1. Идентификация. Пользователь должен передать системе свой идентифицирующий признак, например, логин и пароль. При использовании аппаратных средств становится возможной и более глубокая степень идентификации по отпечатку пальца, сетчатке глаза, иным биометрическим признакам или на основании владения определенным устройством (магнитная карточка, электронный ключ);
2. Аутентификация. Этот процесс в работе программно-аппаратных средств нацелен на сравнение заявленного пользователем идентифицирующего признака с теми, которые хранятся в памяти устройства. В ходе аутентификации устанавливается подлинность пользователя. Она может реализовываться на основе простой или усложненной PIN-идентификации. В обоих случаях персональный идентификационный номер пользователя сравнивается с эталоном. При простом механизме идентификации система проводит обычное сравнение и в случае совпадения выдает разрешение на дальнейшую работу. При сложном, защищенном, система посылает запрос ключу, тот «отвечает» отправкой 64-разрядного ключа. Система складывает число с введенным пользователем PIN-кодом, направляя полученный результат ключу, тот проводит итоговую идентификацию, при положительном результате которой выдает разрешение на работу;
3. Авторизация. После того как подлинность пользователя установлена, аппаратно-программным средством определяется объем предоставленных ему прав.
Электронные ключи
Работа программно-аппаратных средств защиты информации становится невозможной, если их архитектурой не предусмотрено наличие электронных ключей. Они представляют собой явление предметного мира, физическое устройство, снабженное электронной начинкой и содержащее уникальную информацию, позволяющую идентифицировать пользователя.
Ключи бывают трех видов:
Специализированный электронный чип.
Микросхема перепрограммируемой памяти, имеющая собственные источники электропитания.
Ключ на базе микропроцессора.
Выбор технологии, на которой основан ключ, связан с типом аппаратного средства. Ранее ключи совмещались с рабочей станцией посредством обычных портов, через которые подключаются принтер или МФУ, что создавало неудобство для пользователей. Развитие USB-технологий упростило использование электронных ключей при работе с аппаратно-программными средствами защиты информации.
Как работает электронный ключ? Устройство, содержащее код легитимного пользователя, опознается программной частью системы, в результате осуществляется допуск к работе. Помимо данных, идентифицирующих пользователя, в ключе могут содержаться сведения о программе, используемой аппаратной частью: номер, данные о выпуске, дата оформления лицензии.
Данные, содержащиеся в памяти ключа, могут перепрограммироваться в дистанционном режиме, что усиливает безопасность. Электронные ключи применяются и для защиты авторских прав разработчика программы: считают число лицензий и не допускают их использование в большем количестве, чем оговорено в соглашении.
Как взламывается аппаратно-программная защита и как избежать взлома
Принимая решение о выборе аппаратно-программного средства, необходимо понимать, что современные технологии позволяют взламывать системы с недостаточным уровнем защиты. При этом стоимость аппаратной части высока. Современные версии ключей, токены, основаны на новейших технологиях, которые позволяют избежать ряда рисков, но не в полном объеме.
Для несанкционированного проникновения (взлома) в систему обычно используется один из двух методов:
поиск и использование уязвимостей в программной части;
эмулирование (подмена) данных, содержащихся в электронном ключе.
В первом случае из программы (приложения) удаляются части, в которых содержится код, обеспечивающий работу механизмов защиты. Это могут быть команды опроса электронного ключа (направление запроса в отдельном токе данных) или команды сравнения введенных данных с эталоном. Второй путь взлома, эмулирование электронного ключа, связан с использованием специальных программных средств – эмуляторов. Программа отправляет приложению обращения, содержащие, правильные ответы.
Если в первом случае методом защиты будет стандартное ограничение прав пользователей, исключающее вмешательство в программный код, во втором рекомендуется вкладывать в конструкцию устройства алгоритм хаотического обмена данными.
Следует учитывать, что реализация схемы эмуляции ключа крайне сложна и доступна немногим специалистам. Взаимодействие эмулятора ключа с программой осуществляется одним из двух способов:
путем подмены драйвера;
через точку входа API вызова ключа.
В первом случае решением станет регулярный аудит системных файлов, проверяющих их изменения. Во втором – шифрование той части программы, которая отвечает за взаимодействие с ключом, или реализация опции постоянного контроля его целостности. Дополнительным способом контроля целостности будет использование электронной подписи. Одним из решений станут микроконтроллеры. Это утилиты, которые отсылают сразу несколько запросов, позволяющих сверить точность введенного ключа. В некоторых программных продуктах реализуется до 18 алгоритмов, на основании которых производятся дополнительные вычисления, обеспечивающие точность аутентификации и контролирующие только легитимный доступ к информации.
Программно-аппаратные механизмы защиты информации находят все большее применение. Они используются не только для защиты локальных сетей, но и для работы с облачными хранилищами. Цена устройств по мере развития технологий снижается. Поэтому при разработке архитектуры собственной информационной системы, в целях обеспечения максимально достижимого уровня безопасности, следует рассмотреть возможность их применения.
Достарыңызбен бөлісу: |