Курсовая работа: Разработка защиты на вход в компьютерную сеть
2.5 Программные средства по защите информации
2.5.1 Вход на рабочие станции
Методы биометрической идентификации, делятся на две группы статические и динамические.
Статистические методы основываются на уникальной физиологической (статической) характеристике человека, данной ему от рождения и неотъемлемой от него.
Статистические методы биометрической идентификации:
По отпечатку пальца. В основе этого метода – уникальность для каждого человека рисунка папиллярных узоров на пальцах. Отпечаток, полученный с помощью специального сканера, преобразуется в цифровой код (свертку), и сравнивается с ранее введенным эталоном.
Данная технология является самой распространенной по сравнению с другими методами биометрической идентификации.
По форме ладони. Данный метод, построен на геометрии кисти руки. С помощью специального устройства, состоящего из камеры и нескольких подсвечивающих диодов (включаясь по очереди, они дают разные проекции ладони), строится трехмерный образ кисти руки, по которому формируется свертка и распознается человек.
По расположению вен на лицевой стороне ладони. С помощью инфракрасной камеры считывается рисунок вен на лицевой стороне ладони или кисти руки, полученная картинка обрабатывается и по схеме расположения вен формируется цифровая свертка.
По сетчатке глаза. Способ идентификации по рисунку кровеносных сосудов глазного дна. Для того чтобы этот рисунок стал виден – человеку нужно посмотреть на удаленную световую точку, и таким образом подсвеченное глазное дно сканируется специальной камерой
По радужной оболочке глаза. Для сканирования радужной оболочки достаточно портативной камеры со специализированным программным обеспечением, позволяющим захватывать изображение части лица, из которого выделяется изображение глаза и рисунок радужной оболочки, по которому строится цифровой код для идентификации человека.
По форме лица. В данном методе идентификации строится трехмерный образ лица человека. На лице выделяются контуры бровей, глаз, носа, губ и т.д., вычисляется расстояние между ними и строится не просто образ, а еще множество его вариантов на случаи поворота лица, наклона, изменения выражения [11].
По термограмме лица. В основе данного способа лежит уникальность распределения на лице артерий, снабжающих кожу кровью и выделяющих тепло. Для получения термограммы, используются специальные камеры инфракрасного диапазона. В отличие от предыдущего метода – этот метод позволяет различать близнецов.
По ДНК. Преимущества данного способы очевидны, однако используемые в настоящее время методы получения и обработки ДНК – работают настолько долго, что такие системы используются только для специализированных экспертиз.
Другие методы. Существуют еще такие уникальные способы – как идентификация по подногтевому слою кожи, форме уха, запаху тела и т.д.
Динамические методы основываются на поведенческой (динамической) характеристике человека, то есть построены на особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия [11].
Динамические методы биометрической идентификации:
По рукописному почерку. Эта технология становится весьма популярной альтернативой росписи ручкой. Здесь используют или специальные ручки, или чувствительные к давлению планшеты, или их комбинацию. В зависимости от требуемой степени защиты алгоритм идентификации может быть простым (степень совпадения двух изображений) или усложненным, когда кроме изображений анализируются динамические признаки написания - степень нажима, скорость письма, распределение участков с большим и меньшим нажимом и т. п., то есть предметом биометрической идентификации можно считать «мышечную память».
По клавиатурному почерку. Не нужно никакого специального оборудования, кроме стандартной клавиатуры. Основной характеристикой, по которой строится свертка для идентификации – динамика набора кодового слова.
По голосу. Построения кода идентификации по голосу, как правило, это различные сочетания частотных и статистических характеристик голоса.
Другие методы. Существуют способы – как идентификация по движению губ при воспроизведении кодового слова, по динамике поворота ключа в дверном замке и т.д [11].
Учитывая высокую стоимость и сложность, биометрические системы идентификации в настоящее время используются исключительно для доступа на особо секретные объекты, где последствия несанкционированного доступа обходятся значительно дороже, чем затраты на сложное и дорогостоящее оборудование.
Так как в данной курсовой работе информация, которая циркулирует на объекте, имеет первый уровень, то целесообразно использование наиболее простого и дешевого, но не менее надежного статистического метода биометрической идентификации - по отпечатку пальца.
Весь процесс идентификации занимает мало времени и не требует усилий от тех, кто использует данную систему доступа. Учитывая, что каждый человек имеет свои уникальные отпечатки пальцев, этот метод биометрии обеспечивает безопасность системы, предоставляя возможность доступа только лицам, зарегистрированным в данной системе и имеющим право доступа.
Известны три основных типа сканеров отпечатков пальцев :
- емкостные;
- прокатные;
- оптические.
Емкостные сканеры наиболее дешевы, однако не отличаются ни практичностью, ни долговечностью. Поскольку изображение отпечатка в этих сканерах формируется за счет разницы электрических потенциалов различных участков кожи, эти сканеры чрезвычайно чувствительны к остаточному статическому электричеству.
Они выходят из строя сразу же после того, как их коснулся человек, чьи руки были наэлектризованы, например, из-за ношения одежды из шерстяной или шелковой ткани. Кроме того, качество изображения отпечатков, формируемого емкостными сканерами, достаточно низкое.
Прокатные сканеры занимают среднее положение. В них изображение отпечатка формируется при «прокатывании» отпечатка через узкое окошко сканера, после чего целостное изображение идентификатора «сшивается» из отдельных кадров, полученных в ходе описанной процедуры. Поэтому от пользователя такого сканера требуется постоянно соблюдать единообразие в скорости и манере «прокатывания» отпечатков, что довольно сложно.
Оптические сканеры реализуют наиболее совершенную технологию идентификации по отпечаткам пальцев. Они несколько дороже сканеров других типов, но лишены их многочисленных недостатков, долговечны и потому экономичны, удобны и просты в использовании. Изображение отпечатков характеризуется высоким качеством [7].
Чтобы исключить возможность доступа посторонних лиц к рабочим станциям , используется сканер отпечатков пальцев MS 1300. Время, которое тратит биометрическая система на идентификацию одного человека, не превышает 1 секунды.
Сканер отпечатков пальцев позволяет осуществлять как идентификацию пользователей, так и верификацию их отпечатков пальцев с использованием ПК и собственной БД на 100 записей или БД компьютера.
Время, которое тратит биометрическая система на идентификацию одного человека, не превышает 1 секунды. Устройство оснащено оптическим чувствительным элементом с площадью сканирования 13х20 мм и разрешением 500 точек на дюйм, а также двумя портами USB и модулем флэш-памяти с собственной файловой системой.
2.5.2 Вход на сервер
Конфиденциальная информация хранится на сервере баз данных. Доступ к информации на сервере имеют: директор и все сотрудники бухгалтерии. Доступ к серверу КС осуществляется только при помощи использования смарт-карты. Если смарт-карта пользователя прошла аутентификацию, то он получает доступ к серверу.
Смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. Назначение смарт-карт - аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде [7].
Смарт карты классифицируются по следующим признакам:
1) тип микросхемы;
2) способ считывания информации;
3) соответствие стандартам;
4) область применения.
Тип применяемых микросхем в смарт картах. В зависимости от встроенной микросхемы все смарт карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:
· карты памяти;
· микропроцессорные карты;
· карты с криптографической логикой.
Карты памяти предназначены для хранения информации. Память на
таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.
Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая
позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации хранящейся на карте при передаче, чтении и записи.
Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.
Способы считывания информации со смарт карты. По методу считывания информации карты делятся на следующие:
· Контактные;
· Бесконтактные;
· Со сдвоенным интерфейсом.
Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.
Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и
считывателя. Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.
Стандарты на смарт-карты. Для смарт карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.
Стандарт ISO-7816 "Идентификационные карты - карты с микросхемой с контактами". Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена.
Стандарт EMV (Europay, MasterCard & Visa). 1я и 2я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций,
спецификации терминалов и т.д.
Использование смарт-карт для проверки подлинности пользователей является самым надежным методом проверки подлинности в операционных системах семейства Windows Server 2003, поскольку вход пользователя в домен осуществляется с использованием криптозащиты и системы подтверждения владения. Злоумышленники, получившие чей-то пароль, могут воспользоваться им для доступа к сети. В случае использования смарт-карты злоумышленники должны получить не только саму смарт-карту пользователя, но и ее персональный идентификационный номер (PIN-код), чтобы работать в системе от имени пользователя. Очевидно, что такую защиту сложнее преодолеть, поскольку требуется дополнительная информация для работы от имени пользователя. Еще одним преимуществом является блокировка смарт-карты при неправильном вводе PIN-кода несколько раз подряд. Благодаря этому подбор данных становится очень сложным [2].
В целом, смарт-карты обеспечивают следующие возможности:
| • | Защищенное хранение закрытых ключей и прочей персональной информации. |
| • | Скрытость таких критических вычислений, связанных с безопасностью, как проверка подлинности, цифровые подписи и обмен ключами, о которых другие части системы не должны знать. |
| • | Возможность использования одних и тех же учетных данных и прочей личной информации при работе с компьютером. |
На данном предприятии для доступа к серверу КС используется смарт-карта Siemens CardOS v.4.3B-32Kb и карт-ридер ACR38U.
Основные характеристики смарт-карты CardOS v.4.3b 32Kb [8]:
· аппаратный RSA-генератор ключевых пар;
· аппаратно реализованные алгоритмы вычисления хэш-функций (SHA-1, MD5) и цифровой подписи - генерация и верификация подписи (RSA/1024, на заказ - 2048 бит)
· аппаратно реализованные симметричные алгоритмы шифрования (DES, Triple DES);
· 32 КБ доступной энергонезависимой программируемой памяти для хранения сертификатов X.509, профилей пользователей и др.
Настольное устройство чтения/записи смарт-карт ACR38U представляет собой современное, компактное и удобное устройство для работы со смарт-картами.
Карт-ридер поддерживает все типы микропроцессорных и криптопроцессорных карт, а также большинство карт памяти всех известных производителей. Считыватель смарт карт соответствует стандартам: ISO 7816-1/2/3, EMV, Microsoft PC/SC и совместимо с большинством компьютерных платформ. Корпус устройства выполнен из белого глянцевого пластика (возможны другие цвета, нанесение логотипа).
2.5.3 Антивирусная защита
Задача любой антивирусной программы - не допустить заражения или же вылечить компьютер в случае, если это все-таки произошло.
Этим требованиям удовлетворяет подавляющее большинство продуктов, предлагаемых современным рынком, отличия заключаются лишь в нюансах: удобство использования, как проверки и лечение, скорости работы и объеме потребляемых вычислительных ресурсов.
ESET NOD32 Smart Security Bussiness Edition ESET NOD32 Smart Security предотвращает риск заражения компьютера, выявляет и удаляет вредные программы, обеспечивает защиту от рекламного ПЗ, ботов, шпионских программ, троянов, вирусов, червяков и других угроз из интернета. ESET NOD32 Smart Security выявляет и блокирует над 70% новых вредных программ, сигнатуры которых еще не содержатся в вирусных базах. Защита конфиденциальности. ESET NOD32 Smart Security предотвращает, выявляет и отключает шпионские программы. Повышенная безопасность. Двусторонний файервол со средствами выявления вторжений для защиты как входных, так и исходных подключений к интернету. Антиспам ESET NOD32 Smart Security Функция антиспам обеспечивает надежную защиту от раздражающего спама, а также защиту от угроз, связанных с электронной почтой, часто принимают формы, характерные для обычного спаму.
В системе антиспама используются правила на уровне клиента и сервера, что обеспечивают самую передовую защита, недоступную для других решений, которым нужно частая загрузка. Файервол ESET NOD32 Smart Security. Персональный файервол ESET NOD32 Smart Security обеспечивает двустороннюю защита со средствами выявления вторжения в трех рабочих режимах.
