Справжність даних означає що вони. Як перевірити достовірність інформації

Акредитив - умовне грошове зобов'язання, прийняте банком за дорученням платника, яке дозволяє виконувати платежі на користь одержувача коштів. Банк може виконувати платежі продавцеві або давати повноваження іншому банку здійснити такі платежі при виконанні умов акредитива.

аутентифікація

Аутентифікація - це процес визначення особистості клієнта за наданою ним інформацією. Аутентифікація здійснюється наступними способами:

автентичність даних

Властивість даних бути справжніми і властивість систем бути здатними забезпечувати справжність даних.

Справжність даних означає, що вони були створені законними учасниками інформаційного процесу і не піддавалися випадковим або навмисним перекручуванням.

Здатність системи забезпечувати справжність даних означає, що система здатна виявити всі випадки спотворення даних з ймовірністю помилки, що не перевищує заданої величини.

закритий ключ

Закритий ключ (private key) - закрита (секретна) частина пари криптографічних ключів. Служить для створення електронних підписів, які потім можна перевіряти за допомогою, і для розшифровки повідомлень, які були зашифровані.

Закритий ключ зберігає тільки його власник, ні в якому разі не розкриваючи його нікому. Втрата закритого ключа означає можливість розкриття третіми особами будь-якої інформації, зашифрованої для його власника, а також можливість підробки ЕП його власника третіми особами. У будь-який криптографічного системі закритий ключ завжди є найважливішим секретом, саме тому він повинен зберігатися в таємниці.

відкритий ключ

Відкритий ключ (public key) - відкрита (несекретна) частина пари криптографічних ключів. Служить для перевірки електронних підписів, створених за допомогою парного йому, і для шифрування повідомлень, які будуть потім розшифровані.

Відкритий ключ направляється на реєстрацію в центр сертифікації - організацію, що займається реєстрацією відкритих ключів та їх власників, а також видачею електронних, що підтверджують приналежність відкритих ключів конкретним особам. У центрі сертифікації сертифікати всіх відкритих ключів абонентів поміщаються в базу даних, звідки можуть надаватися за запитом будь-якому звернувся в центр особі.

Паспорт угоди за контрактом

Паспорт угоди за контрактом - документ, який оформляється при здійсненні валютної операції за контрактом.

Паспорт угоди за кредитним договором

Паспорт угоди за кредитним договором - документ, який оформляється при здійсненні валютної операції за кредитним договором або договором позики.

протокол SSL

SSL (Secure Sockets Layer) був розроблений компанією Netscape. Він дозволяє ідентифікувати обмінюються даними боку на основі електронних сертифікатів, здійснювати переданих даних і гарантувати відсутність спотворення даних в процесі передачі.

Зверніть увагу!Можливість використання протоколу SSL визначається наявністю прапорця в полі SSL 2.0або SSL 3.0, Встановленої при налаштуванні веб-браузера.

резидент

Резидент - юридична або фізична особа, постійно зареєстроване або постійно проживає в даній країні.

сертифікат

Сертифікат являє собою документ (можливо в електронній формі), що містить, який належить власнику сертифіката, разом з додатковою інформацією про його власника (наприклад, ПІБ і назву організації, адреса електронної пошти тощо), підписаний підтверджуючий центр (Certificate Authority) .

Основне завдання сертифіката - зв'язати відкритий ключ з особистістю його власника (власника парного йому закритого ключа).

Сертифікати мають строк дії, після закінчення якого вони стають недійсними. Термін дії відображений в змісті сертифіката.

Сертифікати зберігаються в реєстрі Windows або на інших носіях ключової інформації. Доступ до сертифікатів, зареєстрованим в реєстрі Windows, можна отримати з Internet Explorer, в якому є майстер імпорту / експорту сертифікатів і закритих ключів.

шифрування

Шифрування інформації - це спосіб запобігання неавторизованого перегляду або використання інформації. Для здійснення шифрування застосовуються спеціальні математичні алгоритми (криптоалгоритми). Шифрування гарантує захист секретної інформації від несанкціонованого доступу з боку третіх осіб. Для відновлення зашифрованої інформації здійснюється зворотне перетворення - розшифровка. Для розшифровки інформації необхідна наявність відповідного секретного (закритого) ключа.

У сучасних системах використовується пара ключів шифрування відкритий ключ (public key), який може бути відомий кожному, і парний йому закритий ключ (private key), відомий тільки власнику цього ключа. Пара відповідних ключів може застосовуватися для шифрування, а також для створення та перевірки електронного підпису (ЕП), і при цьому має такі властивості:

• Зашифроване за допомогою відкритого ключа повідомлення може бути розшифровано тільки за допомогою парного йому закритого ключа.
• ЕП, створена за допомогою закритого ключа, може бути перевірена на відповідність за допомогою парного йому відкритого ключа.

Електронний підпис

Для підписання електронних документів використовується електронний підпис. Електронний підпис (ЕП) - це реквізит електронного документа, призначений для захисту даного електронного документа від підробки, що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі.

Електронний підпис формується за допомогою, який може зберігатися на дискеті, в системному реєстрі, на смарт-картах і т.д.

ЕП може бути перевірена за допомогою, парного того закритому ключу, за допомогою якого формувалася ця ЕП. Таким чином, знаючи відкритий ключ користувача, можна з точністю встановити, хто підписував цей документ.

Для відправки документа в банк необхідно наявність хоча б однієї електронного підпису. Кількість застосовуваних ЕП під кожним документом визначається в банку індивідуально для кожного клієнта і встановлюється в Договорі на обслуговування в системі «Інтернет-клієнт для юридичних осіб».

Ідентифікація та аутентифікація є основою сучасних програмно-технічних засобів безпеки, так як будь-які інші сервіси в основному розраховані на обслуговування зазначених суб'єктів. Ці поняття є своєрідним першу лінію оборони, що забезпечує простору організації.

Що це таке?

Ідентифікація та аутентифікація мають різні функції. Перша надає суб'єкту (користувачеві або процесу, який діє від його імені) можливість повідомити власне ім'я. За допомогою аутентифікації вже друга сторона остаточно переконується в тому, що суб'єкт дійсно є того, за кого він себе видає. Нерідко в ідентифікація і аутентифікація замінюються словосполученнями «повідомлення імені» і «перевірка справжності».

Самі вони поділяються на кілька різновидів. Далі ми розглянемо, що собою представляють ідентифікація і аутентифікація і якими вони бувають.

аутентифікація

Дане поняття передбачає два види: односторонню, коли клієнт попередньо повинен довести сервера свою справжність, і двосторонню, тобто коли ведеться взаємне підтвердження. Стандартний приклад того, як проводиться стандартна ідентифікація і аутентифікація користувачів, - це процедура входу в певну систему. Таким чином, різні типи можуть використовуватися в різних об'єктах.

В мережевому середовищі, коли ідентифікація і аутентифікація користувачів здійснюються на територіально рознесених сторонах, розглянутий сервіс відрізняється двома основними аспектами:

• що виступає в якості аутентифікатора;
• як саме був організований обмін даними аутентифікації і ідентифікації і як забезпечується його захист.

Щоб підтвердити свою автентичність, суб'єктом повинна бути пред'явлена ​​одна з наступних сутностей:

• певна інформація, яка йому відома (особистий номер, пароль, спеціальний криптографічний ключ і т. д.);
• певна річ, якою він володіє (особиста картка або якесь інше пристрій, що має аналогічне призначення);
• певна річ, що є елементом його самого (відбитки пальців, голос і інші біометричні засоби ідентифікації і аутентифікації користувачів).

особливості систем

У відкритій мережевому середовищі сторони не мають довіреної маршруту, а це говорить про те, що в загальному випадку інформація, що передається суб'єктом, може в кінцевому підсумку не збігатися з інформацією, отриманою і використовуваної при перевірці автентичності. Потрібно забезпечення безпеки активного і пасивного прослуховування мережі, тобто захист від коригування, перехоплення або відтворення різних даних. Варіант передачі паролів у відкритому вигляді є незадовільним, і точно так само не може врятувати становище і шифрування паролів, так як їм не забезпечується захист від відтворення. Саме тому сьогодні використовуються більш складні протоколи аутентифікації.

Надійна ідентифікація має труднощі не тільки з причини різних але ще і з цілої низки інших причин. В першу чергу практично будь-які аутентифікаційні сутності можуть викрадатися, вдавати або вивідувати. Також присутній певна суперечність між надійністю використовуваної системи, з одного боку, і зручностями системного адміністратора або користувача - з іншого. Таким чином, з міркування безпеки потрібно з певною частотою запитувати у користувача повторне введення його аутентификационной інформації (так як замість нього може вже сидіти який-небудь інша людина), а це не тільки створює додатковий клопіт, але ще і значно збільшує шанс на те, що хтось може підглядати введення інформації. Крім усього іншого, надійність засоби захисту істотно позначається на його вартості.

Сучасні системи ідентифікації і аутентифікації підтримують концепцію єдиного входу в мережу, що в першу чергу дозволяє задовольняти вимоги в плані зручності для користувачів. Якщо стандартна корпоративна мережа має безліч інформаційних сервісів, які передбачають можливість незалежного звернення, то в такому випадку багаторазове введення особистих даних стає надто обтяжливим. На даний момент поки ще не можна сказати, що використання єдиного входу в мережу вважається нормальним, так як домінуючі рішення ще не сформувалися.

Таким чином, багато хто намагається знайти компроміс між доступністю за ціною, зручністю і надійністю засобів, якими забезпечується ідентифікація / аутентифікація. Авторизація користувачів в даному випадку здійснюється за індивідуальними правилами.

Окрему увагу варто приділити тому, що використовуваний сервіс може бути обраний як об'єкт атаки на доступність. Якщо виконана таким чином, щоб після деякого числа невдалих спроб можливість введення була заблокована, то в такому випадку зловмисниками може зупинятися робота легальних користувачів шляхом буквально декількох натискань клавіш.

Парольная аутентифікація

Головним достоїнством такої системи є те, що вона є гранично простий і звичної для більшості. Паролі вже давним-давно використовуються операційними системами та іншими сервісами, і при грамотному використанні ними забезпечується рівень безпеки, який є цілком прийнятним для більшості організацій. Але з іншого боку, по загальній сукупності характеристик подібні системи є найслабше засіб, яким може здійснюватися ідентифікація / аутентифікація. Авторизація в такому випадку стає досить простий, так як паролі повинні бути такими, що запам'ятовуються, але при цьому прості комбінації неважко вгадати, особливо якщо людина знає пристрасті конкретного користувача.

Іноді буває так, що паролі, в принципі, не тримаються в секреті, так як мають цілком стандартні значення, зазначені в певній документації, і далеко не завжди після того, як встановлюється система, їх змінюють.

При введенні пароль можна подивитися, причому в деяких випадках люди використовують навіть спеціалізовані оптичні прилади.

Користувачі, основні суб'єкти ідентифікації і аутентифікації, нерідко можуть повідомляти паролі колегам для того, щоб ті на певний час підмінили власника. В теорії в таких ситуаціях буде найправильніше застосовувати спеціальні засоби управління доступом, але на практиці це ніким не використовується. А якщо пароль знають двоє людей, це вкрай сильно збільшує шанси на те, що в підсумку про нього дізнаються й інші.

Як це виправити?

Є кілька засобів, як може бути захищена ідентифікація і аутентифікація. Компонент обробки інформації може убезпечитися наступним:

• Накладенням різних технічних обмежень. Найчастіше встановлюються правила на довжину пароля, а також вміст у ньому певних символів.
• Управлінням терміну дії паролів, тобто необхідністю їх періодичної заміни.
• Обмеженням доступу до основного файлу паролів.
• Обмеженням загальної кількості невдалих спроб, доступних при вході в систему. Завдяки цьому зловмисниками повинні виконуватися тільки дії до виконання ідентифікації і аутентифікації, так як метод перебору не можна буде використовувати.
• Попереднім навчанням користувачів.
• Використанням спеціалізованих програмних генераторів паролів, які дозволяють створювати такі комбінації, які є милозвучними і досить запам'ятовуються.

Всі зазначені заходи можуть використовуватися в будь-якому випадку, навіть якщо разом з паролями будуть застосовуватися також і інші засоби аутентифікації.

одноразові паролі

Розглянуті вище варіанти є багаторазовими, і в разі розкриття комбінації зловмисник отримує можливість виконувати певні операції від імені користувача. Саме тому в якості більш сильного кошти, стійкого до можливості пасивного прослуховування мережі, використовуються одноразові паролі, завдяки яким система ідентифікації і аутентифікації стає набагато безпечнішою, хоч і не такими зручними.

На даний момент одним з найбільш популярних програмних генераторів одноразових паролів є система під назвою S / KEY, випущена компанією Bellcore. Основна концепція цієї системи полягає в тому, що є певна функція F, яка відома як користувачу, так і сервера аутентифікації. Далі представлений секретний ключ К, який відомий тільки певному користувачеві.

При початковому адмініструванні користувача дана функція використовується до ключу певну кількість разів, після чого відбувається збереження отриманого результату на сервері. Надалі процедура перевірки автентичності виглядає так:

1. На призначену для користувача систему від сервера приходить число, яке на 1 менше кількості раз використання функції до ключу.
2. Користувачем використовується функція до наявного секретного ключа то кількість разів, яке було встановлено в першому пункті, після чого результат відправляється через мережу безпосередньо на сервер аутентифікації.
3. Сервером використовується дана функція до отриманого значення, після чого результат порівнюється зі збереженою раніше величиною. Якщо результати збігаються, то в такому випадку справжність користувача є встановленої, а сервер зберігає нове значення, після чого знижує лічильник на одиницю.

На практиці реалізація даної технології має дещо складнішу структуру, але на даний момент це не настільки важливо. Так як функція є незворотною, навіть в разі перехоплення пароля або отримання несанкціонованого доступу до сервера аутентифікації не надає можливості отримати секретний ключ і будь-яким чином передбачити, як конкретно буде виглядати наступний одноразовий пароль.

У Росії в якості об'єднаного сервісу використовується спеціальний державний портал - "Єдина система ідентифікації / аутентифікації" ( "ЕСІА").

Ще один підхід до надійної системи аутентифікації полягає в тому, щоб новий пароль генерувався через невеликі проміжки часу, що теж реалізується через використання спеціалізованих програм або різних інтелектуальних карт. В даному випадку сервер аутентифікації повинен сприймати відповідний алгоритм генерації паролів, а також певні асоційовані з ним параметри, а крім цього, має бути присутня також синхронізація годин сервера і клієнта.

Kerberos

Вперше сервер аутентифікації Kerberos з'явився в середині 90-х років минулого століття, але з тих пір він вже встиг отримати величезну кількість принципових змін. На даний момент окремі компоненти даної системи присутні практично в кожній сучасній операційній системі.

Головним призначенням даного сервісу є рішення наступного завдання: присутня певна незахищена мережа, і в її вузлах зосереджені різні суб'єкти в особі користувачів, а також серверних і клієнтських програмних систем. У кожного такого суб'єкта присутній індивідуальний секретний ключ, і для того щоб у суб'єкта З з'явилася можливість довести власну справжність суб'єкту S, без якої той просто не стане його обслуговувати, йому необхідно буде не тільки назвати себе, але ще і показати, що він знає певний секретний ключ. При цьому у С немає можливості просто відправити в сторону S свій секретний ключ, так як в першу чергу мережа є відкритою, а крім цього, S не знає, та й, в принципі, не повинен знати його. У такій ситуації використовується менш прямолінійна технологія демонстрації знання цієї інформації.

Електронна ідентифікація / аутентифікація через систему Kerberos передбачає її використання в якості довіреної третьої сторони, яка має інформацію про секретні ключі обслуговуваних об'єктів і при необхідності надає їм допомогу в проведенні попарной перевірки автентичності.

Таким чином, клієнтом спочатку відправляється в систему запит, який містить необхідну інформацію про нього, а також про запитуваної послуги. Після цього Kerberos надає йому своєрідний квиток, який шифрується секретним ключем сервера, а також копію деякої частини даних з нього, яка утаємничується ключем клієнта. У разі збігу встановлюється, що клієнтом була розшифрована призначена йому інформація, тобто він зміг продемонструвати, що секретний ключ йому дійсно відомий. Це говорить про те, що клієнт є саме тією особою, за яке себе видає.

Окрему увагу тут слід приділити тому, що передача секретних ключів не здійснювалася через мережу, і вони використовувалися виключно для шифрування.

Перевірка справжності з використанням біометричних даних

Біометрія включає в себе комбінацію автоматизованих засобів ідентифікації / аутентифікації людей, засновану на їх поведінкових або фізіологічних характеристиках. Фізичні засоби аутентифікації і ідентифікації передбачають перевірку сітківки та рогівки очей, відбитків пальців, геометрії обличчя і рук, а також будь-якої іншої інформації. Поведінкові ж характеристики включають в себе стиль роботи з клавіатурою і динаміку підпису. Комбіновані методи являють собою аналіз різних особливостей голосу людини, а також розпізнавання його мови.

Такі системи ідентифікації / аутентифікації і шифрування використовуються повсюдно в багатьох країнах по всьому світу, але протягом тривалого часу вони відрізнялися вкрай високою вартістю і складністю в застосуванні. Останнім же час попит на біометричні продукти значно збільшився через розвитку електронної комерції, так як, з точки зору користувача, набагато зручніше пред'являти себе самого, ніж запам'ятовувати якусь інформацію. Відповідно, попит народжує пропозицію, тому на ринку почали з'являтися відносно недорогі продукти, які в основному орієнтовані на розпізнавання відбитків пальців.

У переважній більшості випадків біометрія використовується в комбінації з іншими аутентифікатор зразок Нерідко біометрична аутентифікація є тільки перший рубіж захисту і виступає в якості засобу активізації інтелектуальних карт, що включають в себе різні криптографічні секрети. При використанні даної технології біометричний шаблон зберігається на цій же карті.

Активність в сфері біометрії є досить високою. Вже існує відповідний консорціум, а також досить активно ведуться роботи, спрямовані на стандартизацію різних аспектів технології. Сьогодні можна побачити безліч рекламних статей, в яких біометричні технології підносяться як ідеального засоби забезпечення підвищеної безпеки і при цьому доступного широким масам.

ЕСІА

Система ідентифікації і аутентифікації ( "ЕСІА") являє собою спеціальний сервіс, створений для того, щоб забезпечити реалізацію різних завдань, пов'язаних з перевіркою достовірності заявників та учасників міжвідомчої взаємодії в разі надання будь-яких муніципальних або державних послуг в електронній формі.

Для того щоб отримати доступ до "Єдиного порталу державних структур", а також будь-яким іншим інформаційним системам інфраструктури чинного електронного уряду, для початку потрібно буде пройти реєстрацію облікового запису і, як наслідок, отримати ПЕП.

рівні

Портал передбачає три основні рівні облікових записів для фізичних осіб:

• Спрощена. Для її реєстрації досить просто вказати своє прізвище та ім'я, а також якийсь певний канал комунікації у вигляді адреси електронної пошти або мобільного телефону. Це первинний рівень, за допомогою якого у людини відкривається доступ тільки до обмеженого переліку різних державних послуг, а також можливостей існуючих інформаційних систем.
• Стандартна. Для її отримання спочатку потрібно оформити спрощену обліковий запис, а потім вже надати також додаткові дані, включаючи інформацію з паспорта і номер страхового індивідуального особового рахунку. Зазначена інформація автоматично перевіряється через інформаційні системи Пенсійного фонду, а також Федеральну міграційну службу, і, якщо перевірка проходить успішно, обліковий запис переводиться на стандартний рівень, що відкриває користувачеві розширений перелік державних послуг.
• Підтверджена. Для отримання такого рівня облікового запису єдина система ідентифікації і аутентифікації вимагає від користувачів стандартний аккаунт, а також підтвердження особи, яке виконується через особисте відвідування відділення уповноваженої служби або за допомогою отримання коду активації через рекомендований лист. У тому випадку, якщо підтвердження особи виявиться успішним, обліковий запис перейде на новий рівень, а перед користувачем відкриється доступ до повного переліку необхідних державних послуг.

Незважаючи на те що процедури можуть здатися досить складними, насправді ознайомитися з повним переліком необхідних даних можна безпосередньо на офіційному сайті, тому повноцінне оформлення цілком можливо протягом декількох днів.

механізми близько пов'язані, тому що механізм або комбінація механізмів застосовуються, щоб забезпечити обслуговування. Механізм може використовуватися в одній або кількох послуг. Нижче ці механізми коротко обговорюються, щоб зрозуміти їх загальну ідею. Далі вони будуть розглянуті більш детально.

ITU -T (X.800) визначив п'ять послуг, пов'язаних з цілями інформаційної безпеки і атаками, типи яких ми визначили в попередніх секціях. Малюнок 1.3 показує класифікацію п'яти загальних послуг.

Мал. 1.3.

Щоб запобігти атакам на інформаційну безпеку, про які ми говорили, треба просто мати одну або більше показаних вище послуг для одного або більшої кількості цілей інформаційної безпеки.

Конфіденційність даних

Конфіденційність данихрозроблена, щоб захистити дані від спроби їх розкриття. Ця широка послуга, певна в рекомендації ITU -T X.800. Вона може охоплювати конфіденційність цілого повідомлення або його частини, а також захищає від спостереження за трафіком і його аналізу - власне, вона розроблена для запобігання втручання і спостереження за трафіком.

Цілісність даних

Цілісність данихрозроблена для захисту даних від модифікації, вставки, видалення і повторної передачі інформації противником. Вона може захищати ціле повідомлення або частину повідомлення.

Встановлення дійсності (аутентифікація)

Ця послуга забезпечує встановлення автентичності (аутентифікацію)оператора на іншому кінці лінії. При з'єднанні, орієнтованому на підключення, вона забезпечує встановлення автентичності передавача або приймача протягом встановлення з'єднання ( встановлення автентичності об'єктіврівного рівня). При з'єднанні без встановлення підключення вона підтверджує справжність джерела даних (встановлення автентичності походження даних).

Виняток відмови від повідомлень

послуга виключення відмови від повідомленьзахищає від відмови від повідомлення передавачем або приймачем даних. При виключення відмови від повідомлення передавачем приймач даних може потім довести походження повідомлення, використовуючи розпізнавальний код (ідентифікатор) передавача. При виключення відмови від повідомлень приймачем передавач, використовуючи підтвердження доставки, може потім довести, що дані доставлені призначеному одержувачу.

управління доступом

управління доступомзабезпечує захист проти неправомірного доступу до даних. доступв цьому визначенні - термін дуже широкий і може включати читання, запис, зміна даних, запуск виконання програми і так далі.

механізми безпеки

Для забезпечення послуг інформаційної безпеки ITU -T (X.800) рекомендує деякі механізми безпеки, Певні в попередньому розділі. Малюнок 1.4 дає класифікацію цих механізмів.

Мал. 1.4.

шифрування

шифрування. Засекречуючи або розсекречуючи дані, можна забезпечити конфіденційність. Шифрування також доповнює інші механізми, які забезпечують інші послуги. Сьогодні для шифрування використовуються два методу: криптографія і стеганографія - тайнопис (steganography). Ми коротко обговоримо їх у подальшому.

Цілісність даних

механізм цілісності данихдодає в кінці даних короткий контрольний ознака (check value), який створюється певним процесомокремо від даних. Приймач отримує дані і контрольний ознака. На підставі отриманих даних він створює новий контрольний ознака і порівнює тільки що створений з отриманим. Якщо ці два контрольних ознаки збігаються, цілісність данихбула збережена.

Цифровий підпис

Цифровий підпис- засіб, яким відправник може за допомогою електроніки підписати дані, а приймач може за допомогою комп'ютера перевірити підпис. Відправник використовує процес, який може вказати, що цей підпис має приватний ключ, обраний із загальнодоступних ключів, які були оголошені публічно для загального користування. Приймач використовує загальнодоступний ключ відправника, щоб довести, що повідомлення дійсно підписано відправником, який стверджує, що послав повідомлення.

Обмін повідомленнями для впізнання

при обміні повідомленнями для впізнаннядва об'єкти обмінюються деякими повідомленнями, щоб довести, що ці об'єкти відомі один одному. Наприклад, одна юридична особа може довести, що воно знає таємний ознака, який тільки воно може знати (скажімо, останнє місце зустрічі з партнером).

заповнення трафіку

заповнення трафікуозначає можливість вставляти в трафік даних деякі фіктивні дані, щоб зірвати спроби зловмисників використовувати його для аналізу.

управління маршрутизацією

управління маршрутизацієюозначає вибір і безперервна зміна різних доступних маршрутів між відправником і приймачем для того, щоб перешкоджати противнику в перехопленні інформації на певному маршруті.

Доручення

Дорученняозначає вибір третьої сторони, з метою довірити їй контроль обміном між двома об'єктами. Це може бути зроблено, наприклад, для того, щоб запобігти відмові від повідомлення. Приймач може залучити третю сторону, якій можна довірити зберігання запитів відправника, і тим самим запобігти подальшому заперечення відправником факту передачі повідомлення.

Контроль доступу

Контроль доступувикористовує методи докази, що користувач має право доступу до даних або ресурсів, що належить системі. Приклади такого докази - паролі і

Вартість комерційних рішень двухфакторной перевірки автентичності нерідко висока, а розміщувати пристрої ідентифікації і управляти ними складно. Однак можна створити власне рішення для двухфакторной перевірки автентичності з використанням IP-адреси користувача, файлу-«маяка» або цифрового сертифікату.

Різні комерційні рішення забезпечують захист Web-вузлів, що виходить за рамки традиційних методів перевірки автентичності з використанням одного фактора (т. Е. Комбінації імені користувача і пароля). В якості другого фактора можна взяти географічне положення, поведінку користувача, запити з зображеннями, а також більш знайомі смарт-карти, пристрої та відбитки пальців. Додаткові відомості про двохфакторну комерційних рішеннях можна знайти в статтях, перелічених в урізанні «Додаткова література».

Але комерційні рішення - не єдиний варіант. Двухфакторную процедуру перевірки автентичності можна підготувати самостійно. У даній статті пропонуються деякі рекомендації з проектування двухфакторной перевірки автентичності для Web-додатків, а також наводяться приклади вихідного тексту, на основі яких можна почати власний проект.

Огляд двухфакторной перевірки

Повернемося до короткого огляду двухфакторной перевірки автентичності, т. Е. Використання двох різних форм ідентифікації потенційних користувачів. Перевірити справжність можна із застосуванням трьох форм:

Чогось відомого;

Якийсь характеристики користувача;

Чогось, що є у користувача.

У більшості додатків застосовується тільки одна з цих форм, зазвичай перша. Ім'я користувача і пароль є відомі дані.

Цей рівень безпеки цілком прийнятний для більшості Web-вузлів і додатків. Однак, з огляду на значне збільшення числа крадіжок особистих даних і інших видів шахрайства в мережі, на деяких Web-вузлах вводиться двухфакторная перевірка справжності. Відповідно до нового законодавства починаючи з 2007 р всі електронні банківські сайти повинні застосовувати двухфакторную перевірку. Незабаром ці вимоги можуть бути поширені на сайти з підбору персоналу, медичні, урядові та інші сайти, на яких можна отримати доступ до особистих даних.

Як зазначалося вище, існує багато комерційних продуктів для двухфакторной перевірки. Їх ціни найрізноманітніші, хоча початковий рівень досить високий. Не у кожної компанії є кошти для великого рішення. А деякі компанії використовують вузькоспеціалізовані програми, погано сумісні з комерційними продуктами. У будь-якому випадку корисно подумати про власний двухфакторную вирішенні. Наведені в цій статті рекомендації допоможуть вийти на вірний шлях проектування.

Застосування IP-адреси

У статті «Захистіть сайт від атак», опублікованій в., Дається короткий опис застосування IP-адреси для додаткової ідентифікації користувача. Цей метод відноситься до категорії «якийсь характеристики користувача». У багатьох комерційних рішеннях використовуються біологічні характеристики (наприклад, відбитки пальців або візерунок райдужної оболонки ока). Завдяки зниженню вартості апаратних засобів і вдосконалення програм цей варіант став більш практичним, але ціни все ще досить високі.

Крім того, деякі користувачі заперечують проти зберігання їх біометричних даних в компанії. Одна справа, якщо хтось сторонній дізнається номер карти соціального забезпечення, і зовсім інше - крадіжка відбитків пальців!

Використовувати рішення, засноване на програмному коді, простіше і дешевше. Природно, його достовірність поступається фізичним рішенням, але для багатьох випадків застосування воно забезпечує достатню точність. У кожного користувача є IP-адреса, який може використовуватися як другий фактор перевірки.

Суть методу зводиться до того, що при спробі реєстрації IP-адреса користувача витягується з журналів Web-сервера або іншого джерела. Потім адреса піддається однієї або кількох перевірок. У разі успіху і якщо ім'я реєстрації і пароль вірні, користувачеві надається доступ. Якщо користувач не проходить цей рівень перевірки, запит відкидається або направляється на більш глибокий рівень аналізу. Зокрема, користувачеві можуть бути задані додаткові особисті питання (наприклад, назвати дівоче прізвище матері) або запропоновано звернутися по телефону до уповноваженого представника для внесетевой перевірки.

Існує кілька способів перевірки IP-адреси, кожен з яких забезпечує певний рівень достовірності при ідентифікації користувача. Найпростіший тест - порівняти IP-адреса користувача зі списком відомих небажаних адрес поза області обслуговування. Наприклад, якщо користувачі знаходяться в основному в одній країні, то можна проводити порівняння зі списком небажаних адрес поза цієї країни. З огляду на, що значна частина спроб крадіжки особистих даних виходить з-за меж конкретної країни, блокування небезпечних адрес за межами країни напевно дозволить запобігти великій кількості спроб шахрайства.

Отримати списки небезпечних адрес не складе труднощів. Список Bob's Block List за адресою http://www.unixhub.com/block.html починається з блоків адрес в Азії, Латинській Америці та країнах Карибського басейну. Зіставлення з ним може бути корисним, якщо у компанії немає користувачів в цих регіонах. Слід зазначити, що в списки, отримані з безкоштовних вузлів, потрібно внести деякі зміни, щоб не блокувати корисні сайти. Комерційні списки відрізняються більш високою точністю, наприклад MaxMind за адресою http://www.maxmind.com. У лістингу 1 показаний зразок псевдокоду для реалізації цього підходу.

Однак, якщо небажано блокувати користувачів по регіонах або необхідна більш висока вибірковість, можна записувати IP-адреса користувача при реєстрації під час першого відвідування, за умови що процес реєстрації у своєму розпорядженні засоби перевірки користувача. Зокрема, можна запропонувати користувачеві відповісти на один або два питання (наприклад, попросити назвати номер школи, в якій він навчався) або попросити ввести реєстраційний код, попередньо переданий йому по електронній пошті. Після того як отримано IP-адресу і проведена перевірка, можна використовувати цю адресу для оцінки подальших спроб реєстрації.

Якщо всі користувачі будуть звертатися за доступом тільки з корпоративних сайтів з відомими і фіксованими IP-адресами, то дуже ефективний метод - зіставлення зі списком заздалегідь схвалених адрес. При цьому користувачі з невідомих сайтів позбавляються права доступу. Однак якщо користувачі звертаються з сайтів, адреси яких невідомі заздалегідь, наприклад, з дому, де зазвичай немає статичного IP-адреси, то точність визначення різко знижується.

Менш надійне рішення - порівнювати «нечіткі» IP-адреси. Internet-провайдери домашніх користувачів призначають IP-адреси з належного їм діапазону, зазвичай підмережі класу C або B. Тому для перевірки автентичності можна використовувати лише перші два або три октету IP-адреси. Наприклад, якщо для користувача зареєстрований адреса 192.168.1.1, то згодом для нього, можливо, доведеться приймати адреси з 192.168.1.1 до 192.168.254.254. Такий підхід пов'язаний з деяким ризиком атаки з боку зловмисника, котрий має послугами того ж провайдера, але тим не менше він дає хороші результати.

Крім того, користувачів можна перевіряти, використовуючи IP-адреси для визначення їх місцезнаходження. Необхідно купити комерційну базу даних, що містить всі відомі області IP-адрес і їх приблизне місце розташування, наприклад у такій компанії, як MaxMind або Geobytes (http://www.geobytes.com). Якщо зареєстроване місце розташування користувача - Х'юстон і згодом він спробує звернутися до сайту з Румунії або навіть з Нью-Йорка, то в доступі можна відмовити або, по крайней мере, виконати більш глибоку перевірку. Цей метод вирішує проблеми зміни провайдером блоку адрес. Однак у зловмисника залишається шанс доступу з того місця, де є зареєстровані користувачі.

Можна виконати перевірку справжності з подвійним другим фактором, починаючи з виключення всіх IP-адрес, які збігаються зі списком блокування, або зіставлення з «білим» списком. Якщо застосовується «білий» список і в ньому немає перевіряється IP-адреси, то користувачеві може бути заданий додатковий питання. Якщо IP-адреса нарешті схвалений, то користувачеві можна запропонувати додати поточний IP-адреса в «білий» список (користувачам слід пояснити, що в список можна вносити тільки адреси регулярно використовуваних комп'ютерів). У лістингу 2 показаний псевдокод для зіставлення зі списком блокування і «білим» списком.

Перевірка справжності із застосуванням IP-адрес не годиться для тих випадків, коли численні мобільні користувачі звертаються до сайту з готельних номерів і інших місць в країні і за її межами, постійно змінюючи IP-адреси, Internet-провайдерів та місцезнаходження. Для таких користувачів не можна застосувати список заборонених IP-адрес. Цих користувачів не виявиться і в списку дозволених IP-адрес. Однак вони все ж можуть відповісти на контрольне запитання в ході перевірки автентичності.

Щоб надати більш надійний захист для «мандрівних користувачів», можна поглибити перевірку, взявши до уваги версію браузера (яка, як правило, змінюється нечасто), операційної системи і навіть MAC-адресу мережевої плати. Однак при використанні таких методів зазвичай потрібно запустити спеціальну програму на клієнті для доступу до необхідних параметрів. Правда, MAC-адреси і версії браузера та операційної системи можна підробити, і цей метод захисту не є бездоганно надійним.

Використання файлів-«маяків» і сертифікатів

Альтернативний варіант - задіяти одну з двох інших форм перевірки: «чогось, що є у користувача». Апаратні системи перевірки запитують спеціальний пристрій. В самостійно проектованих програмних системах можна використовувати файли- «маяки» або сертифікат, що зберігається в комп'ютерах користувачів. Цей підхід подібний до сертифікатам безпеки на Web-вузлах електронної комерції, які засвідчують, що інформація про замовлення передається на потрібний сайт.

Найпростіше застосувати файли- «маяки». Багато компаній використовують їх для відстеження сеансових ключів та іншої інформації для користувачів. Потрібно лише створити постійний файл-«маяк» і зберегти його в комп'ютері користувача для впізнання в майбутньому. Можна не обмежуватися простими файлом- «маяком» і зашифрувати частину файлу, щоб шахраєві було важче підробити його.

Більш високий рівень безпеки забезпечують цифрові сертифікати. Вони вимагають певної підготовки з боку користувача: сертифікат необхідно створити всередині компанії або отримати з центру сертифікації (Certificate Authority, CA). Останній метод більш надійний, так як підробити зовнішній сертифікат важче. Однак поточні витрати на підтримку сертифіката можна порівняти з витратами на двухфакторную рішення на основі пристроїв ідентифікації.

Звичайно, файли- «маяки» і сертифікати застосовні тільки на домашніх комп'ютерах співробітників та інших комп'ютерах, зареєстрованих в системі перевірки автентичності. Потрібен альтернативний метод для впізнання користувачів, що працюють з комп'ютерами, які їм не належать. Один з таких методів - контрольні питання, згадані вище і наведені в лістингу 2. Однак подумайте, чи виправдано надання доступу до важливих додатків із загальнодоступних комп'ютерів, з огляду на загрозу з боку програм, які реєструють натискання на клавіші, шпигунських і інших шкідливих програм.

У статті розглянуті два способи організувати просту двухфакторную перевірку справжності для Web-додатків: один з використанням «якийсь характеристики користувача» (IP-адреса), інший з використанням «чогось, що є у користувача» (файли- «маяки» або сертифікати). Слід пам'ятати, що ці рішення не забезпечують дуже високого рівня безпеки, необхідного, наприклад, у фінансовій сфері, для якої більше підходять апаратні засоби. Але наведені в статті рішення чудово поєднуються з іншими методами для більш надійного захисту корпоративних мереж і сайтів електронної комерції.

Поль Хенсарлінг ([Email protected]) - аналітик з безпеки в консалтинговій компанії. Має сертифікат CSSA;

Тоні Хаулетт ([Email protected]) - президент мережевий консалтингової фірми Network Security Services. Має сертифікати CISSP і CSNA

справжність даних

"... Справжність даних - стан даних, походження яких може бути перевірено, і які можуть бути однозначно приписані певним вимірам ..."

джерело:

"Загальні вимоги до ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ЗАСОБІВ ВИМІРЮВАНЬ. Рекомендація. МІ 2891-2004"

(Затв. ФГУП ВНИИМС Ростехрегулірованія 07.12.2004)

Офіційна термінологія. Академік.ру. 2012.

Дивитися що таке "Справжність даних" в інших словниках:

справжність даних- стан даних, походження яких може бути перевірено, і які можуть бути однозначно приписані певним вимірам. Джерело: МІ 2891 2004: Рекомендація. ГСОЄІ. Загальні вимоги до програмного забезпечення засобів вимірювальної техніки ...

справжність- 3.5. Справжність визначальний фактор цінності об'єкта культурної спадщини. Розуміння значення автентичності грає фундаментальну роль в усіх наукових дослідженнях з проблем культурної спадщини та визначається чотирма основними параметрами: ... ... Словник-довідник термінів нормативно-технічної документації

SPKM- (англ. The Simple Public Key GSS API Mechanism простий механізм GSS API на основі інфраструктури з відкритим ключем) мережевий протокол, що володіє інфраструктурою з відкритим, а не симетричним ключем. Протокол застосовується для ... ... Вікіпедія

МІ 2891-2004: Рекомендація. ГСОЄІ. Загальні вимоги до програмного забезпечення засобів вимірювальної техніки- Термінологія МІ 2891 2004: Рекомендація. ГСОЄІ. Загальні вимоги до програмного забезпечення засобів вимірювальної техніки: Дані вимірювальна інформація, представлена ​​у вигляді, придатному для передачі, інтерпретації або обробки. Визначення терміна з ... ... Словник-довідник термінів нормативно-технічної документації

Шан- (Shang) (бл. 16 11 вв. До н.е.), перша достовірно встановлена ​​кит. династія. Справжність даних про неї була підтверджена в 1920 х рр. знайденими поруч з м Аньяном гадальними кістками (драконові кістки). Ведучи війни, займаючись полюванням, царі Ш. ... ... Всесвітня історія

UniCERT- це система PKI (Інфраструктура Відкритих Ключів) для закритих і відкритих типів довірчих структур. Термін PKI можна розшифрувати як сукупність апаратного і програмного забезпечення, людей і процедур, необхідних для управління, зберігання, ... ... Вікіпедія

Електронні гроші- (Electronic money) Електронні гроші це грошові зобов'язання емітента в електронному вигляді Все, що потрібно знати про електронні гроші історія і розвиток електронних грошей, переклад, обмін і виведення електронних грошей в різних платіжних системах ... Енциклопедія інвестора

Дунс Скот- [лат. Ioannes (Johannes) Duns Scotus] († 8.11.1308, Кельн), средневек. філософ і богослов, католич. священик, член чернечого ордену францисканців; в католич. Церкви прославлений у лику блаженних (пам. Зап. 8 нояб.). Життя. Дунс Скот. 1473 ... ... Православна енциклопедія

критика біблійна- т. Е. Критика книг священних старозавітних єврейських і новозавітних християнських. Вона має своїм предметом: 1) дослідження їх справжності, т. Е. Приналежності тим авторам, яким вони приписуються переказом, і взагалі обставин їх ... ... Енциклопедичний словник Ф.А. Брокгауза і І.А. Ефрона

ПАВЛА СВ. АПОСТОЛА ПОСЛАННЯ- розділ новозав. * Канону, що складається з 14 послань. У кожному з них, крім Євр, ап.Павел у вступних словах називає себе по імені. П.а.п. прийнято ділити на 4 групи: 1) Ранні ПОСЛАННЯ (1-2 Фес; іноді до них приєднують Гал); 2) Великі ... ... Бібліологічний словник

книги

• Велесова книга. Веди про устрій життя і початку віри слов'ян, Максименко Георгій Захарович. Це унікальне видання представляє текст Велесової книги і його дешифрування в зіставленні з новітніми науковими відкриттями. Тут ви знайдете відповіді на найскладніші питання, пов'язані з ... Купити за 1404 руб
• Велесова книга Веди про устрій життя і початку віри слов'ян, Максименко Г .. Це унікальне видання представляє текст «Велесової книги» та його дешифрування в зіставленні з новітніми науковими відкриттями. Тут ви знайдете відповіді на найскладніші питання, пов'язані з ...