Система разграничения доступа к информации

Безопасность компьютерных систем достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации. Санкционированный — это доступ к информации, не нарушающий установленные правила разграничения доступа. Понятие «управление доступом» подразумевает метод зашиты информации путем регулирования использования всех ресурсов системы.

Правила разграничения доступа служат для регламентации права доступа пользователей из числа лиц или программ (субъектов доступа), имеющих допуск к конфиденциальной информации, циркулирующей в компьютерной (информационной) системе.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ — наиболее распространенный вид компьютерных нарушений (преступлений).

Защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Для защиты от НСД, как правило, используются идентификация, аутентификация и управление доступом. В дополнение к перечисленным, могут применяться и другие методы.

Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система «знает» пользователя. Кроме идентификации пользователей может проводиться идентификация групп пользователей, ресурсов компьютерной (информационной) системы и т.д. Идентификация нужна и для других системных задач, например для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией.

Аутентификация (установление подлинности) проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в компьютерной (информационной) системе пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры зашиты от НСД любой информационной системы. Обычно выделяют три группы методов аутентификации.

  • 1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски «I have» («у меня есть»), В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
  • 2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация — «I know» («я знаю»). Например, аутентификация по паролю.
  • 3. Аутентификация пользователя по его собственным уникальным характеристикам — «I am» («я есть»). Эти методы также называются биометрическими. Биометрические методы аутентификации деляются на статические и динамические.

Примеры аутентификации по статическим признакам — это проверка отпечатков пальцев, рисунка радужной оболочки глаз, геометрии кисти руки, сравнение с фотографией и т.д. Достоинством этих методов является достаточно высокая точность. Но подобные методы, как правило, требуют наличия специализированного оборудования (например, специальные сканеры) и имеют ограниченную область применения (например, из-за грязи на руке человек может не пройти аутентификацию по отпечаткам пальцев, а значит, подобные методы неприменимы на стройках и на многих производствах).

Примеры динамической аутентификации — аутентификация по голосу (при произнесении заранее определенной фразы или произвольного текста), аутентификация по «клавиатурному почерку» (проверяются особенности работы пользователя на клавиатуре, такие, например, как время задержки при нажатии клавиш в различных сочетаниях) и т.д.

Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация — пользователь предъявляет системе смарт- карту и вводит пин-код для ее активации.

Аутентификация может быть односторонней, когда одна сторона аутентифицирует другую (например, сервер проверяет подлинность клиентов), и двусторонней, когда стороны проводят взаимную проверку подлинности.

Также аутентификация может быть непосредственной, когда в процедуре аутентификации участвуют только две стороны, или с участием доверенной стороны. В последнем случае в процессе аутентификации участвуют не только стороны, проверяющие подлинность друг друга, но и другая (другие), вспомогательная. Эту третью сторону иногда называют сервером аутентификации (англ. authentication server) или арбитром (аиг?. arbitrator).

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >