УДК 004.732.056

ПРЕДЛОЖЕНИЯ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ЗАЩИТЫ ОБЪЕКТОВ ЭЛЕКТРОННО-ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Кутузов Александр Викторович1, Кочкин Дмитрий Сергеевич1, Заикин Андрей Владимирович1
1Академия ФСО России

Аннотация
Статья посвящена рассмотрению основных аспектов, посвящённых информационной безопасности в ведомственных объектах электронно-вычислительной техники. В рамках требований, предъявляемых к защите конфиденциальной информации, обрабатываемой на ПЭВМ, была выбрана защита от несанкционированного доступа методом паролирования. В результате рассмотрения открытых источников информации был проведён анализ существующих систем, применяющихся на данном направлении, были выявлены существенные недостатки существующих средств защиты от несанкционированного доступа. Также предложен вариант программно-аппаратного комплекса защиты ПЭВМ объекта ЭВТ от несанкционированного доступа, сформулированы предложения по его реализации.

Ключевые слова: защита от несанкционированного доступа, информационная безопасность, конфиденциальная информация, паролирование, программно-аппаратный комплекс


PROPOSALS TO IMPLEMENT THE REQUIREMENTS OF THE PROTECTION OF OBJECTS OF ELECTRONIC COMPUTERS FROM UNAUTHORIZED ACCESS

Kutuzov Alexander Viktorovich1, Kochkin Dmitry Sergeevich1, Zaikin Andrey Vladimirovich1
1Russian Academy of FSO

Abstract
The article considers the main aspects dedicated to information security in the departmental facilities of computer technology. As part of the requirements for the protection of confidential information processed on a PC, has been selected to protect against unauthorized access by password protection. As a result, consideration of public information sources conducted an analysis of existing systems that apply in this area, identified significant deficiencies of the existing means of protection against unauthorized access. Also offered the option of hardware and software protection facility EVT PC from unauthorized access, the proposals for its implementation.

Библиографическая ссылка на статью:
Кутузов А.В., Кочкин Д.С., Заикин А.В. Предложения по реализации требований защиты объектов электронно-вычислительной техники от несанкционированного доступа // Современная техника и технологии. 2015. № 6 [Электронный ресурс]. URL: http://technology.snauka.ru/2015/06/6893 (дата обращения: 27.05.2017).

В настоящее время локальные вычислительные сети занимают ключевые позиции в информационных технологиях, и как следствие, во всех сферах современного общества. Доступность информационных ресурсов, как характеристика современных глобальных компьютерных сетей, становится одним из решающих факторов эффективности деятельности конкретного сотрудника.

Объединение компьютеров в вычислительную сеть может ускорить процесс обработки данных путем распараллеливания объемов обработки информации среди сотрудников, может быть необходимо для организации хранения данных, поступающих от нескольких источников, либо для управления сложной инфраструктурой и в других случаях.

Помимо задачи повышения защиты информации и увеличения пропускной способности сети, актуальной является задача информационного доступа к объекту электронно-вычислительной техники (ЭВТ). В качестве канала несанкционированного доступа (НСД) к объекту ЭВТ относится нарушение разграничения доступа в виде ознакомления посторонних лиц с паролем объекта ЭВТ. Обычно в ведомственных руководящих документах приводится характеристика эксплуатируемых объектов ЭВТ, которая может включать:

-     класс объектов ЭВТ;

-     режим и порядок доступа;

-     форма допуска и категория защищенности.

Категория защищенности может определять различные, а именно:

-     размещение объектов ЭВТ в единой защищаемой зоне;

-     оборудование объектов ЭВТ съемными носителями информации для её хранения;

-     защита конфигурации и системы инициализации базы ввода/вывода паролем;

Для разграничения доступа пользователей объектов ЭВТ назначается администратор, одной из задач которого является назначение и смена паролей на объекте ЭВТ, он вырабатывает пароли и записывает их с определенной периодичностью.

Сложность произвольно выбранного пароля против атаки полным перебором может быть точно вычислена. В большинстве случаев, пароли изначально создаются человеком. В этом случае возможны только оценки сложности пароля, так как люди в таких задачах склонны следовать шаблонам, и эти шаблоны всегда играют на руку атакующему. Кроме того, списки часто выбираемых паролей всеобще распространены для использования в программах угадывания паролей. Администратор может вести специальный журнал учета выработанных паролей, которым злоумышленник также может завладеть. Таким образом, существует вероятность НСД к объектам ЭВТ как при ознакомлении с журналом администратора, так и подборе используемого пароля непосредственно на объекте ЭВТ.

В связи с факторами, отмеченными выше, для решения задачи необходима разработка предложений по выработке надежного пароля и автоматизированной записи ее на ПЭВМ. Решение данной задачи состоит в разработке программно-аппаратного комплекса (ПАК) генерации паролей, который должен выполнять следующие функции:

-     генерация надежного пароля, используемого для доступа к объекту ЭВТ;

-     визуальная выдача пароля;

-     запись пароля в текстовую таблицу и ведение электронного журнала в зашифрованном виде.

Устройство, взаимодействуя с программой на ПЭВМ, записывает пароли в таблицу, тем самым, исключая необходимость администратору вести журнал учета. В случае угрозы компрометации используемой ПЭВМ имеется возможность использовать устройство автономно и вести перечень паролей вручную.

Существует возможность провести анализ стойкости пароля для современных средств. Пароли должны удовлетворять следующим минимальным требованиям:

-     пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

-     пароль должен состоять не менее чем из 8 символов;

-     в пароле должны присутствовать символы трех категорий из числа следующих четырех: прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); неалфавитные символы (например, !, $, #, %);

Для оценки стойкости пароля используется расчет энтропии. Энтропия  –  мера неопределенности, измеряемая в битах. Энтропия в N бит соответствует неопределенности выбора из 2N паролей. В случае случайных паролей (например, сгенерированных с помощью генератора случайных чисел) энтропия вычисляется по следующей формуле [1]:

Е=log2MN,

где Е – энтропия;

N – количество символов пароля;

M – количество символов используемого алфавита.

Таблица, в которой приведены значения энтропии для некоторых длин паролей, представлена ниже. 

Таблица 1. Значения энтропии для некоторых длин паролей.

Длина пароля

Циф-ры

Латинс-кие буквы без учета регистра

Цифры и латинские буквы без учета регистра

Латинс-кие буквы с учетом регистра

Цифры и латинские буквы с учетом регистра

Цифры, латинские буквы и специальн-ые символы

6

20

29

31

35

36

40

7

24

33

37

40

42

47

8

27

38

42

46

48

53

9

30

43

47

52

54

60

10

34

47

52

57

60

66

11

37

52

57

63

66

73

12

40

57

62

69

72

79

В зависимости от полученного значения энтропии паролю присваивается соответствующая характеристика его стойкости. Уровень стойкости отображается в таблице 2.

Таблица 2. Уровень стойкости пароля в зависимости от энтропии.

Энтропия

Уровень стойкости

Комментарий

< 28 бит

Очень слабый

Допустимо защищать только не ценную информацию.

28-35 бит

Слабый

Способен остановить большое число начинающих взломщиков, идеально подходит для использования в качестве desktop-пароля.

36-59 бит

Средний

Пригоден для компьютеров в корпоративной сети.

60-127 бит

Высокий

Может быть хорошим, чтобы охранять финансовую информацию.

> 128 бит

Сверхнадёжный

Пароль обладает очень большой стойкостью к подбору.

Считаем возможным принять среднюю стойкость, взяв за аналог ЛВС объекта ЭВТ корпоративную сеть.  Из данных двух таблиц и требования о длине пароля, сделаем вывод, что увеличение пароля до 8 символов с целью повышения его стойкости является технически легко реализуемым и не создает дискомфорта для пользователя в плане запоминания.

В результате проведенного анализа существующих аппаратно-вычислительных платформ (Raspberry Pi, STM32L-DISCOVERY, Arduino), наиболее оптимальной, для реализации поставленной цели, является Arduino, как наиболее схемотехнически простой, функциональный и дешевый из рассмотренных
платформ [2].

Для более детального представления алгоритма работы программно-аппаратного комплекса и его основных узлов  рассмотрим его структурную схему, которая показана на рис. 1:

 Рисунок 1 – Структурно-функциональная схема предлагаемого ПАК.

При подаче питания на аппаратную часть комплекса микроконтроллер инициализирует подключенный дисплей, а затем переходит к выполнению основной программы.

Программное обеспечение генерирует псевдослучайный пароль из 8 символов. В качестве источника энтропии для генерации пароля используется свободный аналоговый вывод. Исходным заполнением являются случайные значения атмосферных шумов на данном выводе. Атмосферные помехи образуются при естественных электрических возмущениях в земной атмосфере и обычно называются статическим электричеством. Они, как правило, имеют импульсную природу, их энергия распределяется в широком диапазоне частот. В определенный момент снимается значение шума, которое используется для генерации случайного символа пароля. При генерации всех символов аппаратно-вычислительная платформа производит запись пароля на дисплей и посылает его на ПЭВМ через последовательный COM-порт, где в дальнейшем происходит запись пароля в текстовую таблицу “Access” ОС “Microsoft Windows“. При нажатии кнопки микропереключателя вывод Reset подключается к корпусу, что приводит к перезапуску микроконтроллера и данный алгоритм повторяется.

Принципиальная схема аппаратно-вычислительной платформы приведена на рис. 2.

 Рисунок 2 – Принципиальная схема аппаратно-вычислительной платформы Arduino.

Микроконтроллер запитывается по проводу +5В через USB-разъем. Аналоговым выводом, используемым в качестве источника энтропии, является вывод 1 на разъеме Х2. Платформа взаимодействует с LCD-дисплеем по цифровым выводам 1 (линия адресного сигнала) и 4 (линия разрешения доступа к данным) разъема Х4, 1, 3, 4 и 5(линии данных) разъема Х3. Микропроцессор DD2 снимает значение напряжения шума, преобразует его в цифровой вид, в результате чего образуется кодовая последовательность в 7 бит. Арифметико-логическое устройство присваивает данное значение одному из 62 символов таблицы ASCII. В этой таблице возможно использование 128 символов, но как было оговорено ранее, нам достаточно 62. При генерации всех символов, пароль отправляется на LCD-дисплей и с выводов 2 и 3 DD2 (линии последовательного соединения с ПЭВМ) через согласующие резисторы R4, R5 поступает на DD1 (USB-порт). С данного порта по проводам D+ и D- отправляется на ПЭВМ, где взаимодействует с ПО. При нажатии кнопки SB1 корпус подключается к выводу 1 микропроцессора DD2, в результате чего происходит перезапуск алгоритма.

В заключении приведем краткий анализ существующих способов генерации паролей, а именно:

-     ручная генерация;

-    программная;

-    программно-аппаратная.

Результаты сравнения отображены в таблице 3:

Таблица 1. Сравнительная характеристика различных способов генерации паролей.

Способ генерации пароля

 

Характеристика

 Ручной

Программный

Программно-аппаратный

Оперативность

Низкая

Высокая

Высокая

Автономность

Да

Нет

Да

Предсказуемость

Да

Нет

Нет

Возможность наличия программных закладок

Нет

Да

Нет

Стоимость

2500 руб.

1300 руб.

Таким образом, задачи по генерации надежного пароля,  его визуальной демонстрации выполняются при помощи предлагаемого устройства, его запись в текстовую таблицу и ведение электронного журнала в зашифрованном виде может быть реализована после разработки соответствующего программного обеспечения. Объединение программной и аппаратной составляющих в единый ПАК позволит надежно реализовать защиту ПЭВМ от НСД в области паролирования объекта ЭВТ.


Библиографический список
  1. Лавров Д. Н., Первушин Е. А. Проверка паролей на надежность с помощью модифицированного фильтра Блумма // Математические структуры и моделирование. 2007, вып. 7. – с. 121-125.
  2. Кутузов А.В., Шевняков В.А. Предложения по реализации защиты сетевых хранилищ данных от несанкционированного доступа // Современная техника и технологии. 2014. № 8 [Электронный ресурс]. URL: http://technology.snauka.ru/2014/08/4243 (дата обращения: 26.05.2015).


Все статьи автора «Кутузов Александр Викторович»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться: