Сучасні інформаційні технології/2.

Обчислювальна техніка та програмування

Головко Р.А.

Київський національний університет технологій та дизайну

Побудови систем захисту інформації для програмних пакетів,використовуваних в монопольному доступі

Ця робота присвячена дослідженню і пошуку ефективних шляхів і способів захисту інформації використовуваної в монопольному доступі системами захисту інформації (СЗІ) для програмних пакетів. В якості об'єкта дослідження і застосування розроблених методів захисту служить система по взаємовідносинах з клієнтами.У роботі розглядаються різноманітні СЗІ програмних пакетів і можливість їх застосування для системи. Аналізуються ключові місця СЗІ, які потребують захисту і пропонуються варіанти її здійснення. Досліджуються переваги і недоліки існуючих варіантів і пропонуються нові шляхи реалізації захисту для СЗІ використовуваних в монопольному режимі.

Зараз основним способом захисту інформації від несанкціонованого доступу (НСД) є впровадження так званих засобів AAA (Authentication, Authorization, Accounting - аутентифікація,авторизація, управління правами користувачів). При використанні цієї технології користувач отримує доступ до комп'ютера лише після того, як успішно пройшов процедури ідентифікацїі та аутентифікації. Варто врахувати, що на світовому ринку ІТ-послуг сегмент ААА постійно зростає.Ця тенденція підкреслюється в аналітичних оглядах IDC, Gartner і інших консалтингових фірм.

Відзначимо, що питання розмежування доступу вирішуються в обов'язковому порядку при створенні будь-якої інформаційної системи. Зараз, коли системи стають все більш розподіленими, важко переоцінити важливість коректного розмежування доступу[3]. При цьому потрібно більш надійний захист систем аутентифікації, як від зовнішніх, так і від внутрішніх зловмисників. Варто розуміти, що користувачі не схильні ускладнювати собі життя і намагаються користуватися якомога менш складними паролями. А отже, для усунення цього надалі все частіше будуть застосовуватися програмно-апаратні засоби аутентифікації, які поступово прийдуть на зміну традиційним паролям.

Ідентифікацію та аутентифікацію можна вважати основою программнотехнічних засобів безпеки, оскільки інші сервіси розраховані на обслуговування іменування суб'єктів. Ідентифікація та аутентифікація - це перша лінія оборони, "прохідна" інформаційного простору організації.Ідентифікація дозволяє об'єкту назвати себе (повідомити своє ім'я). За допомогою аутентифікація друга сторона переконується, що об'єкт дійсно той, за кого він себе видає. Аутентифікація буває односторонньою (зазвичай клієнт доводить свою справжність серверу) і двосторонньої (взаємної). Приклад односторонньої аутентифікації - процедура входу користувача в систему.

Надійна ідентифікація ускладнена не тільки через мережеві погрози, але з цілого ряду причин. По-перше, є протиріччя між надійністю аутентифікації, з одного боку, і зручностями користувача і системного адміністратора з іншого. Так, з міркувань безпеки необхідно з певною частотою просити користувача повторно вводити аутентифікаційну інформацію (адже на його місце могла сісти інша людина), а це не тільки клопітно, але і підвищує ймовірність того, що хтось може підглянути за введенням даних. По-друге, чим надійніше засіб захисту, тим воно дорожче.   

Сучасні засоби ідентифікації  аутентифікації повинні підтримувати концепцію єдиного входу в мережу. Єдиний вхід в мережу - це, в першу чергу, вимога зручності для користувачів. Якщо в корпоративній мережі багато інформаційних сервісів, що допускають незалежне звернення, то багаторазова ідентифікація / аутентифікація стає занадто обтяжливою. На жаль, поки не можна сказати, що єдиний вхід в мережу став нормою, домінуючі рішення поки не сформувалися.        

Головний приотітет  парольної аутентифікації - простота і звичність. Паролі давно вбудовані в операційні системи та інші сервіси[1]. При правильному використанні паролі можуть забезпечити прийнятний для багатьох організацій рівень безпеки. Тим не менш, за сукупністю характеристик їх слід визнати найслабшим засобом перевірки автентичності.       Щоб пароль був незабутнім, його часто роблять простим (ім'я подруги, назва спортивної команди тощо). Однак простий пароль неважко вгадати, особливо якщо знати пристрасті даного користувача.

Експериментально була розглянута модель атаки на сервери різними можливими способами[2]. На кожному сервері були встановлені унікальні параметри шифрування інформації. Кожен сервер був підданий трьома видами атак протягом 600 секунд. За висновками експеримента самим ефективним виявився SIEBEL з шифруванням за алгоритмом AES. Найефективніший спосіб атаки - Rainbow Attack. Найменш крипостійка система захисту - SIEBEL без додаткового шифрування. Різні способи криптоанализа мають різну ефективність залежно від способу захисту інформації. Так, наприклад, найбільш ефективним при шифруванні SIEBEL є Brute, Dictionary attackмає хорошу ефективність по злому паролів із застосуванням спеціальних символів, а Rainbow attack краще застосовувати при розшифровці повідомлень зі складним шифруванням.      

Література:

1.   Панасенко С.П., Батура В.П. Основы криптографии для экономистов: учебное пособие. Под ред. Л.Г. Гагариной. — М.: Финансы и статистика, 2009 .

2.   Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. — М.: ДМК Пресс, 2010.

3.   Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. — Пер. с англ.: М.: Издательство ТРИУМФ, 2009.