Методы и средства управления доступом к информационным и вычислительным ресурсам
В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.
Аутентификация пользователей может основываться на:
· дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
· средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;
· индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.
Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код.
Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.
Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице.
Таблица. Сравнение методов аутентификации
| магнитная карточка | отпечаток пальцев | отпечаток ладони | голос | подпись | |
| Удобство в пользовании | Хорошее | Среднее | Среднее | Отличное | Хорошее |
| Идентификация нарушения | Средняя | Отличная | Хорошая | Хорошая | Отличная |
| Идентификация законности абонента | Хорошая | Средняя | Отличная | Отличная | Хорошая |
| Стоимость одного устрой-ства, дол. | |||||
| Время распо-знавания, с | |||||
| Надежность | Хорошая | Средняя | Отличная | Хорошая | Хорошая |
Особенно часто проблемы обеспечения безопасности данных возникают в местах стыка локальных и территориальных сетей . Для их решения в указанных местах размещаются брандмауэры .
Брандмауэр (firewall) - устройство , обеспечивающее контроль доступа в защищаемую локальную сеть . Брандмауэры защищают сеть от несанкционированного доступа из других сетей путем выполнения сложных функций фильтрации потоков данных в точках соединения сетей. Для этого они просматривают все проходящие через них блоки данных, прерывают подозрительные связи, проверяют полномочия на доступ к ресурсам.
В качестве брандмауэров применяются маршрутизаторы и шлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностями защиты данных.
ФУНКЦИОНАЛЬНЫЕ ПРОФИЛИ
Функциональный профиль
Функциональный профиль - иерархия взаимосвязанных протоколов, предназначенная для определенного круга задач обработки и передачи данных. Функциональный профиль определяет выбранные классы, подмножества, варианты и параметры стандартов, обеспечивающих работу нужного набора сетевых служб.
В документах международных организаций по стандартизации определен широкий набор сетевых служб, и он все время расширяется. Выпущено большое число стандартов для всех 7 уровней области взаимодействия. Все указанные стандарты являются гибкими и предусматривают множество вариантов. Кроме этого, производители могут использовать свои стандарты и интегрировать их в область взаимодействия. Реализовать все стандарты не только невозможно, но и не нужно. Поэтому для решения возникающих задач подбираются сетевые службы и множества определяющих их стандартов. В результате, создаются функциональные профили. При этом следует иметь в виду, что стандарт любого уровня содержит ядро (основу, обеспечивающую минимальные возможности функционирования уровня). Наряду с этим, имеется перечень необязательных функциональных блоков, расширяющих перечень видов сервиса.
Основными целями применения профилей при создании и использовании ИС являются:
· снижение трудоемкости проектов ИС;
· повышение качества компонентов ИС;
· обеспечение расширяемости ИС по набору прикладных функций и масштабируемости;
· обеспечение возможности функциональной интеграции в ИС задач, которые раньше решались раздельно;
· обеспечение переносимости прикладного программного обеспечения.
Выбор стандартов и документов для формирования профилей ИС зависит от того, какие из этих целей определены приоритетными.
Каждый из профилей определяет группу выбранных стандартов, имеющую международное признание. Существует множество типов функциональных профилей (рис.313).
По числу используемых уровней области взаимодействия выделяют полные функциональные профили, коллапсные функциональные профили и базовые функциональные профили. (рис.275)
Первые охватывают все семь уровней. Вторые включают, как минимум, физический уровень, канальный уровень и прикладной уровень . Все либо часть остальных уровней в профиле отсутствует (их функции резко упрощены и переданы на имеющиеся уровни). И, наконец, базовый профиль определяет лишь взаимосвязанные стандарты нескольких нижних уровней. Кроме этого, существуют смешанные функциональные профили, которые в одних случаях работают как полные, а в других - как коллапсные. Например, в Цифровой Сети с Интегральным Обслуживанием (ЦСИО).
В связи с использованием разнообразных наборов протоколов все большее распространение получают многоштабельные профили. Они характеризуются наличием разных штабелей протоколов. Например, тем, что на нижних (1-K) уровнях определяются различными, а на верхних (K+1-7) - одними и теми же протоколами (рис.325).
Чаще всего, такие штабели определяются протоколами X.25 , TPC /IP , 802.3 .
Важность проблемы создания и использования полных функциональных профилей настолько велика, что в наиболее развитых странах создаются правительственные профили взаимодействия открытых систем .
В штабелях протоколов функциональных профилей выделяют точки со стандартными интерфейсами . Они определяют используемые платформы.
