CC BY
16
или
п = еа'х (5)
Выражение (5) дает значение электронов в диффузионном потоке без учета их прилипания к нейтральным атомам. Это явление характеризуется коэффициентом прилипания
Коэффициент прилипания зависит от рода полупроводника. Тогда число электронов диффузионном потоке с учетом прилипания будет равно:
п = ще(а-ч>х. (7)
Таким образом, диффузия и прилипание понизили энтропию системы, т.е. повысилась вероятность неопределенности количества зарядов в полупроводниках (р,- уменьшилась). Список использованной литературы:
1. Никифоров С. Проблемы, теория и реальность светодиодов для современных систем отображения информации высшего качества (http://www.kit-e.ru/articles/led/2005_5_48.php).
2. Агафонов Д. Р., Аникин П. П., Никифоров С. Г. Вопросы конструирования и производства светоизлучающих диодов и систем на их основе // «Светотехника» № 6. 2002. С. 6-11.
3. Дыскин Л. М. Современные методы термодинамического анализа в теплоэнергетике [Текст]: учеб. пособие / Л. М. Дыскин, М. С. Морозов; под общ. ред. Л.М. Дыскина; Нижегор. гос. архитектур. - строит. ун - т - Н. Новгород: ННГАСУ, 2018 - 133 с. ISBN 978-5-528-00275-0
List of used literature:
1. Nikiforov S. Problems, theory and reality of LEDs for modern information display systems of the highest quality (http://www.kit-e.ru/articles/led/2005_5_48.php ).
2. Agafonov D. R., Anikin P. P., Nikiforov S. G. Issues of design and production of light-emitting diodes and systems based on them // "Lighting Engineering" No. 6. 2002. pp. 6-11.
3. Dyskin L. M. Modern methods of thermodynamic analysis in thermal power engineering [Text]: textbook. manual / L. M. Dyskin, M. S. Morozov; under the general editorship of L.M. Dyskin; Nizhegorod. gosudaritektur. - builds. un - t - N. Novgorod: NNGASU, 2018 - 133 p. ISBN 978-5-528-00275-0
© Грачев А.С., 2023
УДК 004.056.53
Подлиннов К.А.
Сотрудник, Академия ФСО России, Российская Федерация, Орёл, Абрамов В.В. Сотрудник, Академия ФСО России, Российская Федерация, Орёл, Научный руководитель: Кутузов А.В. Кандидат педагогических наук, сотрудник, Академия ФСО России, Российская Федерация, Орёл
РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО РЕАЛИЗАЦИИ ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА НА СРЕДСТВАХ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
Аннотация
В данной статье представлены предложения по реализации программно-аппаратного комплекса
защиты информации, обрабатываемой на многопользовательских средствах вычислительной техники путём использования многофакторной аутентификации и реализации модели разграничения доступа к защищаемой информации. Для аутентификации пользователя предложено использование факторов знания, владения и свойства. Для реализации модели разграничения доступа предложено использование шифрования защищаемой информации и базы данных учётных записей пользователей.
Ключевые слова
несанкционированный доступ, информационная безопасность, аутентификация, идентификация, авторизация, программно-аппаратный комплекс, разграничение доступа, конфиденциальность.
В современном мире проблема возможности несанкционированного доступа к данным стоит особенно остро, когда речь идёт о личных данных граждан или сведениях, ограниченного распространения. Повсеместное использование автоматизированных систем (АС) приводит к тому, что за одной электронно-вычислительной машиной (ЭВМ) работает несколько пользователей в разное время, при этом, если есть такая потребность, необходимо реализовывать разграничение доступа к данным, находящимся в памяти и принадлежащих разным людям. Соответственно, для того чтобы пользователь мог получить доступ к своим данным, ему необходимо пройти этап аутентификации. В целях минимизации вероятности несанкционированного доступа (НСД) необходимо использовать дополнительные программные, аппаратные или программно-аппаратные средства аутентификации пользователей и криптографического преобразования данных для защиты от НСД.
Целью написания данной статьи является повышение защищенности информации, обрабатываемой на средствах вычислительной техники от несанкционированного доступа. В качестве объекта исследования были рассмотрены системы аутентификации на многопользовательских средствах вычислительной техники, предметом исследования выступали методы и средства защиты информации от НСД.
Для достижения поставленной цели требуется решить ряд задач:
1. Провести анализ угроз информационной безопасности защищаемой информации.
2. Провести анализ современных методов аутентификации и средств защиты информации, применяемых в настоящее время.
3. Разработать алгоритм работы программной части предлагаемого комплекса.
4. Произвести оценку эффективности разработанных предложений.
В настоящее время информационные системы применяются во всех областях деятельности человека, будь то частные организации или государственные структуры. По этой причине пропорционально увеличивается количество угроз информационной безопасности. Одной из них является нарушение конфиденциальности защищаемой информации посредством несанкционированного доступа к объектам информатизации и (или) информационным ресурсам. НСД может осуществляться как лицами, не допущенными к объекту информатизации (внешние нарушители), так и лицами, имеющими на это право (внутренние нарушители). Угрозы, рассматриваемые и решаемые в рамках статьи, выделены на рисунке 1.
Согласно «Доктрине информационной безопасности Российской Федерации», утверждённой указом Президента РФ № 646 от 05.12.2016 г. одним из основных направлений обеспечения информационной безопасности в области государственной и общественной безопасности является: «Пресечение деятельности, наносящей ущерб национальной безопасности Российской Федерации, осуществляемой с использованием технических средств и информационных технологий специальными службами и организациями иностранных государств, а также отдельными лицами» [1].
Рисунок 1 - Классификация угроз безопасности информации
Проведя анализ вышеуказанных угроз, путей их реализации, а также руководствуясь Методикой определения угроз безопасности информации в информационных системах, утвержденной ФСТЭК России в 2015 году [2], была разработана модель нарушителя, которая представлена на рисунке 2. Эффективным способом решения проблемы несанкционированного доступа является использование многофакторной аутентификации.
Нарушители на объекте
инфор матизации
* ~
Внутренние
Непосред стве нно воздействующие на объект защиты
А дм инистра торы
Пользователи
Технический персонал
Лица, привлекаемые для установки, монтажа и других работ
Рисунок 2 - Модель нарушителя информационной безопасности
Для определения качества систем существует несколько критериев, все они представлены на рисунке 3. Для оценки эффективности разрабатываемого программно-аппаратного комплекса был выбран критерий превосходства, согласно которому система является эффективной в том случае, если все частные параметры системы находятся в области адекватности и являются оптимальными [3].
Рисунок 3 - Классификация критериев качества системы
Для оценки эффективности разработанного ПАК была разработана целевая функция (формула 1.1). К существенным свойствам системы аутентификации были отнесены: вероятность несанкционированного доступа, вероятность ошибки первого рода и время аутентификации.
б = / (рнсд
, Рош, ^аут )' (1)
где б - обобщённый показатель существенных свойств системы аутентификации;
^СД - вероятность несанкционированного доступа;
РОш - вероятность ошибки первого рода;
tаут - время аутентификации.
Для перехода от решения многокритериальной задачи к решению однокритериальной необходимо выбрать основной параметр системы. В качестве данного параметра было принято решение выбрать вероятность несанкционированного доступа, остальные параметры были взяты в ограничение.
б ^ так, при РНСД ^ тШ> Рош ^ Рош.дош 'аут < 'аут.доп>
(2)
где Р)ш доп - допустимая вероятность ошибки первого рода;
taут доп - допустимое время аутентификации.
Немаловажным аспектом повышения защищенности информации, является выбор и реализация модели разграничения доступа. Существует два главных вида моделей разграничения доступа: модели дискреционного и мандатного доступа. В проектируемом ПАК предлагается реализовать модель дискреционного доступа, а именно - модель Харрисона-Руззо-Улъмана.
Несмотря на то, что дискреционные модели разработаны почти 40 лет назад, данные модели широко применяются на практике. Основные их достоинства - это простота и максимальная детальность в организации доступа.
В классической модели Харрисона-Руззо-Улъмана допустимы только следующие элементарные операции:
- добавление субъекту права взаимодействия с объектом, либо его удаление;
- создание нового субъекта, либо удаление существующего;
- создание нового объекта, либо удаление существующего.
Модель Харрисона-Руззо-Улъмана является наиболее простой в реализации, эффективной в управлении и позволяет управлять полномочиями пользователей с точностью до операции над объектом, чем и объясняется её выбор.
Для реализации модели разграничения доступа и защиты информации, находящейся на внутренних носителях информации предложено криптографическое преобразование данных, поскольку на данный
момент этот метод является одним из самых надёжных.
В качестве алгоритма шифрования данных предлагается симметричный алгоритм блочного шифрования ЛЕБ, с использованием ключа длиной 256 бит. На данный момент алгоритм хорошо проанализирован и повсеместно используется. При этом ключ шифрования данных необходимо хранить на аппаратной части ПАК и менять через определённый промежуток времени или незамедлительно, в том случае, если защищаемая информация могла быть скомпрометирована.
Рассмотрим аутентификационные данные пользователя, необходимые ему для получения доступа в систему. Так для достижения требуемого уровня защиты от несанкционированного доступа необходимо использовать все основные факторы аутентификации: знания, владения и свойства [4].
В качестве фактора знания выступают логин и пароль, которые присваивается каждому пользователю индивидуально.
В качестве фактора владения выступает ИПй-метка, хранение которой возможно у третьего лица (например, у дежурного). Таким образом исключается возможность самовольного доступа к информации даже лица, имеющего к нему допуск.
В качестве фактора свойства выступает, отпечаток пальца, который при помощи датчика дактилоскопии заносится в базу данных ПАК.
Рисунок 4 - Возможная классификация факторов аутентификации
На данный момент наибольшей популярностью обладают системы защиты информации, использующие два фактора аутентификации. Так, ПАК «Соболь» и аппаратно-программный модуль доверенной загрузки «КРИПТОН-ЗАМОК», используемые в государственных структурах применяют лишь фактор знания и фактор владения [5, 6].
При разработке ПАК, являющегося СЗИ, необходимо выполнение следующих основных требований:
1. Функциональные: обеспечение решения требуемой совокупности задач по защите от НСД.
2. Эргономические: удобство пользования.
3. Экономические: минимизация затрат на производство, максимальное использование серийных средств.
4. Технические: комплексное использование средств, оптимизация архитектуры.
5. Организационные: структурированность всех компонентов, простота эксплуатации. Состав проектируемого ПАК представлен на рисунке 5.
Рисунок 5 - Состав программно-аппаратного комплекса
Для взаимодействия между микроконтроллером ЛгЬи'то и СВТ или другим устройством в контроллере используется интерфейс универсального асинхронного приёмопередатчика (иЛЯТ), который в сочетании со встроенным в Лгдшпо конвертером, позволяет установить двунаправленную связь с СВТ через виртуальный последовательный порт.
Как видно из рисунка 5 для дополнительной индикации корректной ПАК предусмотрено подключение 0££0-дисплея.
Для корректного взаимодействия программной и аппаратной частей и идентификации передаваемых данных необходимо реализовать передачу данных по ключевым меткам. Аппаратная часть комплекса отправляет следующие данные на ЭВМ: главный ключ шифрования и данные, получаемые от считывателя ИПй-меток и модуля отпечатка пальцев. В ответ аппаратная часть может получать данные об успешном вводе логина и пароля, считывания ИПй-метки и отпечатка пальца, получении доступа и общего сброса [7].
данные: - главный ключ шифрования (Кеутат); - идентификатор отпечатка пальца (ЮЛасг)', - идентификатор ЯТЮ-мстки (ЮЯТЮ).
- *
Аппаратная часть ПАК информация о состоянии ПАК: - успешный ввод логина и пароля; -успешное считывание отпечатка пальца: - успешное считывание АРГО-Метки: - успешное получение доступа: - общий сброс. Программная часть ПАК
Рисунок 6 - Взаимодействие составляющих ПАК
Внешний вид программного обеспечения (ПО) проектируемого ПАК, представлен на рисунках 7, 8. Программный интерфейс был разработан при помощи фреймворка Qt.
Рисунок 7 - Главное окно приложения
Рисунок 8 - Дочернее окно приложения
Главное окно программы предназначено для работы всех пользователей, а дочернее доступно лишь администраторам системы и предназначено для работы с учётными записями пользователей.
На рисунке 9 представлен алгоритм аутентификации пользователя, которая может быть осуществлена исключительно после подключения аппаратной части и ввода главного ключа шифрования.
При вводе логина и пароля программа осуществляет проверку учётных записей, путём предварительного расшифрования базы данных. При отсутствии совпадения выдаётся сообщение об ошибке, и производится запись в журнале протоколирования и безопасности. В случае совпадения введённого логина происходит считывание всех данных учётной записи пользователя: логина, пароля, идентификатора отпечатка пальца, идентификатора ИПй метки, индивидуального ключ шифрования. Далее осуществляется проверка правильности введённого пароля, затем происходит считывание отпечатка пальца. Последним этапом аутентификации является предъявление-считывание ИПй метки.
В случае любого несовпадения с данными учётной записи выдаётся сообщение об ошибке, производится общий сброс и осуществляется запись в журнале протоколирования и безопасности.
В случае совпадения считанной метки с меткой учётной записи производится индикация в главном
окне приложения, выдаётся сообщение о факте успешной аутентификации и отправляется соответствующая информация на микроконтроллер. После этого пользователь получает доступ к защищаемой информации.
На рисунке представлена блок-схема алгоритма аутентификации, реализуемая в процессе предоставления права доступа пользователю.
Рисунок 9 - Блок-схема алгоритма аутентификации пользователя
Необходимо отметить, что предлагаемый программно-аппаратный комплекс защиты от НСД в настоящее время полностью реализован, проверена его работоспособность, сформулированы предложения по его реализации. Программная часть зарегистрирована в Федеральной службе по интеллектуальной собственности, получено свидетельство о государственной регистрации программы для ЭВМ № 2022610953 от 18.01.2022 г [8].
Проведенные в рамках статьи исследования позволили сделать вывод о том, что существуют угрозы информационной безопасности, которые могут быть реализованы внутренними нарушителями посредством несанкционированного доступа к информации, циркулирующей на защищаемом СВТ. Повышение уровня защищенности информации, обрабатываемой на средствах вычислительной техники возможно путем применения многофакторной аутентификации, которая обеспечивает снижение вероятности несанкционированного доступа.
Применение разработанного программно-аппаратного комплекса позволит решить частные задачи
исследования и достигнуть поставленную цель. Полученные результаты могут применяться для создания средств защиты информации, обрабатываемой на средствах вычислительной техники.
Список использованной литературы:
1. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента РФ от 05 декабря 2016 г. № 646 // Собрание законодательства РФ. - 2016. - № 50. - Ст. 7074.
2. ФСТЭК России. Методический документ: Методика определения угроз безопасности информации в информационных системах [Текст]. - Москва: ФСТЭК России, 2015. - 43 с.
3. Петухов, Г.Б. Теоретические основы и методы исследования эффективности оперативных целенаправленных процессов [Текст]: Учеб. пособие. - [Москва]: М-во обороны СССР, 1979. - 176 с.
4. Кротов А.В., Кутузов А.В. Применение многофакторной аутентификации в целях защиты средств ЭВТ от несанкционированного доступа // Современные научные исследования и инновации. 2021. № 3 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2021/03/94873.
5. Аппаратно-программный модуль доверенной загрузки «КРИПТОН-ЗАМОК» [Электронный ресурс] // Руководство администратора [сайт]. URL: https: // www.ancud.ru.
6. Программно-аппаратный комплекс «Соболь» [Электронный ресурс] // Руководство администратора [сайт]. URL: https: // www.securitycode.ru.
7. Кротов А.В., Кутузов А.В. Использование многофакторной аутентификации для защиты данных от несанкционированного доступа при работе на ЭВТ // Современные научные исследования и инновации. 2022. № 1 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2022/01/97352.
8. Свидетельство о регистрации ФИПС №2022610953.
© Подлиннов К.А., Абрамов В.В., 2023
