Предложения по реализации требований защиты объектов электронно-вычислительной техники от несанкционированного доступа

Размещено на http://www.allbest.ru/

Академия ФСО России

Предложения по реализации требований защиты объектов электронно-вычислительной техники от несанкционированного доступа

Кутузов А.В.,

Кочкин Д.С., Заикин А.В.

Аннотация

Статья посвящена рассмотрению основных аспектов, посвящённых информационной безопасности в ведомственных объектах электронно-вычислительной техники. В рамках требований, предъявляемых к защите конфиденциальной информации, обрабатываемой на ПЭВМ, была выбрана защита от несанкционированного доступа методом паролирования. В результате рассмотрения открытых источников информации был проведён анализ существующих систем, применяющихся на данном направлении, были выявлены существенные недостатки существующих средств защиты от несанкционированного доступа. Также предложен вариант программно-аппаратного комплекса защиты ПЭВМ объекта ЭВТ от несанкционированного доступа, сформулированы предложения по его реализации.

Ключевые слова: защита от несанкционированного доступа, информационная безопасность, конфиденциальная информация, паролирование, программно-аппаратный комплекс

В настоящее время локальные вычислительные сети занимают ключевые позиции в информационных технологиях, и как следствие, во всех сферах современного общества. Доступность информационных ресурсов, как характеристика современных глобальных компьютерных сетей, становится одним из решающих факторов эффективности деятельности конкретного сотрудника.

Объединение компьютеров в вычислительную сеть может ускорить процесс обработки данных путем распараллеливания объемов обработки информации среди сотрудников, может быть необходимо для организации хранения данных, поступающих от нескольких источников, либо для управления сложной инфраструктурой и в других случаях.

Помимо задачи повышения защиты информации и увеличения пропускной способности сети, актуальной является задача информационного доступа к объекту электронно-вычислительной техники (ЭВТ). В качестве канала несанкционированного доступа (НСД) к объекту ЭВТ относится нарушение разграничения доступа в виде ознакомления посторонних лиц с паролем объекта ЭВТ. Обычно в ведомственных руководящих документах приводится характеристика эксплуатируемых объектов ЭВТ, которая может включать:

- класс объектов ЭВТ;

- режим и порядок доступа;

- форма допуска и категория защищенности.

Категория защищенности может определять различные, а именно:

- размещение объектов ЭВТ в единой защищаемой зоне;

- оборудование объектов ЭВТ съемными носителями информации для её хранения;

- защита конфигурации и системы инициализации базы ввода/вывода паролем;

Для разграничения доступа пользователей объектов ЭВТ назначается администратор, одной из задач которого является назначение и смена паролей на объекте ЭВТ, он вырабатывает пароли и записывает их с определенной периодичностью.

Сложность произвольно выбранного пароля против атаки полным перебором может быть точно вычислена. В большинстве случаев, пароли изначально создаются человеком. В этом случае возможны только оценки сложности пароля, так как люди в таких задачах склонны следовать шаблонам, и эти шаблоны всегда играют на руку атакующему. Кроме того, списки часто выбираемых паролей всеобще распространены для использования в программах угадывания паролей. Администратор может вести специальный журнал учета выработанных паролей, которым злоумышленник также может завладеть. Таким образом, существует вероятность НСД к объектам ЭВТ как при ознакомлении с журналом администратора, так и подборе используемого пароля непосредственно на объекте ЭВТ.

В связи с факторами, отмеченными выше, для решения задачи необходима разработка предложений по выработке надежного пароля и автоматизированной записи ее на ПЭВМ. Решение данной задачи состоит в разработке программно-аппаратного комплекса (ПАК) генерации паролей, который должен выполнять следующие функции:

- генерация надежного пароля, используемого для доступа к объекту ЭВТ;

- визуальная выдача пароля;

- запись пароля в текстовую таблицу и ведение электронного журнала в зашифрованном виде.

Устройство, взаимодействуя с программой на ПЭВМ, записывает пароли в таблицу, тем самым, исключая необходимость администратору вести журнал учета. В случае угрозы компрометации используемой ПЭВМ имеется возможность использовать устройство автономно и вести перечень паролей вручную.

Существует возможность провести анализ стойкости пароля для современных средств. Пароли должны удовлетворять следующим минимальным требованиям:

- пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

- пароль должен состоять не менее чем из 8 символов;

- в пароле должны присутствовать символы трех категорий из числа следующих четырех: прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); неалфавитные символы (например, !, $, #, %);

Для оценки стойкости пароля используется расчет энтропии. Энтропия - мера неопределенности, измеряемая в битах. Энтропия в N бит соответствует неопределенности выбора из 2^N паролей. В случае случайных паролей (например, сгенерированных с помощью генератора случайных чисел) энтропия вычисляется по следующей формуле [1]:

Е = log₂M^N,

где Е - энтропия;

N - количество символов пароля;

M - количество символов используемого алфавита.

Таблица, в которой приведены значения энтропии для некоторых длин паролей, представлена ниже.

Таблица 1

Значения энтропии для некоторых длин паролей

В зависимости от полученного значения энтропии паролю присваивается соответствующая характеристика его стойкости. Уровень стойкости отображается в таблице 2.

Таблица 2

Уровень стойкости пароля в зависимости от энтропии

Считаем возможным принять среднюю стойкость, взяв за аналог ЛВС объекта ЭВТ корпоративную сеть. Из данных двух таблиц и требования о длине пароля, сделаем вывод, что увеличение пароля до 8 символов с целью повышения его стойкости является технически легко реализуемым и не создает дискомфорта для пользователя в плане запоминания.

В результате проведенного анализа существующих аппаратно-вычислительных платформ (Raspberry Pi, STM32L-DISCOVERY, Arduino), наиболее оптимальной, для реализации поставленной цели, является Arduino, как наиболее схемотехнически простой, функциональный и дешевый из рассмотренных платформ [2].

Для более детального представления алгоритма работы программно-аппаратного комплекса и его основных узлов рассмотрим его структурную схему, которая показана на рис. 1:

Рисунок 1 - Структурно-функциональная схема предлагаемого ПАК

При подаче питания на аппаратную часть комплекса микроконтроллер инициализирует подключенный дисплей, а затем переходит к выполнению основной программы.

Программное обеспечение генерирует псевдослучайный пароль из 8 символов. В качестве источника энтропии для генерации пароля используется свободный аналоговый вывод. Исходным заполнением являются случайные значения атмосферных шумов на данном выводе. Атмосферные помехи образуются при естественных электрических возмущениях в земной атмосфере и обычно называются статическим электричеством. Они, как правило, имеют импульсную природу, их энергия распределяется в широком диапазоне частот. В определенный момент снимается значение шума, которое используется для генерации случайного символа пароля. При генерации всех символов аппаратно-вычислительная платформа производит запись пароля на дисплей и посылает его на ПЭВМ через последовательный COM-порт, где в дальнейшем происходит запись пароля в текстовую таблицу “Access” ОС “Microsoft Windows“. При нажатии кнопки микропереключателя вывод Reset подключается к корпусу, что приводит к перезапуску микроконтроллера и данный алгоритм повторяется.

Принципиальная схема аппаратно-вычислительной платформы приведена на рис. 2.

информационный конфиденциальный программный защита

Рисунок 2 - Принципиальная схема аппаратно-вычислительной платформы Arduino

Микроконтроллер запитывается по проводу +5В через USB-разъем. Аналоговым выводом, используемым в качестве источника энтропии, является вывод 1 на разъеме Х2. Платформа взаимодействует с LCD-дисплеем по цифровым выводам 1 (линия адресного сигнала) и 4 (линия разрешения доступа к данным) разъема Х4, 1, 3, 4 и 5(линии данных) разъема Х3. Микропроцессор DD2 снимает значение напряжения шума, преобразует его в цифровой вид, в результате чего образуется кодовая последовательность в 7 бит. Арифметико-логическое устройство присваивает данное значение одному из 62 символов таблицы ASCII. В этой таблице возможно использование 128 символов, но как было оговорено ранее, нам достаточно 62. При генерации всех символов, пароль отправляется на LCD-дисплей и с выводов 2 и 3 DD2 (линии последовательного соединения с ПЭВМ) через согласующие резисторы R4, R5 поступает на DD1 (USB-порт). С данного порта по проводам D+ и D- отправляется на ПЭВМ, где взаимодействует с ПО. При нажатии кнопки SB1 корпус подключается к выводу 1 микропроцессора DD2, в результате чего происходит перезапуск алгоритма.

В заключении приведем краткий анализ существующих способов генерации паролей, а именно:

- ручная генерация;

- программная;

- программно-аппаратная.

Результаты сравнения отображены в таблице 3:

Таблица 1

Сравнительная характеристика различных способов генерации паролей

Таким образом, задачи по генерации надежного пароля, его визуальной демонстрации выполняются при помощи предлагаемого устройства, его запись в текстовую таблицу и ведение электронного журнала в зашифрованном виде может быть реализована после разработки соответствующего программного обеспечения. Объединение программной и аппаратной составляющих в единый ПАК позволит надежно реализовать защиту ПЭВМ от НСД в области паролирования объекта ЭВТ.

Библиографический список

1. Лавров Д.Н., Первушин Е.А. Проверка паролей на надежность с помощью модифицированного фильтра Блумма // Математические структуры и моделирование. 2007, вып. 7. - с. 121-125.

2. Кутузов А.В., Шевняков В.А. Предложения по реализации защиты сетевых хранилищ данных от несанкционированного доступа // Современная техника и технологии. 2014. №8 [Электронный ресурс]

Размещено на Allbest.ru