Cтуденти кафедри комп’ютеризованих систем захисту інформації

Бєтанов Є.В., Валовой В.І., Гулак Д.О.

Національний авіаційний університет, Україна

 

 

Порівняння біометричних та систем захисту з використанням електронних ключів.

При створенні і застосуванні системи захисту електронної інформації постає питання про надійність збереження властивостей інформації: цілісності, спостережності, доступності та достовірності даних, а також про зручність при взаємодії з ними. Умови обробки електронної інформації ускладнюються в наслідок використання засобів захисту. Кожна система вимагає точного виконання інструкцій з експлуатації, запобігаючи виникненню непередбачених ситуацій. Для того, щоб система захисту функціонувала нормально, персонал має бути проінформованим з правилами політики безпеки, а також нести особисту відповідальність за будь-які збої, які виникають в наслідок некоректної роботи у середовищі  обробки електронної інформації.

Аутентифікація – перевірка наявності у суб’єкта доступу до комп’ютерної системи чи приміщення при наданні ним персонального ідентифікатора.

Найбільш поширений метод аутентифікації полягає у введені персонального пароля, котрий відповідає певному користувачу. Система перевіряє відповідність введених логіна та пароля з тими що зберігаються в спеціальних базах даних. Наприклад:

·                   Для ОС сімейства UNIX така база знаходиться у файлі /etc/master.passwd в ній знаходяться хеш функції від паролів користувачів, а також права їх доступу;

·                   Для дистрибутивів Linux таж інформація зберігається у файлі /etc/shadow;

·                   Для ОС Windows така база даних називається SAM (Security Account Manager – Диспетчер захисту облікових записів) в ній знаходяться всі данні для повноцінного функціонування системи захисту. Ця база даних знаходиться в директорії %windir%\system32\config\;

·                   Для серверних версій Windows ця інформація зберігається в Active Directory.

Після того, як аутентифікація була проведена, система надає користувачу ті права доступу до системи, які передбачив для нього адміністратор безпеки.

Захисту комп’ютерної системи чи приміщення одним паролем на теперішньому етапі розвитку інформаційних технологій недостатньо. Сучасні програмні й апаратні методи підбору чи зняття паролів, які доступні в мережі Internet, дозволяють обійти системи аутентифікації, що засновані тільки на базових паролях, всього за декілька годин роботи над системою обробки даних.

Пароль користувача може виконувати роль додаткового засобу захисту від несанкціонованого доступу, забезпечуючи таким чином двох факторну аутентифікацію (по двом ідентифікаторам).

В якості основного засобу аутентифікації виступають додаткові програмно-апаратні комплекси. Розглянемо деякі з них.

Останнім часом набрали обертів системи з біометричною системою аутентифікації, що для визначення свого\чужого використовують унікальність деяких характеристик людського тіла. Ось деякі з цих систем розпізнавання:

·                    за сітківкою райдужної оболонки ока;

·                    за відбитками пальців;

·                    за тембром голосу;

·                    за формою обличчя.

Біометричні системи аутентифікації являються досконалими та надійними системами захисту. Але існує ряд недоліків, які ускладнюють інтеграцію таких систем захисту в корпораціях, де циркулює інформація з обмеженим доступом.

По-перше, висока вартість біометричних систем аутентифікації робить захист кожного робочого місця неможливим навіть і у великих корпораціях. Безумовно, за допомогою цих систем можна обмежити доступ до певних приміщень. Але якщо зловмисник належить до групи персоналу, що має легальний доступ до цього приміщення, то він без перешкоди зніме інформацію з кожного комп’ютера що знаходяться в ньому. Тобто потрібно шукати компроміс між вартістю, та якістю захисту для забезпечення актуального розподілення доступу до середи обробки даних.

По-друге, інтеграція біометричних технологій захисту – складна задача, яка потребує багато затрат часу. Дійсно якщо вводити сканер сітківки ока на підприємстві де працює близько десяти тисяч співробітників, то установка та налаштування такої системи потребуватиме місяців роботи у справжніх професіоналів. Також на етапі встановлення чи настройки системи аутентифікації, зловмисник може тим чи іншим способом занести свої данні у базу даних і мати цілком легальний доступ до всього, що йому потрібно.

Отже, говорячи про біометричні технології, можна зробити висновок, що їх масове використання недоцільне у масштабах підприємства.

Забезпечити сувору двох факторну аутентифікацію здатен програмно апаратний комплекс електронних ключів.

При забезпеченні аутентифікації використовуються ім’я користувача та пароль, що зберігаються в захищеній ділянці пам’яті ключа. Паролі можуть бути представлені як складна, псевдо випадкова послідовність, також системою передбачене використання сертифікатів, що також  зберігаються в пам’яті, забезпечуючи таким чином строгу та чітку аутентифікацю користувачів.  

Говорячи про переваги електронних, можна відмітити той факт, що ця система являється не складною у використанні, адмініструванні та забезпечує надійний захист електронної інформації.

Встановлення та настройка системи електронних ключів не складна та цілком реальна задача. Введення систем, що засновані на смарт-картах потребує від адміністратора таких етапів робот:

·                   Підключення пристрою читання в форм факторі смарт-карти до комп’ютера користувача через інтерфейс USB.

·                   Встановити програмне забезпечення на комп’ютер користувача, що буде використовувати систему аутентифікації.

·                   Ініціалізація ключа, тобто запис відповідних сертифікатів, PIN коду та додаткового програмного забезпечення, якщо потрібно.

·                   Занесення інформації про створений ключ і його користувача до бази даних.

При використанні системи у форм-факторі USB, робота по інтеграції системи скорочується на один етап, за відсутністю необхідності встановлення додаткового пристрою зчитування смарт-карток.

Дуже важливим плюсом системи є скритність систем налаштувань і функціонування від користувача, бо всі етапи проходять без його участі, не даючи йому змогу отримати інформацію о системі захисту, її моделі, сертифікатах, системах криптоперетворювання, алгоритмах генерації хеш функцій тощо. Після отримування прав доступу до середовища обробки даних користувач отримає персональний ключ, що може містити на своєму корпусі максимум його фото, персональні данні та назву компанії, де він працює. Отже така система попереджає спробу використання персонального ключа для здійснення несанкціонованого доступу до іншої робочої станції, чи іншого користувача.

Таким чином можна зробити висновок, що в порівнянні з біометричними технологіями, системи електронних ключів мають переваги у функціональності, простоті та відносній дешевизні. Безумовно, система, що заснована на використанні біометричних технологій більш стійка до спроби здійснення несанкціонованого доступу в порівнянні з системами електронних ключів, але додаткові програмні та організаційні заходи по забезпеченню захисту електронної інформації зведуть цю різницю до мінімуму.

 

Список використаної літератури

 

1. Скляров Д.В. «Аппаратные ключи защиты» - СПб.: БХВ-Петербург, 2004. – 288 с.

2. Хореев П.Б. «Программно-аппаратная защита информации» - Форум, 2009. – 352 с.