Способы ограничения доступа к информационным ресурсам
Основным способом запрещения несанкционированного доступа к ресурсам вычисли-тельных систем является подтверждение подлинности пользователей и разграничение их доступа к информационным ресурсам, включающего следующие этапы:
идентификация;
установление подлинности (аутентификация);
определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.
Идентификация необходима для указания компьютерной системе уникального иден-тификатора обращающегося к ней пользователя. Идентификатор может представлять собой любую последовательность символов и должен быть заранее зарегистрирован в системе ад-министратора службы безопасности. В процессе регистрации заносится следующая инфор-мация:
фамилия, имя, отчество (при необходимости другие характеристики пользователя);
уникальный идентификатор пользователя;
имя процедуры установления подлинности;
эталонная информация для подтверждения подлинности (например, пароль);
ограничения на используемую эталонную информацию (например, время действия
пароля);
полномочия пользователя по доступу к компьютерным ресурсам.
Установление подлинности (аутентификация)заключается в проверке истинности пол-номочий пользователя. Общая схема идентификации и установления подлинности пользова-теля представлена на Рис. 2.6 [26].
Для особо надежного опознания при идентификации используются технические сред-ства, определяющие индивидуальные характеристики человека (голос , отпечатки пальцев, структура зрачка). Однако такие методы требуют значительных затрат и поэтому использу-ются редко.
Ввод пользователем
своего идентификатора
Да | ||||||||||
Правильный ли | Нет | |||||||||
Число попыток | ||||||||||
идентификатор? | допустимое? | |||||||||
Да | Нет | |||||||||
Вызов процедуры | Сигнализация о | |||||||||
установления подлинности | несанкционированном доступе. | |||||||||
Блокировка ресурсов ЭВМ | ||||||||||
Установлена ли
подлинность?
Нет
Да
Уведомление пользователя
о входе в систему
Рис. 2.6. Общая схема идентификации и установления подлинности пользователя
Наиболее массово используемыми являются парольные методы проверки подлинности пользователей. Пароли можно разделить на две группы: простые и динамически изменяю-щиеся.
Простой пароль не изменяется от сеанса к сеансу в течение установленного периода его существования.
Во втором случае пароль изменяется по правилам, определяемым используемым мето-дом. Выделяют следующие методы реализации динамически изменяющихся паролей:
методы модификации простых паролей (например, случайная выборка символов па-роля и одноразовое использование паролей);
метод «запрос—ответ», основанный на предъявлении пользователю случайно выби-раемых запросов из имеющегося массива;
функциональные методы, основанные на использовании некоторой функции F с ди-намически изменяющимися параметрами (Дата, время, день недели и др.), с помощью кото-рой определяется пароль.
Для защиты от несанкционированного входа в компьютерную систему используются как общесистемные, так и специализированные программные средства защиты.
После идентификации и аутентификации пользователя система защиты должна опреде-лить его полномочия для последующего контроля санкционированного доступа к компью-терным ресурсам (разграничение доступа). В качестве компьютерных ресурсов рассматри-ваются:
программы;
внешняя память (файлы, каталоги, логические диски);
информация, разграниченная по категориям в базах данных;
оперативная память;
время (приоритет) использования процессора;
порты ввода-вывода;
внешние устройства.
Различают следующие виды прав пользователей по доступу к ресурсам:
всеобщее (полное предоставление ресурса);
функциональное или частичное;
временное.
Наиболее распространенными способами разграничения доступа являются:
разграничение по спискам (пользователей или ресурсов);
использование матрицы установления полномочий (строки матрицы - идентификаторы пользователей, столбцы - ресурсы компьютерной системы);
разграничение по уровням секретности и категориям (например, общий доступ, конфиденциально, секретно);
парольное разграничение.