НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

Факультет кібербезпеки, комп’ютерної та програмної інженерії

кафедра Комп’ютеризованих систем захисту інформації

ЗВІТ

З ЛАБОРАТОРНОЇ РОБОТИ № 1
З ДИСЦИПЛІНИ « Технології створення та
застосування систем захисту кіберпростору»

Роботу виконав студент:

Кузьменко Є.Р.

група БІ-142м

захищено з оцінкою   _____

Викладач: Мартинюк І.В.

______________________
(підпис)

“__”______ 2022 р.

КИЇВ 2022
 Завдання: Знайти матеріали про прийняття рішення про надання
доступу, проаналізувати їх, оцінити достоїнства і недоліки і провести
порівняльний аналіз.

Для того, щоб зробити аналіз переваг та недоліків рішень про надання
доступу, необхідно дати визначення наступним поняттям.

Управління доступом – це механізм безпеки, який управляє процесом

взаємодії користувачів із системами та ресурсами, а також систем між собою.
Цей механізм захищає системи та ресурси від несанкціонованого доступу та
бере участь у визначенні рівня авторизації після успішного проходження
процедури аутентифікації. Не можна забувати про те, що крім користувачів, в
мережі існують інші сутності, яким потрібен доступ до мережевих ресурсів та
інформації. У процесі управління доступом необхідно знати та розуміти
визначення суб'єкта та об'єкта.

Доступ – це потік інформації між суб'єктом та об'єктом. Суб'єкт –

активна сутність, що запитує доступ до об'єкта або даних усередині об'єкта.
Суб'єктом може бути користувач, програма або процес, який використовує
доступ до об'єкта для виконання завдання. Об'єкт – пасивна сутність, що
містить інформацію. Об'єктом може бути комп'ютер, база даних, файл,
програма, директорія або поле таблиці бази даних. Наприклад, якщо ви
переглядаєте інформацію в базі даних, ви є активним суб'єктом, а база даних –
пасивним об'єктом.

Управління доступом – це широке поняття, що включає різні типи

механізмів, що виконують функції управління доступом для комп'ютерних
систем, мереж та інформації. Управління доступом дуже важливо, оскільки є
першою лінією оборони у боротьбі з несанкціонованим доступом до систем та
мережевих ресурсів. Коли користувач запитує ім'я та пароль для входу до
комп'ютера, це керування доступом. Після входу в комп'ютер користувач
намагається отримати доступ до файлів, які мають списки контролю доступу,
що містять переліки користувачів і груп, які мають право використовувати ці
файли. Це також управління доступом. Управління доступом дозволяє компанії
керувати, обмежувати, контролювати та захищати доступність, цілісність та
конфіденційність ресурсів.

Кожен механізм захисту (або управління) реалізує як мінімум один із

принципів безпеки.

Доступність. Інформація, системи та ресурси повинні бути доступні

користувачам у потрібний час, оскільки це необхідно для виконання ними своїх
обов'язків.

Відсутність доступу до інформації може мати істотний негативний вплив

на продуктивність роботи користувачів. Слід застосовувати механізми
забезпечення відмови та відновлення для забезпечення безперервної
доступності ресурсів.

Інформація має різні атрибути, такі як точність, актуальність,

оперативність та таємність. Для біржових брокерів дуже важливо мати точну та
своєчасну інформацію, щоб вони могли купувати та продавати цінні папери у
потрібний час та за правильною ціною. Брокеру не потрібно дбати про
конфіденційність цієї інформації, його цікавить лише її постійна доступність. З
іншого боку, компанія, що випускає безалкогольні напої, залежить насамперед
від збереження в таємниці рецептів приготування цих напоїв і дбатиме про це,
впроваджуючи відповідні механізми безпеки.

Цілісність. Інформація має бути точною, повною та захищеною від

несанкціонованих змін. Механізми безпеки, що забезпечують цілісність
інформації, повинні повідомляти користувачів чи адміністраторів про факти
незаконних змін. Наприклад, якщо користувач спрямовує до банку за системою
Інтернет-банкінгу платіжне доручення, банк повинен переконатися в його
цілісності та в тому, що ніхто не вніс несанкціонованих змін у суму, не змінив
отримувача платежу.

Конфіденційність. Інформація має бути захищена від несанкціонованого

розкриття неуповноваженим особам, програмам або процесам. Одна інформація
може бути більш критичною, ніж інша інформація, тому вона вимагає вищого
рівня конфіденційності. У зв'язку з цим дані мають бути класифіковані. Слід
застосовувати механізми керування, які вказують, хто має доступ до даних та
що може робити з ними, отримавши доступ. Ця діяльність має контролюватись і
постійно відстежуватися. Прикладом конфіденційної інформації може бути
медичні записи, фінансові рахунки, вихідні тексти програм, військові тактичні
плани., управління потоками трафіку, використанням безпечних протоколів
тощо.

Доступом, а також права та привілеї для виконання дій, які він запросив.
Тільки при успішному виконанні всіх цих кроків користувач повинен надавати
доступ до ресурсів. Крім того, слід відстежувати дії користувачів,
використовуючи для цього засоби обліку.

Хоча ідентифікація, аутентифікація, авторизація та підзвітність тісно

пов'язані між собою, кожен елемент має різні функції, які реалізують певні
вимоги у процесі керування доступом. Користувач може бути успішно
ідентифікований та автентифікований для доступу до мережі, але він може не
мати дозволу на доступ до файлів на файловому сервері. Або навпаки,
користувач може бути дозволений доступ до файлів на файловому сервері, але
поки він не пройшов успішно процедури ідентифікації та аутентифікації, ці
файли йому недоступні.
 Логічне управління доступом – це інструмент, який використовується
для ідентифікації, автентифікації, авторизації та підзвітності. Це реалізується у
вигляді програмних компонентів, що виконують функції управління
доступом до систем, програм, процесів та інформації. Логічне керування
доступом може бути вбудоване в операційну систему, програми, додаткові
пакети безпеки, бази даних або системи керування телекомунікаціями.
Можливо складним синхронізувати всі механізми управління доступом,
врахувавши у своїй всі можливі вразливості і зашкодивши продуктивності.

Управління ідентифікацією (IdM – Identity Management) – це широке

поняття, яке полягає у використанні різних автоматизованих засобів
ідентифікації, автентифікації та авторизації користувачів.

Для фахівця з безпеки важливо розуміти не лише сам термін IdM, а й

технології, на основі яких реалізується повноцінне корпоративне рішення IdM.
IdM вимагає управління унікально ідентифікованими сутностями, їхніми
атрибутами, обліковими даними, правами. IdM дозволяє компанії організувати
життєвий цикл цифрових ідентифікаторів (створення, підтримка, знищення) та
належним чином керувати цим життєвим циклом автоматизованими засобами.
Корпоративна IdM має враховувати потреби та масштаби бізнесу.

Ринок продуктів управління ідентифікацією сьогодні процвітає, тому що

ці продукти дозволяють знизити адміністративні витрати, підвищити безпеку,
забезпечити відповідність вимогам та підвищити рівень сервісу у масштабах
усієї компанії. Підвищення складності та різноманітності мережевих середовищ,
що триває, тільки підвищує потреби в управлінні тим, хто може отримати
доступ, до чого і коли. Компанії використовують різні типи програм, мережевих
операційних систем, баз даних, ERP-систем, CRM-систем – всі вони
використовуються для виконання різноманітних завдань бізнесу. У компаній є
партнери, консультанти, підрядники, постійні та тимчасові співробітники.
 Кожен із користувачів використовує кілька різних видів систем для
виконання своїх щоденних завдань, що робить систему керування доступом та
забезпечення необхідного рівня безпеки різних типів даних дуже важким
завданням. Часто це призводить до несподіваних і невиявлених «дір» у захисті
активів, дублювання та суперечності засобів управління, невідповідності
діючим вимогам. Метою технологій IdM є спрощення завдань адміністрування
та наведення ладу в цьому хаосі.

Традиційний процес управління доступом, що здійснюється вручну, з

використанням служби каталогів, списків контролю доступу (ACL) та профілів
став неефективним у сучасних умовах, тому він був замінений на
автоматизовані програми з багатою функціональністю, які працюють спільно
один з одним, створюючи інфраструктуру управління ідентифікацією.
Основними цілями технологій IdM є оптимізація процесів управління
ідентифікацією, автентифікацією, авторизацією та контролем суб'єктів на
безлічі систем у рамках усієї компанії. Впровадження IdM у великій компанії
може бути найскладнішим завданням. На ринку існує безліч рішень щодо
управління ідентифікацією. У рамках CISSP потрібно мати уявлення про такі
типи технологій:

 Каталоги
 Управління веб-доступом
 Управління паролями
 Функціональність єдиного входу (SSO - Single Sign-On)
 Управління обліковими записами
 Оновлення профілів
Біометрія ідентифікує людину, аналізуючи унікальні особисті атрибути
або поведінку, вона є одним із найефективніших і найточніших методів
ідентифікації, оскільки такі атрибути зазвичай не можна змінити (не завдаючи
фізичної шкоди) і складно підробити. Біометрія є дуже витонченою системою,
тому вона зазвичай дорожча і складніша, ніж інші механізми ідентифікації.
Біометричні системи сканують атрибут (поведінку) людини, а потім
порівнюють його із заздалегідь записаним еталонним зразком. У роботі таких
систем можуть виникати помилки двох видів: помилковий дозвіл (false positive)
та помилкова відмова (false negative). Такі системи мають бути калібровані для
забезпечення максимально можливої точності результатів.

Відбиток пальця

Відбитки пальців складаються з борозенок папілярних ліній, їх

роздвоєння та з'єднань, а також більш детальних характеристик, званих
мінуціями. Відмінність цих мінуцій дає кожній людині унікальні відбитки
пальців. Людина поміщає свій палець на пристрій, який зчитує його відбиток та
порівнює з еталоном. Якщо вони збігаються, особистість людини вважається
підтвердженою. Системи, що зчитують відбитки пальців, зберігають повну
інформацію відбитка, що займає багато місця та потребує значних ресурсів для
обробки. Тому технології сканування відбитків пальців отримують лише певну
частину інформації відбитка пальця, зберігання якої вимагає менше місця,
прискорюється пошук і порівняння з еталонною інформацією в базі даних.

Сканування долоні

Долонь також містить багату інформацію, багато аспектів якої можуть

використовуватися для ідентифікації людини. Долоня має складки, борозенки,
поглиблення, унікальні для кожної людини. Сканування долоні включає
сканування відбитка кожного пальця. Людина поміщає свою долоню на
біометричний пристрій, який здійснює її сканування. Отримана у своїй
інформація порівнюється з еталонним файлом.

Геометрія руки
 Форма руки людини (форма, довжина і ширина руки та пальців)
визначає геометрію руки, що є унікальною особливістю, що значно відрізняє
одну людину від іншої. Це використовується біометричними системами для
ідентифікації. Людина поміщає руку на пристрій, який має виїмки для кожного
пальця. Система порівнює геометрію кожного пальця та руки загалом з
інформацією в еталонному файлі.

Сканування сітківки ока

Система сканує малюнок кровоносних судин сітківки на задній стінці

очного яблука. Це зображення абсолютно унікальне у різних людей. Камера за
допомогою інфрачервоних променів підсвічує сітківку, отримує відображене
зображення кровоносних судин та порівнює його з еталонним файлом.

Сканування райдужної оболонки ока

Райдужна оболонка - це кольорове коло, що облямовує чорну зіницю.

Зображення райдужної оболонки має унікальні візерунки, тріщини, кольори,
кільця, корони, борозни. Кожна з цих унікальних параметрів знімається
камерою і порівнюється з еталонним файлом. З усіх біометричних систем,
сканування райдужної оболонки ока є найточнішим методом. Райдужна
оболонка не змінюється з віком, що також знижує ймовірність помилок у
процесі аутентифікації.

Динаміка підпису

Коли людина ставить підпис, вона зазвичай робить це тим самим чином і
за один і той же час. У процесі підпису фізичні рухи виробляють електричні
сигнали, що фіксуються біометричною системою. Ці сигнали забезпечують
унікальні характеристики, що відрізняють одну людину від іншої. Динаміка
підпису містить більше інформації, ніж просто зображення підпису. При
проведенні ідентифікації людини за динамікою підпису враховується швидкість
підпису, тиск, спосіб, яким людина тримає перо. Все це забезпечує більш точну
ідентифікацію.

Динаміка роботи на клавіатурі

Так само, як і при аналізі динаміки підпису, цей метод фіксує електричні
сигнали при наборі користувачем на клавіатурі певної фрази. При цьому
біометрична система фіксує швидкість та рухи процесу введення. Кожна
людина має свій стиль та швидкість, які перетворюються на унікальні сигнали.
Цей метод аутентифікації ефективніший, ніж перевірка пароля. Повторити
стиль друку людини набагато складніше, ніж підібрати пароль.

Штамп голосу

Звуки голосу та стиль мовлення людей мають безліч невеликих

відмінностей. Біометрична система може створювати штамп голосу, який буде
унікальним для кожної людини, і порівнювати цю інформацію з еталонним
файлом. У процесі підготовки еталонного файлу людини просять вимовити
кілька різних слів. При перевірці система перемішує ці слова (щоб уникнути
спроб аудіозапису та відтворення) та пропонує людині повторити їх.

Сканування особи

Людська особа містить безліч індивідуальних ознак (структура кісток,

форма носа, ширина очей, розмір чола, форма підборіддя). Ця інформація
сканується та порівнюється з еталонним файлом. Якщо інформація збігається,
людина вважається ідентифікованою. Камера системи робить знімки кисті з
різних ракурсів під різними кутами та порівнює з еталонним файлом.
Отримувані у своїй атрибути є достатньо унікальними, тому даний метод
зазвичай застосовується разом із методом аналізу геометрії руки. Деякі
біометричні системи додатково перевіряють пульсації та/або тепло тіла, щоб
переконатися, що людина, що ідентифікується, жива. Це дозволяє уникнути
помилкової ідентифікації за допомогою чужого пальця чи ока. Як і будь-яка
інша система, біометрія має свої недоліки та проблеми, які викликані в
основному тим, що робота біометричних систем залежить від конкретних
унікальних характеристик живих людей. Багато з цих параметрів з часом
змінюються, а еталонна інформація біометричних систем залишається
статичною. Наприклад, розпізнавання мови може бути утруднено, якщо людина
зайшла до теплого приміщення з морозу; вагітність може змінити структуру
сітківки; людина може втратити палець. У цьому світі ні в чому не можна бути
цілком упевненим.

Паролі

Ідентифікатор користувача в парі з постійним (повторно

використовуваним) паролем є найпоширенішим способом ідентифікації та
аутентифікації. Пароль – це захищений рядок символів, який використовується
для автентифікації користувача. Пароль є фактором «щось знати»
(автентифікація знання). Дуже важливо використовувати надійні паролі та
належним чином керувати ними.

Смарт-карти

Смарт-карта має можливості обробки інформації, що зберігається в ній,

оскільки вона володіє мікропроцесором та інтегральними схемами,
вбудованими в саму карту. Смарт-карта може забезпечити двофакторну
автентифікацію, вимагаючи від користувача ввести PIN-код («щось знати»),
щоб розблокувати смарт-картку («щось мати»). Існує два основних типи смарт-
карт: контактні та безконтактні. Контактна смарт-карта має золоті контактні
майданчики на лицьовій стороні. Коли таку картку повністю вставлено в
зчитувач, ці контактні майданчики стикаються з відповідними електричними
контактами в зчитувачі, які призначені для електричного живлення компонентів
смарт-карти та передачі необхідної для автентифікації інформації. Безконтактна
смарт-карта має антену, яка прокладена по периметру картки. Коли картка
потрапляє в електромагнітне поле зчитувача, антена в карті виробляє достатньо
енергії для електричного живлення внутрішніх компонентів картки. Результати
обробки смарт-картою автентифікаційних даних можуть транслюватись за
допомогою тієї ж антени. Аутентифікація може виконуватися з використанням
одноразового пароля, застосування методу запит/відповідь або за допомогою
закритого ключа при використанні серед PKI.

Висновок

В ході виконання аналізу рішень про надання доступу можна зробити

висновок, що у кожного рішення є свої переваги та недоліки. Спеціаліст з
кібербезпеки повинен орієнтуватись в сучасних реаліях забезпечення рішень
доступу, в залежності від основних задач, цілей та потреб системи та
підприємства.