Подход к решению проблемы повышения информационной безопасности предприятия



Стаття | Article    

Download

В работе проведён анализ основных угроз информационной безопасности предприятия, характерных для текущего времени. Показано, что важнейшим фактором, влияющим на этот показатель, является выбор метода аутентификации пользователя информационной системы. Предложено в качестве эффективного метода биометрической аутентификации применять аутентификацию по клавиатурному почерку пользователя.

Ключевые слова: информационная безопасность, угроза, аутентификация, динамический признак, пользователь, клавиатурный почерк.

Approach to the problem of increasing information security companies

The analysis of the mainthreats to information security of the enterprise, typical for the current time, was conducted in the work. It is shown that the most important factor influencing this indicator is the choice of the method of user authentication of the information system. It is proposed to use the authentication of the user's keyboard handwriting as an effective method of biometric authentication.

Keywords: information security, threat, authentication, dynamic sign, user, keyboard handwriting.

Igor Yu. Grishin, professor

Rena R. Timirgaleeva, professor

Maxim V. Mironov,  postgraduate

Kuban State Technological University, Russia, Krasnodar

Анализ угроз информационной безопасности предприятия

С каждым годом увеличивается число негативных воздействий на информацию и IT-инфраструктуру предприятий. Согласно ГОСТ Р 51275-2006 по отношению к объекту информации, факторы, воздействующие на безопасность защищаемой информации, подразделяются на внутренние и внешние, что подтверждается статистикой и аналитическими исследованиями ведущих компаний в области информационной безопасности. Так, по данным компании Info Watch [1], в 2016 году в 38% случаях утечки информации произошли из-за воздействия внешних атак на компьютерные системы предприятий, в 52% причиной утечек стали действия внутренних злоумышленников и сотрудников предприятий. По итогам 2016 года Россия заняла второе место в мире по числу известных случаев утечек. В исследуемый период было зарегистрировано 213 случаев утечки конфиденциальной информации из российских коммерческих и государственных организаций. При этом большее число инцидентов информационной безопасности было зафиксировано на предприятиях, принадлежащих следующим отраслям экономики: транспорт, интернет-сервисы и услуги, электронная коммерция и ретейл, медицина, финансовый и банковский сектор, государственный сектор.

Основным типом информации, в отношении которой были зафиксированы инциденты, по данным за 2016 год (рис. 1), стали персональные (85,6 %) и платёжные данные (около 7 %),коммерческая тайна (5,5 %), государственная тайна (1,7%).

Рисунок 1 – Распределение утечек по типам данных в 2016 году

Причиной большинства нарушений информационной безопасности данных стала утечка информации (около 83 % случаев), возникшая в результате превышения прав доступа к информации и сервисам, несанкционированного доступа злоумышленника к данным, атаки на систему аутентификации и перебора паролей, перехвата информации или её разглашения сотрудниками (рис. 2).

Рисунок 2 – Виды нарушений безопасности информации за 2016 год (по данным Infо Watch)

По данным аналитики компании McAfee [2], среди сетевых атак со стороны злоумышленников в апреле 2017 года 22% приходится именно на системы аутентификации пользователей и парольные системы. Поэтому можно сделать вывод об актуальности и распространённости атак, связанных с попытками несанкционированного доступа и компрометации систем аутентификации пользователей и необходимости применения специализированных средств и механизмов защиты от них.

При выборе подобных систем и средств защиты необходимо учитывать область применения компьютерных систем, тип информации, который в них обрабатывается, и требования регулирующих органов к составу и функциям средств защиты, а также итоговому уровню защищённости компьютерной системы [3].

Информация, обрабатываемая в компьютерной системе, разделяется на общедоступную информацию и информацию ограниченного доступа. В свою очередь, информацию ограниченного доступа можно разделить на государственную тайну и конфиденциальную информацию.

Именно информация ограниченного доступа может быть подвержена угрозам несанкционированного доступа вследствие нарушения прав доступа.

Критерии безопасности, приведённые в «Оранжевой книге», позволяют сделать информационную систему надёжной,обеспечивая одновременную обработку информации разной степени доступности группой пользователей без нарушения прав доступа. Благодаря данным критериям можно ранжировать информационные системы по степени надёжности, то есть применять определённые требования для хранения и обработки к различного рода информации в ИС.

Независимо от того, является ли компьютерная система (КС) однопользовательской или многопользовательской, какую информацию обрабатывает и к какому классу защищённости принадлежит, стандарты ГОСТ Р 51241-2008, «Оранжевая книга», ISO/IEC 15408 регламентируют методы управления доступом субъектов, которые подразумевают собой процедуры обязательной аутентификации и идентификации пользователя как неотъемлемой составляющей безопасности КС.

Таким образом, можно сделать вывод, что система аутентификации и идентификации пользователей в компьютерной системе, вне зависимости от её типа, является необходимой и неотъемлемой частью системы защиты информации как в одной КС, так и для всей ИС организации.

Содержание процедуры аутентификации

Разграничение доступа является одним из наиболее важных компонентов в борьбе с угрозами, связанными с несанкционированным доступом и его последствиями. Смысл данной меры заключается в том, что субъекту доступа назначаются права на доступ к определённым объектам (так называемая матрица полномочий). Для того чтобы пользователь имел права на доступ к объектам,определённым в матрице полномочий, необходимо будет пройти процедуру авторизации, которой предшествует процедура аутентификации (проверка подлинности) для подтверждения того, что субъект является тем, за кого себя выдаёт.

Для корректной аутентификации необходимо, чтобы пользователь предъявил аутентификационную информацию некую уникальную информацию, которой должен обладать только он и никто иной.

Сам процесс аутентификации, на основании [4], можно представить как цепь последовательных процедур, происходящих в локальной или удалённой системе: однократной (регистрация нового пользователя), длительной по времени (хранение), часто повторяющихся (предъявление аутентификатора, протоколы обмена «клиент сервер», валидация, принятие решения«свой- чужой», передача заявки на авторизацию пользователя).

В соответствии с [5] гарантии аутентификации могут быть разделены на 4 уровня:

$1)$ Отсутствие требований конфиденциальности идентификационных данных субъекта;

$2)$ Некоторый уровень требований конфиденциальности идентификационных данных субъекта;

$3)$ Высокий уровень требований конфиденциальности идентификационных данных субъекта;

$4)$ Очень высокий уровень требований конфиденциальности идентификационных данных субъекта.

При оценке степени соответствия системы аутентификации перечисленным выше требованиям необходимо провести анализ не только технико-эксплуатационных характеристик системы и области ее применения, но и оценить потенциальные риски. Согласно [4], для систем аутентификации наиболее характерны следующие типы рисков:

$-$ полный отказ системы аутентификации пользователей;

$-$ отказ в регистрации пользователей;

$-$ отказ в предоставление доступа легальному пользователю;

$-$ регистрация злоумышленника под видом легального пользователя;

$-$ отказ в процедуре принятия решений о принадлежности пользователя к классу легальных;

$-$ отказ протокола обмена данными;

$-$ хищение и несанкционированное копирование злоумышленником идентификационных данных пользователя.

Биометрическая аутентификация

Исходя из оценки качества аутентификации [4, 5, 6], можно сделать вывод о том,что биометрическая аутентификация имеет наибольший обобщённый показатель и является одним из наиболее строгих методов аутентификации. Биометрическая аутентификация является перспективным направлением, что указывает на необходимость её исследования и совершенствования.

Общая схема функционирования биометрических методов аутентификации приведена на рис. 3.

Рисунок 3 – Обобщённая схема функционирования биометрических методов аутентификации

Одним из наиболее перспективных динамических биометрических методов аутентификации является распознавание по клавиатурному почерку [3, 4, 7, 8].

Как правило, для этого динамического метода идентификации человека используется его подпись (иногда написание кодового слова). Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свёртка, в которую входит информация о графических параметрах подписи, временных характеристик нанесения подписи и динамики набора кодового слова. Из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свёртка для идентификации, - динамика набора кодового слова.

Подход к расчёту эффективности разрабатываемой модели аутентификации пользователя на основе поведенческой биометрии

Основными характеристиками, оценивающими качество системы аутентификации, являются её стойкость и надёжность. Однако в данной работе предлагается для оценки качества разрабатываемой модели аутентификации пользователя на основе клавиатурного почерка использовать показатель эффективности, основанный на расчёте ошибок первого и второго рода. Это в первую очередь связано с тем, что при определении принадлежности пользователя к классу«свой - чужой» используется процедура классификации признаков. Как известно,при решении любой задачи классификации, вне зависимости от того, к какой группе относятся признаки - описательные или количественные, - возникает вероятность возникновения ошибок первого и второго рода, которые для задач аутентификации будут определяться следующим образом:

$-$ принятие легального («своего») пользователя за незарегистрированного («чужого») - ошибки первого рода;

$-$ принятие незарегистрированного в системе пользователя («чужого») за легального («своего») - ошибки второго рода, по данным [9, 10] считаются наиболее значимыми для систем аутентификации.

Таким образом, можно считать, что для биометрических систем аутентификации, основанных на распознавании образов, именно ошибки первого и второго рода будут определять качество функционирования системы. При этом на количество ошибок первого и второго рода оказывают непосредственное влияние выбранный алгоритм и метод аутентификации, способ принятия решений, объем обучающей выборки и количество статистических признаков субъекта в базе знаний, а также погрешность и метрика, которые используются при определении аффинности признаков. Для определения аффинности признаков могут использоваться следующие метрики [11, 12]:

$-$ расстояние Хемминга;

$-$ квадратичный индекс нечёткости;

$-$ евклидово расстояние;

$-$ коэффициент сходства Жаккара;

$-$ коэффициент Коха;

$-$ другие.

В соответствии с этим под эффективностью разрабатываемой модели аутентификации пользователя на основе клавиатурного почерка будет пониматься отношение показателей ошибок первого и второго рода при использовании биометрической аутентификации на основе клавиатурного почерка и при использовании других видов биометрической аутентификации.

Выводы

В настоящее время наибольшую опасность для информационной безопасности на предприятии несёт угроза несанкционированного доступа, что позволяет злоумышленникам произвести незаконное проникновение в информационную систему и получить возможность к реализации угроз, связанных с НСД на предприятии.

Анализ существующих стандартов по защите информации показал, что для защиты от угроз, связанных с НСД, необходимо использовать подсистему аутентификации пользователей, которая является неотъемлемой частью системы защиты информации.

Исследованы различные методы аутентификации, и по результатам была выбрана группа методов аутентификации на основе биометрических характеристик человека. Определён подход к оценке эффективности данных методов.

Проанализированы методы биометрических характеристик человека, выбран один из них – динамика клавиатурного набора,который будет реализован и исследован в дальнейшей работе.

Перечень ссылок

$1.$ Глобальное исследование утечек конфиденциальной информации в 2016 году [Електронний ресурс] //Аналитический центр InfoWatch. – 2017. – Режим доступу до ресурсу: www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2016_year.pdf?rel=1

$2.$ McAfee Labs Threats Report April 2017 [Електронний ресурс] // McAfee Labs. – 2017. – Режим доступу до ресурсу: https://www.mcafee.com/ru/resources/reports/rp\-quarterly\-threats\-mar\-2017.pdf.

$3.$ Гришин И. Ю. Анализ перспективных подходов к проектированию систем безопасности распределённых компьютерных сетей / Игорь Юрьевич Гришин. // Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление. – 2015. –№2. – С. 36–40.

$4.$ Гришин И. Ю. Аутентификации пользователей в компьютерной системе на основе поведенческой биометрии / И. Ю. Гришин, М. В. Миронов // Проблеми інформатики та моделювання. Тезиси шістнадцятої міжнародної науково-технічної конференції / И. Ю. Гришин, М. В. Миронов. – Харків: Національний технічний університет "Харківський політехнічний інститут", 2016. – С. 28.

$5.$ Тимиргалеева Р. Р. Формирование бизнес-модели инновационного развития предприятия на основе сценарного подхода / Р. Р. Тимиргалеева, И. Ю. Гришин // Глобальные вызовы в экономике и развитие промышленности (INDUSTRY-2016) Труды научно-практической конференции с зарубежным участием / Р. Р. Тимиргалеева, И. Ю. Гришин. –Санкт-Петербург: Санкт-Петербургский политехнический университет, 2016. – С. 526–535.

$6.$ Гришин И. Ю. Проблемы управления зенитными ракетными комплексами / И. Ю. Гришин, М. К. Можар, В. М. Решетник. // Наука и оборона. – 1994. – №3. – С. 27–32.

$7.$ Ларина Р. Р. Метод динамического программирования и принцип максимума в задачах оптимизации маркетинг-логистических решений / Р. Р. Ларина, И. Ю. Гришин // Труды X Международной ФАМЭТ'2010 конференции / Р. Р. Ларина, И. Ю. Гришин. – Красноярск: Красноярский государственный торгово-экономический институт, 2011. – С. 119–123.

$8.$ Тимиргалеева Р. Р. Информационно-логистическое обеспечение процесса управления сложными организационно-экономическими системами / Р. Р. Тимиргалеева, И. Ю. Гришин. – Симферополь: ИТ "Ариал", 2013. – 248 с.

$9.$ Гришин И. Ю. Модели предоставления, типы и основные проблемы информационной безопасности облачных вычислений / И. Ю. Гришин, А. М. Рябов, Р. А. Скидан // Стратегия качества в промышленности и образовании / И. Ю. Гришин, А. М. Рябов, Р. А. Скидан. – Варна-Днепропетровск: Варнский технический университет, 2016. – С. 534–537.

$10.$ Тимиргалеева Р. Р. Обеспечение информационной безопасности и непрерывности бизнес-процессов при использовании мобильных технологий / Р. Р. Тимиргалеева, И. Ю. Гришин // Цифровая экономика и «Индустрия 4.0»: проблемы и перспективы. Труды научно-практической конференции с международным участием / Р. Р. Тимиргалеева, И. Ю. Гришин., 2017. – С.489–493.

$11.$ Гришин И. Ю. Применение средств биометрической аутентификации для авторизации пользователя автоматизированного рабочего места / И. Ю. Гришин, М. Г. Ефимчик // Інформатика, управління та штучний інтелект. Матеріали третьої Міжнародної науково-технічної конференції студентів, магістрів та аспірантів / И. Ю. Гришин, М. Г. Ефимчик. – Харків: Национальный технический университет "ХПИ", 2016. – С. 14.

$12.$ Особенности применения биометрических методов для аутентификации обучаемого в системе дистанционного образования / Р. Р. Тимиргалеева, И. Ю. Гришин, М. В. Миронов, М. Г. Ефимчик //Филологические и социокультурные вопросы науки и образования Сборник материаловI Международной научно-практической конференции / Р. Р. Тимиргалеева, И. Ю. Гришин, М. В. Миронов, М. Г. Ефимчик. – Краснодар: КубГТУ, 2016. – С. 219–229.

May 20, 2017