Безопасность информационных технологий

В статье представлены результаты анализа и синтеза научно-технической литературы, нормативных актов, стандартов в области обеспечения информационной безопасности информационных систем (ИС), использующих сторонние сервисы аутентификации пользователей. Вводится контекст рассматриваемой ИС. Описываются уязвимости, возникающие при аутентификации пользователей с использованием службы каталогов Active Directory. На основе функциональных особенностей клиентского приложения, входящего в ИС, проводится построение концептуальной модели угроз информационной безопасности ИС, которая применяется для выявления и исследования возможных атак на процесс аутентификации пользователей. В результате выявления критических мест безопасности системы, формируются основные требования, соблюдение которых позволит повысить состояние защищенности систем, а именно: необходимость обеспечения подлинности и целостности ЭВМ, принимающих участие в процессе аутентификации пользователей в приложении, необходимость обеспечения конфиденциальности передаваемых и хранимых аутентифицирующих данных пользователей. Результаты данной работы позволяют обезопасить процесс аутентификации с использованием технологии Active Directory, а также проводить дальнейшие исследования в области аутентификации пользователей в распределенных системах. Проведенный анализ позволяет сделать вывод о безопасности применения предложенного способа аутентификации при соблюдении выявленных требований.

1. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты., М.: Книжный мир, 2009. – 352 с. URL: https://computer-museum.ru/books/computer_safety.pdf (дата обращения: 15.08.2020).

2. Конявский В.А., Конявская С.В. Доверенные информационные технологии: от архитектуры к системам и средствам. Москва: URSS, 2019. – 264 с.

3. Deepa G., Thilagam P. S. Securing web applications from injection and logic vulnerabilities: Approaches and challenges //Information and Software Technology. 2016. Vol. 74. P. 160–180.
DOI: http://dx.doi.org/10.1016/j.infsof.2016.02.005.

4. Obimbo C. et al. Vulnerabilities of LDAP As An Authentication Service. J. Information Security. 2011. Vol. 2.
No. 4. P. 151–157. DOI: http://dx.doi.org/10.4236/jis.2011.24015.

5. Binduf A. et al. Active Directory and Related Aspects of Security. 2018 21st Saudi Computer Society National Computer Conference (NCC). IEEE, 2018. P. 4474–4479. DOI: http://dx.doi.org/10.1109/NCG.2018.8593188.

6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 15 февраля 2008 г. URL: https://fstec.ru/component/attachments/download/289 (дата обращения: 27.05.2020).

7. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014. Принят и введен в действие распоряжением Банка России от 17.05.2014 No Р-399. URL: http://cbr.ru/credit/Gubzi_docs/st-10-14.pdf (дата обращения: 27.05.2020).

8. Hoque M. A., Hasan R. Towards a Threat Model for Vehicular Fog Computing. 2019 IEEE 10th Annual Ubiquitous Computing, Electronics & Mobile Communication Conference (UEMCON). IEEE, 2019.
С. 1051–1057. DOI: http://dx.doi.org/10.1109/UEMCON47517.2019.8993064.

9. Грибанова-Подкина М.Ю. Построение модели угроз информационной безопасности информационной системы с использованием методологии объектно-ориентированного проектирования. Вопросы безопасности. 2017. № 2. С. 25–34. DOI: http://dx.doi.org/10.7256/2409-7543.2017.2.22065.
URL: https://nbpublish.com/library_read_article.php?id=22065.

10. Matsuda W., Fujimoto M., Mitsunaga T. Detecting apt attacks against active directory using machine leaning. 2018. IEEE Conference on Application, Information and Network Security (AINS). IEEE, 2018. С. 60–65.
DOI: http://dx.doi.org/10.1109/AINS.2018.8631486.

11. Alhaidary M. et al. Vulnerability analysis for the authentication protocols in trusted computing platforms and a proposed enhancement of the offpad protocol. IEEE Access. 2018. Vol. 6. P. 6071–6081.
DOI: http://dx.doi.org/10.1109/ACCESS.2017.2789301.

12. Конявский, В.А., Гадасин В.А. Основы понимания феномена электронного обмена информацией (Библиотека журнала «УЗИ»; Кн. 2). М.: Беллитфонд, 2004. – 282 c.
URL: https://www.okbsapr.ru/upload/iblock/016/osnovi_ponim_el_obmen_inf.pdf.

13. Buchanan W.J., Li S., Asif R. Lightweight cryptography methods. Journal of Cyber Security Technology. 2017. Vol. 1. №. 3–4. С. 187–201. DOI: http://dx.doi.org/10.1080/23742917.2017.1384917.

14. Qian J. et al. A Trusted-ID Referenced Key Scheme for Securing SCADA Communication in Iron and Steel Plants. IEEE Access. 2019. Vol. 7. P. 46947–46958. DOI: http://dx.doi.org/10.1109/ACCESS.2019.2909011.

15. Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем – на старт, внимание, МАРШ! //Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М.: 2010. С. 166–169;
URL: http://www.accord.ru/konyavskiy_2010_1.htm1.