Допуск в компьютерную систему

Автор: Администратор
Дата публикации: 21 июня 2012 года
Раздел: Защита от взлома

Допуск в компьютерную систему, как и на любую защищаемую территорию, должен выполняться только в случае наличия у субъекта доступа соответствующих полномочий. Поэтому с целью обеспечения информационной безопасности системой технической защиты по отношению к любому пользователю должны быть предусмотрены следующие этапы допуска в компьютерную систему:

  • идентификация;
  • установление подлинности (аутентификация);
  • определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.

Данные этапы должны выполняться и при подключении к компьютерной системе таких устройств, как удаленные рабочие станции и терминалы.

Идентификацию и аутентификацию можно считать основой технических мер защиты, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, которую можно считать проходной информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

В общем случае под идентификацией понимается процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации. Идентификация пользователей необходима для указания компьютерной системе уникального идентификатора каждого обращающегося к ней пользователя с целью выполнения следующих защитных функций:

  • установление подлинности и определение полномочий пользователя при его допуске в компьютерную систему;
  • контроль установленных полномочий и регистрация заданных действий пользователя в процессе его сеанса работы после допуска данного пользователя к компьютерным ресурсам;
  • учет обращений к компьютерной системе.

Сам идентификатор может представлять собой последовательность любых символов, но должен быть уникальным среди идентификаторов других пользователей компьютерной системы.

Для возможности проверки подлинности (аутентификации) пользователей должно быть заранее определено соответствие между их идентификаторами и секретной эталонной информацией, используемой в процессе аутентификации. Такое соответствие задается администратором безопасности при регистрации пользователей. В процессе регистрации в базу эталонных данных системы защиты для каждого пользователя заносятся следующие элементы данных:

  • фамилия, имя, отчество и, при необходимости, другие характеристики пользователя;
  • уникальный идентификатор пользователя;
  • имя процедуры установления подлинности;
  • используемая для подтверждения подлинности эталонная информация, например, пароль;
  • ограничения на используемую эталонную информацию, например, минимальное и максимальное время, в течение которого указанный пароль будет считаться действительным;
  • полномочия пользователя по доступу к компьютерным ресурсам.

Процесс установления подлинности, называемый еще аутентификацией, заключается в проверке, является ли пользователь, пытающийся осуществить доступ в компьютерную систему, тем, за кого себя выдает.

Если в процессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полномочия по использованию ресурсов для последующего контроля установленных полномочий.

По направленности аутентификация может быть односторонней (пользователь доказывает свою подлинность системе, например при входе в систему) и двусторонней (взаимной).

Обычно методы аутентификации классифицируют по используемым средствам. В этом случае указанные методы делят на три группы:

  • основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля;
  • основанные на использовании уникального устройства: жетона, электронной карточки и др.;
  • основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.

Во всех случаях для подтверждения подлинности пользователя используется уникальная информация, которая может вводиться с клавиатуры, считываться с автономного носителя или устройства, или определяться на основе анализа уникальных характеристик человека. Технология использования этой уникальной информации для проверки подлинности пользователя основана на криптографических методах защиты данных.

Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на использовании паролей. Под паролем при этом понимается некоторая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к компьютерной системе. Ввод пароля, как правило, выполняют с клавиатуры после соответствующего запроса системы.

Эффективность парольных методов может быть значительно повышена путем записи в зашифрованном виде длинных и нетривиальных криптографических ключей на информационные носители, например, дискеты, магнитные карты, носители данных в микросхемах, называемые электронными аутентификаторами. В этом случае компьютерная система должна включать специальные устройства и обслуживающие их драйверы для считывания ключей с электронных аутентификаторов. Соответственно служба безопасности должна располагать средствами для подготовки электронных аутентификаторов с зашифрованными ключами. С целью защиты электронного аутентификатора от несанкционированного использования часто используется пароль, без знания которого воспользоваться этим аутентификатором по назначению будет невозможно.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42