что такое идентификация в информационной безопасности
Идентификация и аутентификация
Идентификация — это определение пользователя в системе по его признаку. Обычно речь идет о логине, которым является электронная почта, мобильный телефон или комбинация чисел и цифр, придуманная системой или пользователем.
Идентификация, аутентификация и авторизация
Если пользователь намерен зайти в систему под своими учетными данными, он проходит и идентификацию, и аутентификацию. Например, при входе на какой-то сайт, в банкинг, в сервис электронных платежей, в личный кабинет МФО, коммунальной компании.
Как проходит идентификация пользователя:
После идентификации и аутентификации происходит авторизация. Система понимает, что это за пользователь, что это именно он. Далее она определяет, что он может делать, предоставляет ему определенные права. Это и есть авторизация.
Биометрическая аутентификация
Вариантов аутентификации пользователей становится все больше, компании и сервисы активно применяют в этом биометрию человека. На сегодня существуют такие методы:
В последнее время банки стали активно применять аутентификацию клиента по голосу. Они создают базу голосовых данных: если клиент в ней есть, то при звонке он проходит голосовую аутентификацию и получает нужную информацию или услугу без дополнительных подтверждений личности.
Благодаря созданию биометрических способов аутентификации пользователи стали более защищенными. Некоторые системы применяют двойную биометрическую аутентификацию, например, считывают сразу и отпечаток пальцев, и геометрию руки.
Идентификация, аутентификация и авторизация — в чем разница?
Объясняем на енотах, в чем разница между идентификацией и авторизацией, а также зачем нужна аутентификация, тем более двухфакторная.
Это происходит с каждым из нас, причем ежедневно: мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», когда на самом деле речь идет об аутентификации.
Ничего такого уж страшного в этом нет — пока идет бытовое общение и обе стороны диалога по контексту понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляешь, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».
Идентификация, аутентификация и авторизация: серьезные определения
Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:
Объясняем идентификацию, аутентификацию и авторизацию на енотах
Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:
Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.
Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.
А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.
А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.
А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.
Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:
Что такое идентификация в информационной безопасности
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
Information protection. Identification and authentication. General
Дата введения 2020-05-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом «Аладдин Р.Д.» (ЗАО «Аладдин Р.Д.») и Обществом с ограниченной ответственностью «Научно-производственная фирма «КРИСТАЛЛ» (ООО «НПФ «КРИСТАЛЛ»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации» и Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем, основывается на результатах идентификации и аутентификации.
При автоматизированной обработке информации физическому лицу как субъекту доступа соответствуют вычислительные процессы, выполняющие операции с данными. Это создает риски неоднозначного сопоставления вычислительных процессов с конкретным физическим лицом. Аналогичные риски существуют и при автоматической обработке информации. Кроме того, удаленное информационное взаимодействие дополнительно порождает риск ошибочной идентификации удаленного субъекта доступа и, следовательно, риск предоставления доступа злоумышленнику. Наряду с этим существуют риски того, что вычислительный процесс, действующий в интересах злоумышленника, может имитировать объекты (субъекты) доступа, функционирующие как параллельно с легальными, так и существующие независимо от них.
Устанавливая правила управления доступом к информации и сервисам, обеспечивающим ее обработку, для различных категорий субъектов доступа необходимо учитывать не только конфиденциальность защищаемой информации, но и указанные риски. Для снижения рисков должны применяться соответствующие методы идентификации и аутентификации, которые обеспечивают уверенность в подлинности сторон, участвующих в информационном взаимодействии, включая и субъекты доступа, и объекты доступа. Это особенно востребовано в том случае, когда взаимодействующие стороны имеют дефицит взаимного доверия, обусловленный, например, использованием небезопасной среды функционирования.
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.
1 Область применения
Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.
Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.
Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования
ГОСТ Р ИСО 704 Терминологическая работа. Принципы и методы
ГОСТ Р ИСО 10241-1 Терминологические статьи в стандартах. Часть 1. Общие требования и примеры представления
ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.
3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.
3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.
аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
[Адаптировано из [1], статья 3.3.8]
3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.
биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.
3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.
3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.
3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.
виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами.
3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.
вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения.
3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.
3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.
1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.
2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.
3 Доверенная третья сторона является доверенным объектом.
доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.
3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.
1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.
3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.
1 Адаптировано из [5].
2 Закрытый ключ не является общедоступным (см. [5]).
3 Ключ электронной подписи является примером закрытого ключа (см. [6]).
3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.
3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.
3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
ТЕМА 1.3. ОСНОВЫ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Оглавление
1.3.1. Основные понятия
В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.
Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли «…уничтожение, блокирование, модификацию, либо копирование информации…»(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.
Рис. 1. Классификация методов и средств защиты информации
Формальные методы и средства
Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.
Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.
Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:
Криптографические методы и средства
Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.
В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:
Неформальные методы и средства защиты информации
Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.
К неформальным средствам относятся:
Организационные средства
Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:
Законодательные средства
Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:
Морально – этические нормы
Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).
С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.
1.3.2. Угрозы безопасности информации и их источники
Наиболее опасными (значимыми) угрозами безопасности информации являются:
Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.
Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:
Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:
Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :
1.3.3. Ограничение доступа к информации
В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:
При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).
Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.
Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.
Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.
Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.
Весь процесс идентификации и аутентификации можно схематично представить следующим образом:
Рис. 2. Схема процесса идентификации и аутентификации
1- запрос на разрешение доступа к ИС;
2- требование пройти идентификацию и аутентификацию;
3- отсылка идентификатора;
4- проверка наличия полученного идентификатора в базе учетных записей;
5- запрос аутентификатора;
6- отсылка аутентификаторов;
7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.
Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.
При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).
Общую схему защиты информации в ИС можно представить следующим образом (рис.3):
Рис. 3. Съема защиты информации в информационной системе
Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.
Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.
В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:
Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):
Рис. 4. Классификация систем шифрования
Основными характеристиками любой системы шифрования являются:
В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.
Из десяти законов безопасности Microsoft два посвящены паролям:
Закон 5: «Слабый пароль нарушит самую строгую защиту»,
Закон 7: «Шифрованные данные защищены ровно настолько, насколько безопасен ключ дешифрации».
Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:
Пароль – секретная информация, запоминаемая пользователем и таким образом неразрывно с ним связанная,
Ключ – секретная информация, хранящаяся на некотором носителе, которой могут воспользоваться без ведома пользователя,
Биометрия – биометрическая информация (отпечаток пальца, сетчатка глаза, голос и т.п.)
1.3.4. Технические средства защиты информации
В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств
Эти варианты реализуют следующие методы защиты:
Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.
Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.
1.3.5. Программные средства защиты информации
Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:
1.3.6. Антивирусные средства защиты информации
В общем случае следует говорить о «вредоносных программах», именно так они определяются в руководящих документах ГосТехКомиссии и в имеющихся законодательных актах(например, статья 273 УКРФ «Создание, использование и распространение вредоносных программ для ЭВМ»). Все вредоносные программы можно разделить на пять типов:
В настоящее время вредоносные программ в «чистом» виде практически не существуют – все они являются некоторым симбиозом перечисленных выше типов. То есть, например: троян может содержать вирус и в свою очередь вирус может обладать свойствами логической бомбы. По статистике ежедневно появляется около 200 новых вредоносных программ, причем «лидерство» принадлежит червям, что вполне естественно, вследствие быстрого роста числа активных пользователей сети Интернет.
В качестве защиты от вредоносных программ рекомендуется использовать пакеты антивирусных программ ( например: DrWeb, AVP – отечественные разработки, или зарубежные, такие как NAV, TrendMicro, Panda и т.д.). Основным методом диагностики всех имеющихся антивирусных систем является «сигнатурный анализ», то есть попытка проверить получаемую новую информацию на наличие в ней «сигнатуры» вредоносной программы – характерного куска программного кода. К сожалению, такой подход имеет два существенных недостатка:
Закон 8: «Не обновляемая антивирусная программа не намного лучше полного отсутствия такой программы»
Одним из известных путей повышения эффективности диагностирования вредоносных программ является использование так называемого «эвристического метода». В этом случае предпринимается попытка обнаружить наличие вредоносных программ, учитывая известные методы их создания. Однако, к сожалению, в случае если в разработке программы принимал участие высококлассный специалист, обнаружить ее удается лишь после проявления ею своих деструктивных свойств.