— установлению подлинности пользователей и устройств сети;
— установлению подлинности процессов в сетевых устрой ствах и ЭВМ;
— проверке атрибутов установления подлинности. Аутентификация пользователей может основываться на:
— дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
— средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с поло ской магнитного материала, на которой записаны необходимые данные;
— индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.
Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи
одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:
— персональный код пользователя;
— секретный параметр доступа;
— возможные режимы работы в сети;
— категории контроля доступа к данным ресурсам сети.
Недостаток метода паролей и секретных кодов — возможность их использования без признаков того, что безопасность нарушена.
Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики методов аутентификации пользователей приведены в табл. 17.1. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его. Например, пользователь может предъявить свою магнитную карточку, персональный номер или характер-
ные для него данные. В этой операции участвует только информация, относящаяся к данному лицу. Использование любого из этих подходов в целях установления личности, неизвестной заранее, весьма проблематично, так как это потребовало бы выработки критериев оценки персональных характеристик для выделения одного пользователя среди всех других, имеющих возможность доступа к сети.
В заключение в качестве примера приведем краткую характеристику системы защиты информации от несанкционированного доступа к данным, хранящимся и обрабатываемым на ПК, под названием "Кобра" (Комплекс обеспечения безопасности работ) [7]. Эта система соответствует требованиям 4-го класс» защищенности для средств вычислительной техники (следует заметить, что применительно к средствам защиты от несанкционированного доступа определены семь классов защищенности средств вычислительной техники). "Кобра" реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие информации. При этом она фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями или действиями злоумышленника) и автоматически восстанавливает основные компоненты операционной системы терминала.
Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Каждому законному пользователю санкционируются индивидуальные полномочия по доступу к дискам А, В, С, D ... Z, а именно: запрет доступа, только чтение, полный доступ, суперзащита (шифрование) .
Все абоненты разделены на четыре категории:
— суперпользователь (доступны все действия в системе);
— администратор (доступны все действия в системе, за исключением изменения имени, статуса и полномочий супер пользователя, ввода или исключения его из списка пользовате лей);
— программист (может изменять лишь личный пароль);
— коллега (имеет право на доступ к ресурсам, установлен ным ему суперпользователем).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.