Как указывалось выше, для низших классов достаточно простых паролей.
По мере продвижения в рейтинге система паролей или парольных фраз должна быть:
приходят более сложные. В старших классах схема паролей должна быть
некоторые варианты схем одноразовых паролей или комбинация методов,
как показано на рисунке 3.

    В схеме одноразового пароля система предоставляет пользователю начальную
пароль для подтверждения заявленной личности.Во время первоначального Иогона пользователь
получает новый пароль для следующего входа в систему. В самой ранней концепции этого приложения
кстати, никого не волновало прослушивание телефонных линий, перехватывающих проход пользователей.
словами, поскольку все линии находились в пределах защищенных проводных путей. Единственное беспокойство было за
кто-то маскируется под другого пользователя, не будучи обнаруженным, или для пользователей, написавших:
сбрасывая свои пароли, чтобы они их не забыли.



                                      19
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    В современных приложениях, особенно с персональными компьютерами, используемыми в качестве терминалов,
TCB может зашифровать следующий пароль для пользователя; Пользователь получит свой
следующий пароль, расшифруйте его (личным, уникальным) ключом дешифрования и сохраните для своего
следующая сессия.Другие предложения включают хранение личных данных о человеке, например о вашем
девичья фамилия бабушки, возраст твоего отца, когда он был женат, средний
имя вашей третьей сестры и т. д. Этот метод не соответствует требованиям TCSEC.
по целому ряду причин. Сложно управлять любым разумным количеством
пользователей, и, даже если случайный выбор задачи, общее количество доступных
swers слишком мал. Личная информация, относящаяся к физическому лицу, обычно доступна.
доступный из открытых источников и не защищенный.4.2 ЧТО-ТО ЕСТЬ У ПОЛЬЗОВАТЕЛЯ (МЕТОД ТИПА 2)

    Этот тип содержит несколько артефактных подходов к обеспечению позитивной идентичности
пользователей. Схемы охватывают широкий диапазон, от считывателей магнитных полос до различных
формы ключей зажигания (некоторые с криптографическими подсистемами, другие просто альтернативные
формы считывателя магнитных полос). Интересная форма выражения «что-то есть», что
объединяет артефакт со схемой пароля, типизируется одноразовым паролем
(вызов и ответ) устройство.Устройство представляет собой блок размером с калькулятор, который при нажатии
правильно пользователем с личным идентификационным номером (PIN), генерирует правильный
одноразовый ответ на запрос пароля, выданный хостом сервера.

    Одно только владение устройством не позволяет получить правильную реакцию на
случайный вызов. Чтобы использовать артефакт, необходимо знать ПИН-код. Есть
нет известного способа прочитать PIN-коды, установленные в этом конкретном продукте, поэтому потеря устройства
может быть скорее неудобством, чем серьезным нарушением безопасности, если сообщить:
Эд немедленно.Хотя вполне возможно, что такие устройства могут быть украдены у законного пользователя,
Нарушение прав может быть управляемым, если пользователь не сообщит об убытках немедленно -
Либо или по неосторожности записывает ПИН-код. Кроме того, если усилить механизм
при стандартном парольном подходе для формирования метода типа 12 можно получить много
большая уверенность.





                                      20
 

                                               ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ



    Существует тенденция требовать полной безопасности для простых устройств (запирать их в
сейфы или ограничение места их ношения).Все, что нужно, - это
возможность обнаружения потери или взлома устройства.

4.3 ПОЛЬЗОВАТЕЛЬ (МЕТОД ТИПА 3)

    Эта категория аутентификации включает в себя все биометрические схемы, такие как
считыватели отпечатков пальцев, считыватели отпечатков на губах, сканеры сетчатки глаза, анализаторы ДНК и динамические
подписи читателей. Некоторые утверждают, что эти устройства обладают значительной разрешающей способностью,
практически исключая ложное принятие, сохраняя при этом ложные отказы по причине -
способный уровень.Однако статистический характер принятия или отклонения в некоторой степени ограничен.
вещь для рассмотрения. Мы отметили ранее, что аутентификацию можно удвоить.
механизмы для систем с более высоким рейтингом, поэтому аутентификация основана на двух независимых
элементы вмятины, например считыватель отпечатков пальцев и пароль (метод типа 13).
Такая схема практически исключила бы ложное принятие процедуры l&A. В
двойная схема аутентификации, система не должна принимать ни один из
элементы, если другой элемент также не правильный.Продавцам биометрических устройств труднее, чем тем, кто
палатку с простыми паролями, так как изменить биометрический
измеряемый параметр. Однако можно скопировать биометрическую па-
rameter таким образом, чтобы получить доступ к системе, как если бы она была фактическим пользователем.
Если злоумышленник встает между измерительным прибором и УТС, отсутствует
защищенный путь, он может скопировать чтение для воспроизведения позже.Как это может быть
возможно независимо от используемого метода аутентификации, это предполагает либо мак-
одноразовый элемент аутентификации или защита пути между аутентификациями.
вход катиона (измерение) и TCB против перехвата.

4.4 КОММЕНТАРИИ

    Требования к идентификации и аутентификации сильно подчеркнуты в
направление аутентификации. Один заявляет личность, затем должен доказать это оператору.
система ing. «Теоретически» возможно использовать самоидентифицирующуюся аутентификацию (или
можно назвать самоутентифицирующей идентификацией).Примерами таких может быть

---------------
 
  * Мартин в своей книге сообщил о ложном приеме распознавателя голоса на уровне 1% и геометрии руки.
считыватель от 0,5 до 0,05%, в зависимости от допусков измерения. У распознавателя голоса был ложный
отклонение 1%, в то время как считыватель геометрии руки был «очень низким». [9]


                                      21 год
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





считыватель отпечатков пальцев или анализ ДНК клеток, соскобленных с кожи.Конечно это
всегда (и, вероятно, ошибочно) предполагал, что можно сохранить целостность своего
кожа или отпечатки пальцев. Однако можно было бы скопировать отпечатки пальцев на латексную пленку.
пальцем (или пальцами), и получить участок кожи может быть не так сложно, как
могу представить. Даже для самоидентификационной аутентификации защита аутентификации
катионный механизм является ключом к его успешному применению.

    Как указано выше, если применяется в ситуациях, требующих применения более низкого рейтинга
классы, такие методы, которые сочетают идентификацию и аутентификацию, вполне могут
быть достаточным.В ситуациях, когда требуются более высокие классы, методы могут быть
в сочетании с другим универсальным аутентификатором. Фактически это создает второй доступ
барьер для систем, используемых в ситуациях повышенного риска.

    На сегодняшний день вопрос о том, насколько достаточно аутентификации, не решен.
и является предметом обсуждения между аккредитатором сайта или специалистом по сертификации сайта
и продавец. Может потребоваться несколько механизмов аутентификации для любого
заявленная идентичность для систем более высокого уровня.Как бы эффективно ни было такое требование
может быть, это было бы довольно дорого для множества систем, НЕ на специальных
опасности, но которые используют системы с рейтингом B2 или выше в квазисистеме высокой среды
из-за условий обработки этикеток. (Квазисистемная высокая среда
Это те, где всем пользователям даются все допуски и категории в пределах
организации, но данные должны быть правильно помечены, чтобы контролировать, где они
экспортировано.) Возможно, это точка приложения для подсистемы l&A, чтобы увеличить
один встроенный в УТС.Основная рекомендация - использовать другой базовый механизм.
низм. Если встроенный аутентификатор основан на аутентификации по характеристикам,
& Подсистема может быть либо аутентификацией по владению (тип 2), либо аутентификацией.
ция по знаниям (тип 1). Расхожее мнение гласит, что системы паролей можно
достаточно хорошо, но могут потребоваться более эффективные средства аутентификации.

    В общем, можно было бы ожидать, что в системах с более низким рейтингом будут использоваться более простые механизмы.
системы, чем системы с более высоким рейтингом.В C1 простые механизмы типа 1 или любой из
простейшие схемы артефактов (например, комбинации замков или ключи от запертых дверей для
терминальные помещения для пользователей, известных системе только как определенные группы)
может быть достаточно, в зависимости от сайта, на котором используется система.

    В C2 любая из произвольно произносимых систем паролей или любая из аналогичных
объектный артефакт (например, таблица ответов на запрос) или биометрические системы (например,


                                      22
 

                                               ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ



измерение геометрии руки, межглазного расстояния или других мер Бертильона)
кажутся подходящими.В B1 парольные фразы, произвольно произносимые пароли длиной не менее 8 символов,
схемы запрос-ответ, одноразовые пароли, расширенные артефакты (например, термин
nal Iogon «ключи» или карты с магнитной полосой) или биометрические системы (например, отпечатки пальцев,
изображения сетчатки глаза или голосовые изображения).

    Для более высоких уровней (B2, 03 и Al) аутентификация может быть основана как минимум на
два из трех общих способов подтверждения личности. Карточка с магнитной полосой и
пароль, PIN-код, используемый для запуска устройства запроса-ответа, или биометрического устройства
и пароль могут использоваться в комбинации для увеличения «рабочего фактора» at-
соблазн подорвать или диагностировать параметры аутентификации.Хотя это специально не рассматривается в TCSEC, процесс оценки должен
рассмотрите силу механизма l&A по отношению к классу оценки. В
гарантия, связанная с выбранным механизмом, должна соответствовать оценке:
съел класс.

    Кроме того, прочность механизма L&A также должна основываться на
среда, в которой будет использоваться система, и риск потери данных в системе
Тем. Помните, возможно, что система C2, работающая на высоком уровне системы, с очень
конфиденциальные данные нуждаются в высоконадежном механизме l & A, как и в системе Al
было бы.Интересно отметить, что системы паролей редко дают сбой.
их функции в защищаемых системах. Большая часть сбоев паролей происходит из-за неправильных
выполнение, обмен паролями с иным неуполномоченным лицом, или
меньшее обращение с паролями (по крайней мере, столь же серьезное, как такое же неосторожное обращение с
безопасные комбинации). Некоторые агентства относятся к небрежному обращению с паролями с помощью
такая же степень серьезности, как оставлять сейфы незапертыми и без присмотра.Для нескольких
В системах tilevel, обрабатывающих секретные данные, пароль классифицируется на самом высоком уровне.
el информации авторизовал пользователя, которому она принадлежит.

    Правильно управлять схемой паролей можно при частой смене пароля.
слова и произносимый генератор случайных паролей, используемый для устранения некоторых
более простые атаки на угадывание. Это правда, что люди могут неправильно использовать систему, не лечя
свои пароли должным образом (например, написав их на своих терминалах, намеренно


                                      23
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





раздавать их или позволять наблюдать за ними при использовании).Тем не менее
меньше, низкая стоимость и высокая степень эффективности делают пароли аутентификационными.
Метод выбора для большинства систем.

    Если пользователям разрешено выбирать свои собственные определенные аутентификаторы, их поведение
достаточно стереотипный, чтобы позволить диагностировать и восстановить выбранный подлинный
тион. Это особенно верно в отношении систем, позволяющих пользователям выбирать свои собственные пароли.
Как следствие, техника системного администратора, выполняющая (начальную)
Использование аутентификатора - лучшая практика безопасности, чем кажется на первый взгляд.24
 

                                   ГЛОССАРИЙ

ОБЕСПЕЧЕНИЕ
      Мера уверенности в том, что функции безопасности и архитектура
      автоматизированная информационная система точно посредничает и обеспечивает безопасность
      политика.АУДИТ ТРЕЙЛ
      Хронологическая запись действий системы, достаточная для того, чтобы
      реконструкция, просмотр и исследование последовательности сред
      и действия, связанные с операцией, процедурой или событием или ведущие к ним
      в сделке от ее начала до конечных результатов.

ПОДТВЕРЖДЕНИЕ
      Подтвердите заявленную личность как законную и принадлежащую истцу.

РАЗРЕШЕНИЕ
      Право человека на доступ или использование объекта.КРИПТОГРАФИЯ
      Принципы, средства и методы обеспечения непонятной информации,
      и для восстановления зашифрованной информации в понятной форме.

ДИСКРЕЦИОННЫЙ КОНТРОЛЬ ДОСТУПА (DAC)
      Средство ограничения доступа к объектам на основе личности субъектов
      и / или группы, к которым они принадлежат. Элементы управления являются дискреционными в
      ощущение, что субъект с определенным разрешением доступа способен передавать
      это разрешение (возможно, косвенное) на любой другой предмет.ПРИВИЛЕГИЯ ДИСКРЕЦИОННОГО ДОСТУПА
      Доступ к объектам предоставляется на основе личности субъекта и / или
      группы, к которым они принадлежат.

ДОМИНИРОВАТЬ
      Уровень безопасности S доминирует над уровнем безопасности S2, если иерархическая классификация
      S больше или равно S2, а неиерархические категории
      S, включают все таковые из S2 как подмножество.



                                      25
 

ИДЕНТИФИКАЦИЯ И АУТЕНТИЧНОСТЬ РУКОВОДСТВО



ЛИЧНОСТЬ
      Уникальное имя или номер, присвоенный человеку, использующему систему.НАИМЕНЕЕ ПРИВИЛЕГИИ
      Принцип, который требует, чтобы каждому предмету были предоставлены самые строгие ограничения.
      набор привилегий, необходимых для выполнения авторизованных задач. В
      применение этого принципа ограничивает ущерб, который может возникнуть в результате аварии,
      ошибка или несанкционированное использование.

ОБЯЗАТЕЛЬНЫЙ КОНТРОЛЬ ДОСТУПА (MAC)
      Средство ограничения доступа к объектам на основе чувствительности (как
      представленной меткой) информации, содержащейся в объектах и
      формальное разрешение (т.д., разрешение) субъектов на доступ к информации таких
      чувствительность.

ОБЪЕКТ
      Пассивный объект, который содержит или получает информацию. Доступ к объекту
      потенциально подразумевает доступ к содержащейся в нем информации. Примеры объектов
      это: записи, блоки, страницы, сегменты, файлы, каталоги, деревья каталогов,
      программы, биты, байты, слова, поля, процессоры, видеодисплеи, клавиатуры,
      часы, принтеры и сетевые узлы.

ЭТИКЕТКА ЧУВСТВИТЕЛЬНОСТИ
      Часть информации, которая представляет уровень безопасности объекта и который
      описывает чувствительность (например,g., классификация) данных в объекте. В
      TCB использует метки конфиденциальности в качестве основы для обязательного контроля доступа
      решения.

СПУФИНГ
      Попытка получить доступ к системе, выдав себя за авторизованного пользователя.
      Синоним выдачи себя за другое лицо, маскировки или имитации.

ПРЕДМЕТ
      Активная сущность, как правило, в форме человека, процесса или устройства, которое
      заставляет информацию перемещаться между объектами или изменяет состояние системы.Технически пара процесс / домен.





                                      26
 

                                                                   ГЛОССАРИЙ



НАДЕЖНАЯ ВЫЧИСЛИТЕЛЬНАЯ БАЗА (TCB)
      Совокупность механизмов защиты внутри компьютерной системы, включая
      аппаратное обеспечение, микропрограммное обеспечение и программное обеспечение, сочетание которых `отвечает за
      обеспечение соблюдения политики безопасности. Он создает базовую среду защиты и
      предоставляет дополнительные пользовательские услуги, необходимые для надежной компьютерной системы.В
      способность TCB правильно применять политику безопасности зависит исключительно от
      механизмы внутри TCB и от правильного ввода со стороны администратора системы
      персонал параметров (например, допуск пользователя), связанных с безопасностью
      политика.

НАДЕЖНЫЙ ПУТЬ
      Механизм, с помощью которого человек на терминале может напрямую общаться с
      Надежная вычислительная база. Этот механизм может быть активирован только
      человека или базы доверенных вычислений и не может быть инициирован ненадежным
      программное обеспечение.ПРОВЕРЯТЬ
   Доказать истину путем представления доказательств или свидетельских показаний; обосновать.


























                                      27
 

Идентификация и контроль аутентификации | GitLab

Настройте элементы управления идентификацией и аутентификацией в соответствии с уровнями высокой эффективности FedRAMP с помощью Azure Active Directory

• 26.04.2021
• 10 минут на чтение

В этой статье

Для следующего списка элементов управления (и улучшений управления) в семействе идентификации и проверки подлинности может потребоваться настройка в вашем клиенте Azure AD.

Каждая строка в таблице ниже содержит предписывающие указания, которые помогут вам разработать ответ вашей организации на любые общие обязанности, связанные с контролем и / или улучшением контроля.

IA-02 Идентификация и аутентификация (пользователи-организации)

IA-03 Идентификация и аутентификация устройства

IA-04 Управление идентификаторами

IA-05 Управление аутентификатором

IA-06 Обратная связь с аутентификатором

IA-07 Аутентификация криптографического модуля

IA-08 Идентификация и аутентификация (неорганизационные пользователи)

Конфигурации

Следующие шаги

Настроить контроль доступа

Настройка элементов управления идентификацией и аутентификацией

Настроить другие элементы управления

Почему банкам необходимо выходить за рамки идентификации устройств для обнаружения мошенничества

Финансовые учреждения регулярно используют идентификацию устройства для предотвращения мошенничества и аутентификации пользователей при входе в систему.Это один из многих элементов управления, которые можно использовать для защиты онлайн-взаимодействий. Но, как и в случае с другими инструментами безопасности, которые полагаются на статические меры, киберпреступники находят способы обойти ID устройства. Захват учетных записей пользователей — одна из самых масштабных тактик, и только в 2019 году мошенничество с захватом учетных записей обошлось американским компаниям почти в 7 миллиардов долларов убытков. Во-вторых, финансовые учреждения часто сталкиваются с мошенничеством при открытии счетов и испытывают трудности с точным отделением подлинных заявителей от киберпреступников.Поскольку новых клиентов никогда не было видно, их устройства тоже не появляются, что делает идентификацию устройства бесполезной для защиты открытия счета.

Сегодня 100% мошенничества происходит во время аутентифицированных сессий. Идентификация устройства не работает, поскольку не может обеспечить достаточную видимость, кроме входа в систему и при открытии цифровых учетных записей. Но там, где идентификация устройства прекращается, есть решение, позволяющее обеспечить непрерывную защиту онлайн-сессий: поведенческая биометрия.

Что такое идентификация устройства?

В нашей удаленной цифровой среде идентичность основана на трех аспектах: что вы знаете, что у вас есть и кто вы.

• Что вы знаете: статическая информация, также называемая личной информацией (PII), например пароли, ответ на секретный вопрос или ваш номер социального страхования или номер телефона
• Что у вас есть: уникальный токен или устройство, используемое для подтверждения вашей личности
• Кто вы: биометрические данные, такие как отпечаток пальца или лицо, голос или конкретное поведение пользователя, в зависимости от того, как человек взаимодействует с устройством, например, нажатие на прикосновение и шаблоны прокрутки, или как они вводят информацию в форму
  

Идентификационные данные устройства относятся к категории «то, что у вас есть».Также известный как снятие отпечатков пальцев с устройства, это инструмент, используемый для сбора уникальной информации об устройстве, которую затем можно использовать для привязки устройства к отдельному пользователю. Инструмент будет собирать данные о браузере, операционной системе, подключении к Интернету, IP-адресе, географическом местоположении и многом другом.

Устройства, снимающие отпечатки пальцев, оставляют слепые пятна

Сами по себе первые две категории больше не могут надежно проверять цифровую идентичность. Утечки данных и фишинговые атаки сделали информацию из категории то, что вы знаете, легко доступной для киберпреступников.То, что у вас есть, включая идентификатор устройства, также создает серьезные проблемы. Цифровая идентификация должна быть четко определена, чтобы ее можно было регулярно использовать для проверки того, кем они являются, даже для клиентов, которых финансовое учреждение никогда раньше не видел. Это невозможно с идентификацией устройства по нескольким причинам.

Слишком просто злоумышленникам обойти

Киберпреступники постоянно развиваются, чтобы найти новые способы обхода решений безопасности и аутентификации. Сам по себе идентификатор устройства — это то, что им удалось.Используя несколько методов, киберпреступники могут легко захватить устройство или скрыть свое использование.

• RATs: Большинство решений для аутентификации и предотвращения мошенничества полагаются на известные параметры местоположения устройства и IP-адреса для измерения риска мошенничества. Атаки с помощью средства удаленного доступа (RAT) напрямую обходят идентификацию устройства. Атаки RAT полностью захватывают устройство и создают впечатление, что транзакция исходит от законного пользователя. При наличии RAT системы банка обнаруживают подлинный отпечаток устройства без следов прокси, внедрения кода или вредоносного ПО, а также с правильным IP-адресом и географическим местоположением.С помощью автоматизированных вредоносных сценариев злоумышленники направляют определенные действия, которые должны выполняться с устройства от имени пользователя.

• Социальная инженерия: Используя схемы социальной инженерии, мошенники обманывают пользователей, заставляя их действовать со своего собственного устройства, чтобы инициировать мошенническую транзакцию. Возможно, социальный инженер выдает себя за банк пользователя и просит его перевести деньги на счет мошенника. Традиционные инструменты предотвращения мошенничества, основанные на устройствах или действиях, не могут обнаружить такие атаки, потому что транзакция или оплата происходит в аутентифицированном сеансе с доверенного устройства и из местоположения и не использует никаких вредоносных программ.В Европе одна из форм мошенничества с социальной инженерией, известная как мошенничество с авторизованными push-платежами (APP), увеличилась на 30%. Убытки из-за мошенничества с приложениями выросли до 456 миллионов фунтов стерлингов в 2019 году.

• Подмена идентификатора: Киберпреступники могут маскировать идентификаторы устройств, чтобы они выглядели так, как если бы они работали с ранее идентифицированного и аутентифицированного устройства, используя такие методы, как IP-адреса прокси и атаки типа «человек в браузере» (MitB) со стороны вредоносных программ на подлинное устройство пользователя. Киберпреступники также создали атаки типа «человек посередине» (MitM), с помощью которых они могут подделать отпечатки пальцев устройства и элементы JavaScript, а не только IP-адрес и местоположение.

Слишком сложно связать пользователя с устройством

Второстепенная проблема — как часто пользователи меняют свои устройства. Выходят новые модели, сотовые телефоны постоянно ломаются — регулярные изменения устройства не удовлетворяют требованиям, чтобы идентификационные данные были фиксированными и стабильными. Некоторые устройства могут использоваться более чем одним человеком, например, настольный компьютер в вашем домашнем офисе. Если устройство совместно используется несколькими пользователями и используется в качестве аутентификатора, невозможно определить, какой конкретный пользователь находится за сеансом на этом устройстве.

Истории успеха: как банки могут покрыть все свои дела

Device ID остается действенным решением для обнаружения мошенничества, от которого нельзя отказываться. Однако есть варианты использования, которые он не может охватить, и именно здесь появляются другие решения, чтобы гарантировать, что финансовые учреждения охватят все свои базы.

Один из пяти крупнейших банков Соединенного Королевства быстро обнаружил, что это правда после развертывания поведенческой биометрии BioCatch для выявления аномалий в поведении и взаимодействиях пользователей с помощью действенных поведенческих аналитических данных.Банк подвергался длительной кибератаке с использованием вредоносного ПО Dridex, которое могло захватывать учетные записи клиентов и обходить традиционные средства контроля, такие как обнаружение вредоносных программ, мониторинг транзакций и снятие отпечатков пальцев с устройств.

BioCatch быстро идентифицировал несколько действий с высокой степенью риска на основе поведения пользователя, даже когда казалось, что сеанс происходил с надежного устройства и из местоположения. В результате банк смог остановить попытку мошеннической транзакции на сумму 1,6 млн фунтов стерлингов и смог обнаружить 81% мошеннических транзакций с результатом менее 0.Уровень предупреждений 05%.

Подробнее о том, как поведенческая биометрия раскрыла эту расширенную атаку вредоносного ПО, читайте здесь.

BioCatch также изменил правила защиты открытия счета. Во время открытия учетной записи скорость набора текста, схемы прокрутки и каждый щелчок мыши рассказывают историю — о преступной деятельности или реальном поведении пользователя. Поведенческая биометрия BioCatch быстро выявляет эти закономерности с высокой степенью точности, собирая воедино данные, чтобы дать командам по борьбе с мошенничеством более четкое представление о рисках с помощью действенных поведенческих аналитических данных.Даже если вы никогда раньше не видели клиента, вы можете распознать его поведение, которому доверяете, и упростите процесс открытия счета.

Рост мошенничества слишком ясно показал, что пора выйти за рамки только традиционного обнаружения мошенничества. Противодействие сегодняшним угрозам требует многоуровневого решения, которое укрепляет доверие клиентов, управляет рисками по цифровым каналам и ограничивает финансовые потери от киберпреступности.