Имя материала: Комплексная защита информации в компьютерных системах

Автор: Виктор Иванович Завгородний

5.1.4. подсистема доступа на объект

 

Доступ на объекты производится на контрольно-пропускных пунктах (КПП), проходных, через контролируемый вход в здания и помещения. На КПП и проходных дежурят контролеры из состава дежурной смены охраны. Вход в здания и помещения может контролироваться только техническими средствами. Проходные, КПП, входы в здания и помещения оборудуются средствами автоматизации и контроля доступа.

Одной из основных задач, решаемых при организации допуска на объект, является идентификация и аутентификация лиц, допускаемых на объект. Их называют субъектами доступа.

Под идентификацией понимается присвоение субъектам доступа идентификаторов и (или) сравнение предъявляемых идентификаторов с перечнем присвоенных идентификаторов, владельцы (носители) которых допущены на объект.

Аутентификация означает проверку принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Различают два способа идентификации людей: атрибутивный и биометрический. Атрибутивный способ предполагает выдачу субъекту доступа либо уникального предмета, либо пароля (кода), либо предмета, содержащего код.

Предметами, идентифицирующими субъект доступа, могут быть пропуска, жетоны или ключи от входных дверей (крышек устройств). Пропуска, жетоны и тому подобные идентификаторы не позволяют автоматизировать процесс допуска. Идентификация и аутентификация личности осуществляется контролером и поэтому носит субъективный характер. Пароль представляет собой набор символов и цифр, который известен только владельцу пароля и введен в систему, обеспечивающую доступ. Пароли используются, как правило, в системах разграничения доступа к устройствам КС. При допуске на объекты КС чаще используются коды. Они используются для открытия кодовых замков и содержат, в основном, цифры. Наиболее перспективными являются идентификаторы, которые представляют собой материальный носитель информации, содержащий идентификационный код субъекта доступа. Чаще всего носитель кода выполняется в виде пластиковой карты небольшого размера (площадь карты примерно в 2 раза больше площади поверхности спичечного коробка). Код идентификатора может быть считан только с помощью специального устройства. Кроме кода карта может содержать фотографию, краткие данные о владельце, т. е. ту информацию, которая обычно имеется в пропусках.

Пластиковые карты должны отвечать ряду требований:

* сложность несанкционированного считывания кода и изготовления дубля карты;

* высокие эксплуатационные качества;

* достаточная длина кода;

* низкая стоимость.

Под эксплуатационными качествами понимается надежность функционирования, возможность периодической смены кода, устойчивость к воздействиям внешней среды, удобство хранения и использования, длительный срок службы.

В зависимости от физических принципов записи, хранения и считывания идентификационной информации карты делятся на [48]:

* магнитные;

* инфракрасные;

* карты оптической памяти;

* штриховые;

* карты «Виганд»;

* полупроводниковые.

Магнитные карты имеют магнитную полосу, на которой может храниться около 100 байт информации. Эта информация считывается специальным устройством при протаскивании карты в прорези устройства.

На внутреннем слое инфракрасных карт с помощью специального вещества, поглощающего инфракрасные лучи, наносится идентификационная информация. Верхний слой карт прозрачен для инфракрасных лучей. Идентификационный код считывается при облучении карты внешним источником инфракрасных лучей.

При изготовлении карт оптической памяти используется WORM-технология, которая применяется при производстве компакт-дисков. Зеркальная поверхность обрабатывается лучом лазера, который прожигает в нужных позициях отверстия на этой поверхности. Информация считывается в специальных устройствах путем анализа отраженных от поверхности лучей. Емкость такой карты от 2 до 16 Мбайт информации.

В штриховых картах на внутреннем слое наносятся штрихи, которые доступны для восприятия только при специальном облучении лучами света. Варьируя толщину штрихов и их последовательность, получают идентификационный код. Процесс считывания осуществляется протаскиванием карты в прорези считывающего устройства.

Карточки «Виганд» содержат в пластиковой основе впрессованные отрезки тонкой проволоки со случайной ориентацией. Благодаря уникальности расположения отрезков проволоки каждая карта особым образом реагирует на внешнее электромагнитное поле. Эта реакция и служит идентифицирующим признаком.

Полупроводниковые карты содержат полупроводниковые микросхемы и могут быть контактными и бесконтактными. Контактные карты имеют по стандарту ISO 7816-1:1988 восемь металлических контактов с золотым покрытием. Наиболее простыми полупроводниковыми контактными картами являются карты, содержащие только микросхемы памяти. Наибольшее распространение из карт такого типа получили карты Touch Memory. Карта содержит постоянную память объемом 64 бита, в которой хранится серийный номер Touch Memory. Карта может иметь и перезаписываемую энергонезависимую память объемом от 1Кбит до 4Кбит. Карта этого типа не имеет разъема. Его заменяет двухпроводный интерфейс последовательного типа.

Полупроводниковые карты, имеющие в своем составе микропроцессор и память, называют интеллектуальными или смарт-картами. Смарт-карты фактически содержат микро-ЭВМ. Кроме задач идентификации такие карты решают целый ряд других задач, связанных с разграничением доступа к информации в КС. Еще более широкий круг задач способны решать суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, которая используется в системе VISA. Возможности смарт-карты в таких картах дополнены миниатюрным монитором и клавиатурой.

Бесконтактные («проксимити») карты имеют в своем составе энергонезависимую память, радиочастотный идентификатор и рамочную антенну. Идентификатор передает код считывающему устройству на расстоянии до 80 см.

Наименее защищенными от фальсификации являются магнитные карты. Максимальную защищенность имеют смарт-карты. Карты «проксимити» очень удобны в эксплуатации.

Все атрибутивные идентификаторы обладают одним существенным недостатком. Идентификационный признак слабо или совсем не связан с личностью предъявителя.

Этого недостатка лишены методы биометрической идентификации. Они основаны на использовании индивидуальных биологических особенностей человека.

Для биометрической идентификации человека используются [51,68]:

* папиллярные узоры пальцев;

* узоры сетчатки глаз;

* форма кисти руки;

* особенности речи;

* форма и размеры лица;

* динамика подписи;

* ритм работы на клавиатуре;

* запах тела;

* термические характеристики тела.

Дактилоскопический метод идентификации человека используется давно. Он показал высокую достоверность идентификации. Папиллярные узоры считываются с пальца специальным сканером. Полученные результаты сравниваются с данными, хранящимися в системе идентификации.

Для удешевления оборудования идентификация проводится с использованием не всех признаков. На вероятность ошибки влияют некоторые факторы, например, температура пальцев. Из отечественных разработок таких систем известны системы «Кордон», «Папилон», DALLAS Bio-95 [70].

По надежности и затратам времени метод идентификации по узорам сетчатки глаз сопоставим с дактилоскопическим методом [69]. С помощью высококачественной телекамеры осуществляется сканирование сетчатки глаза. Фиксируется угловое распределение кровеносных сосудов на поверхности сетчатки относительно слепого пятна глаза и других признаков. Всего насчитывается около 250 признаков. Оба метода доставляют субъектам доступа некоторый дискомфорт. Дактилоскопический метод у многих ассоциируется со снятием отпечатков пальцев у преступников. Метод сканирования сетчатки глаза доставляет неудобства, которые человек испытывает в процессе сканирования. Кроме того, метод идентификации по узору сетчатки глаза требует использования дорогостоящего оборудования.

Идентификация человека по форме кисти руки основана на анализе трехмерного изображения кисти. Метод менее надежен, устройство идентификации довольно громоздко. Вместе с тем метод технологичен и не требует хранения больших объемов информации.

Широкое распространение нашли способы идентификации человека по голосу и по параметрам лица. По надежности методы уступают методам идентификации по отпечаткам пальцев и узорам сетчатки глаза. Объясняется это значительно меньшей стабильностью параметров голоса и лица человека. Однако лучшие системы обеспечивают вероятность достоверной идентификации порядка 0,98, что позволяет использовать их на практике (Voice Bolt).

Системы идентификации по почерку анализируют графическое начертание, интенсивность нажатия и быстроту написания букв. Контрольное слово пишется на специальном планшете, который преобразует характеристики письма в электрические сигналы. Системы такого типа обеспечивают высокую надежность идентификации.

Идентификация по ритму работы на клавиатуре [38] основывается на измерении времени между последовательным нажатием двух клавиш. В системе хранятся результаты измерений на тестовом тексте, обработанные методами математической статистики. Идентификация производится путем набора, статистической обработки произвольного или фиксированного текста и сравнения с хранящимися данными. Метод обеспечивает высокую надежность идентификации. Это единственный биометрический метод идентификации, не требующий дополнительных аппаратных затрат, если он используется для допуска к работе на технических средствах, имеющих наборные устройства.

Методы идентификации по запаху и термическим характеристикам тела пока не нашли широкого применения.

Основным достоинством биометрических методов идентификации является очень высокая вероятность обнаружения попыток несанкционированного доступа. Но этим методам присущи два недостатка. Даже в лучших системах вероятность ошибочного отказа в доступе субъекту, имеющему право на доступ, составляет 0,01. Затраты на обеспечение биометрических методов доступа, как правило, превосходят затраты на организацию атрибутивных методов доступа.

Для повышения надежности аутентификации используются несколько идентификаторов.

Подсистема доступа на объект выполняет также функции регистрации субъектов доступа и управления доступом. Если на объекте реализована идентификация с использованием автоматизированной системы на базе ПЭВМ, то с ее помощью может вестись протокол пребывания сотрудников на объекте, в помещениях. Такая система позволяет осуществлять дистанционный контроль открывания дверей, ворот и т. п., а также оперативно изменять режим доступа сотрудников в помещения.

К средствам управления доступом можно отнести средства дистанционного управления замками, приводами дверей, ворот, турникетов и т. п.

 

Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | 109 | 110 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 119 | 120 | 121 | 122 | 123 | 124 | 125 | 126 | 127 |