Системы разграничения доступа

Модели разграничения доступа для коммерческих организаций

В 1987 году появилась первая публикация по теории разграничения доступа в коммерческих компьютерных системах, авторами публикации были David D. Clark и David R. Wilson. Модель Кларка-Вильсона отходила от привычной и принятой у военных концепции уровней доступа и была построена с учетом тенденции внедрения ПК во все сферы деятельности коммерческих организаций.

В отличие от целей защиты информации в военной области (обеспечение конфиденциальности), основной целью в коммерческих организациях является защита целостности. Под этим подразумевается защита информации от несанкционированной модификации, в том числе в следствие компьютерного мошенничества и ошибок. В отличие от модели Белла-ЛаПадула (множество субъектов-множество объектов), в модели Кларка-Вильсона компьютерная система рассматривается, как система со множеством приложений.

Операциями доступа в модели являются программы, выполняющие множество различных действий (транзакции), а не простые операции чтения-записи, как, например, в предшествующих моделях.

Основная идея обеспечения целостности заключается в том, что в системе разрешены только «корректные транзакции» и обеспечено «разделение обязанностей», т.е. модифицировать данные может только определенный набор программ. Программы являются дополнительным уровнем в модели, между данными и пользователями. Субъекты могут выполнять только программы из определенного набора, а доступ к определенным данным есть только определенных программ. Непосредственный доступ к данным для пользователей невозможен. В модели впервые сама система безопасности рассматривается как такая же программа и ее защищенность также оценивается.

Кроме того, модель решала проблему подмены пользователя в момент между идентификацией и выполнением операции, т.к. производилась дополнительная верификация субъекта до и после выполнения операции. Модель Кларка-Вильсона считается одной из самых совершенных с точки зрения обеспечения целостности.

В 1989 в Великобритании появилась модель компьютерной безопасности «Китайская стена». Своим появлением она обязана Биржевому краху 1929 года с которого в США началась Великая депрессия. В ответ на это событие была введена политика о конфликте интересов или политика «китайских стен» для регулирования деятельности брокерско-дилерских компаний. Китайская стена должна была разделять потоки данных возникающие, в результате разных видов деятельности компании. В частности, информация, полученная в рамках одной сферы деятельности компании, не должна оказывать влияние на принятие решений в другой сфере деятельности, для которой она является конфиденциальной [6]. Т.е. Китайская стена разделяет потоки конфиденциальной информации внутри одной компании.

К 1986 году компьютеры плотно вошли в повседневную деятельность финансовых компаний, но политика Китайской стены должна была соблюдаться также и для информации, циркулирующей в компьютерных системах. Применительно к информационным системам Китайская стена должна была защищать от возникновения конфликта интересов, внутреннего мошенничества, инсайдерской торговле и прочих внутренних угроз. Она реализовывала набор правил доступа, которые могли меняться автоматически и динамически после того, как субъект обращался к некоторой информации (далее доступ на определенные операции, вызывающие конфликт интересов, для него закрывался).

В 1982 году появилась новая формальная модель Гогена-Мезигера (Goguen-Meseguer), открыв новый тип моделей – моделей информационного невмешательства.

Биометрические системы разграничения доступа

Вообще биометрия и биометрическая идентификация имеет долгую историю. Считается, что отпечатки палацев и некоторые другие физиологические и физиогномические особенности использовались для идентификации и установления личности в древнем Китае и древнем Египте. Отпечатки пальцев стали впервые использоваться для идентификации преступников в XVIII веке.

Первые полуавтоматические системы распознавания лиц появились в 1960-х годах. Тогда же были начаты активные исследования по автоматизации распознавания и идентификации по другим биометрическим характеристикам (отпечатки пальцев, голос, подпись).

В 1969 году ФБР внедрила первую автоматическую систему идентификации по отпечаткам.

В 1974 появились первые коммерческие системы биометрической идентификации по геометрии руки.

В течение 1970-1980-х годов продолжались исследования, направленные на совершенствование систем биометрической идентификации: создание сканеров, алгоритмов сравнения, поиск лучших признаков. Были созданы первые системы идентификации по голосу человека. В это же время была доказана возможность идентификации по сетчатке глаза, были получены первые результаты и патенты, и вскоре был обнаружен достаточно эффективный алгоритм идентификации ( Dr. John Daugman ), на него также был получен патент (владелец компания Iridian Technologies ). Сегодня эта разработка и патент лежат в основе всех коммерческих разработок по распознаванию сетчатки глаза.

В 1991 году появилась первая система распознавания лиц в реальном времени.

Начав свое активное развитие в 1980-х, системы биометрической идентификации продолжали совершенствоваться, повышалась точность распознавания. Системы были достаточно дороги и в основном применялись правительственными и военными организациями, а также крупными коммерческими компаниями. Основными целями применения биометрии правоохранительными органами была идентификация личности (поиск преступников и опасных лиц (в аэропортах, на спортивных мероприятиях)). В коммерческих организация системы применялись в СКУД для физического разграничения доступа, для контроля рабочего времени и идентификации сотрудников.

Начиная с 1990-х годов, технологии биометрической идентификации расширялись, снижение стоимости оборудования и снижения ложных срабатываний привели к повышению спроса на эти технологии.

Биометрические сканеры стали применяться для обеспечения доступа к ПК. Позже, в начале 2000-х годов, развитие технологий биометрической идентификации позволило внедрить ее в переносные устройства. Так, впервые в ноутбуках сканеры отпечатков впервые появились в 2004 году, а в смартфонах в 2013 (Apple iPhone).

Межсетевые экраны

В 1988 году появлялись первые открытые публикации по технологиям межсетевого экранирования и пакетной фильтрации.

В начале 1990-х появились первые коммерческие межсетевые экраны (брандмауэры, файерволлы), позволяющие разграничить глобальные и частные сети. Вообще же, сама технология и первые устройства были разработаны в компании Cisco в 1980-х годах.

Развитие технологий межсетевого экранирования происходило по восходящей в модели OSI: сначала появились фильтры на сетевом и транспортном уровне, позже на сеансовом уровне и уровне приложений.

В основе работы межсетевых экранов, созданных на этом этапе, лежит концепция, что все легальные пользователи находятся внутри сети, а все нелегальные – вне ее.

Первыми файерволлами были простые фильтрующие маршрутизаторы, которые позволяли фильтровать трафик по заранее заданным правилам, по различным полям заголовка пакетов (например, IP адрес отправителя или получателя, номер порта). Такие файерволлы позволяли фильтровать трафик только на сетевом и транспортном уровнях, но не на уровне приложений или конкретных пользователей. Среди первых компаний разработчиков можно выделить Cisco, 3COM и Wellfleet [7].

Следующим этапом развития межсетевых экранов было появление в 1989–1990 годах шлюзов сеансового уровня.

В период 1991-1994 года наиболее популярными были межсетевые экраны Raptor Systems Eagle, Advanced Networks and Services' (ANSi inter-Lock, Trusted Information System's (TIS) Gauntlet и Checkpoint Software's Firewall [8].

Криптография

Развитие вычислительных средств и повышение их производительности в 1970-х, позволило создать криптографические системы с более высокой криптостойкостью, чем все существующие на тот момент. В этот период появилась компьютерная криптография [3].

В конце 1970-х годов у коммерческих организаций возникла острая необходимость встроить шифрование в только что появившуюся новую технологию - электронную почту, в основном запрос был сформирован нефтяными и банковскими компаниями.

В этот период шифрования частных коммуникаций не существовало, прослушивание частных переговоров было простой задачей для правительственных структур, таких как АНБ. Шифрование было доступно только для военных или правительственных организаций, а обмен ключами производился только через один их государственных центров управления ключами.

В 1980-е годы правительством США (в частности АНБ) предпринималось большое количество попыток ограничить развитие криптографии путем введения запретов на исследования в этой области и запретов на ее использование для частных нужд. АНБ старалось сохранить за собой право и возможность контролировать типы и качество шифрования, применяемого частными лицами и организациями, как на территории США, так и за рубежом. Коммерческие организации осознавали, что стандарты шифрования, разрабатываемые в АНБ не являются криптостойкими и потенциально могут содержать закладки.

Именно этот факт послужил причиной создания Уитфилдом Диффи и Мартином Хеллманом ассиметричных шифров и систем с открытым ключом (1975 год). Диффи, работая в одной из компаний-подрядчиков МО США, заинтересовался вопросами повышения безопасности компьютерных вычислений и возможностью применения математических и криптографических методов в частных коммуникациях.

Открытие Диффи и Хеллмана сделало криптографию доступной обычным людям, позволило применять ее для защиты частной информации. Для широкого практического применения криптографии необходимо было решить проблему обмена ключами без участия центра и без обмена самим секретным ключом. Проблема порождала две сложные задачи: обеспечение целостности и аутентичности информации – надежное шифрование и подтверждение подлинности отправителя. Однако, алгоритм Диффи-Хеллмана не мог решить задачу аутентификации сторон.

В 1978 была опубликована работа, содержащая описание новой криптосистемы RSA (Великобритания, авторы Рон Ривест, Ади Шамир и Леонард Адлеман), в которой решалась проблема взаимной идентификации.

Алгоритм RSA обеспечивал необходимую стойкость и надежность. В 1982 году была основана компанию RSA Data Security, которая в том числе занималась выдачей лицензий на использование алгоритма RSA в программных продуктах других фирм. В частности, он был встроен в продукты Microsoft, Apple и в IBM Lotus Notes.

В 1989 году начинается применение алгоритма в Интернет для шифрования, и несколько позже для цифровой подписи.

Ассиметричная криптография помимо того, что позволила решить свою первую прикладную задачу – шифрование частных коммуникаций (электронной почты), открыла несколько перспективных направлений применения - системы электронной цифровой подписи и электронной коммерции.

⇐ Предыдущая123456789Следующая ⇒

Поделиться: