1.2. Базові технології безпеки.

Аунтефікаиія, авторизація, аудит.

Аунтефікація запобігає доступу до мережі небажаних осіб і дозволяє вхід для легальних користувачів. Термін "аунтефікація" у перекладі з латинського означає встановлення дійсності. Аунтефікацію необхідно відрізняти від ідентифікації. Ідентифікатори користувачів використовують у системі з тими ж цілями, що й ідентифікатори будь-яких інших об'єктів, файлів, процесів, структур даних, але вони не зв'язані безпосередньо з забезпеченням безпеки. Ідентифікація полягає в повідомленні користувачем системі свого ідентифікатора, у той час як аунтефікація - це процедура доказу того, що саме користувачу належить введений ним ідентифікатор. Для доказу використовується:

- таємне слово (пароль) чи факт (дата, місце події, прізвисько і т.п.);

- унікальний предмет (електронна магнітна карта й ін.);

- біохарактеристика (зображення рогівки ока, відбитки пальців).

Для доказу найчастіше використовуються паролі. Щоб знизити рівні розкриття паролів, роблять періодичну їх зміну, зміну термінів їх дії, шифрування паролів перед передачею їх в мережу.

Авторизація. Засоби авторизації контролюють доступ легальних користувачів до ресурсів системи. Права доступу поділяються на два класи:

- вибірковий доступ;

- мандатний доступ.

Вибіркові права доступу реалізуються в операційних системах універсального призначення. Кожному користувачу дозволено виконувати визначені операції над визначеним ресурсом.

Мандатні права доступу визначають різні форми допуску до службової, таємної і цілком таємної інформації.

Процедури авторизації реалізуються програмними засобами, що можуть бути вбудовані в операційну систему, в програми, а також можуть поставлятися у вигляді окремих програмних продуктів.

Аудит - це фіксація в системному журналі подій, пов'язаних з доступом до захищених ресурсів системи. Засоби обліку і спостереження забезпечують можливість знайти і зафіксувати важливі події, пов'язані з безпекою, чи будь-які спроби створити, одержати доступ чи видалити системні ресурси. Аудит використовується для того, щоб присікати навіть невдалі спроби "злому" системи.

Якщо при настроюванні служби аудита були правильно задані події, які потрібно відслідковувати, то докладний аналіз записів у журналі може дати багато корисної інформації. Ця інформація, можливо, дозволить знайти зловмисника чи, принаймні, запобігти повторенню подібних атак шляхом усунення вразливих місць у системі захисту.

Технологія захищеного каналу. Технологія захищеного каналу покликана забезпечити безпеку передачі даних по відкритій транспортній мережі. Захищений канал передбачає виконання трьох основних функцій:

- взаємну аунтефікацію абонентів при встановленні з'єднання, що може бути виконана, наприклад, шляхом обміну паролями;

- захист переданих по каналу повідомлень від несанкціонованого доступу, наприклад, шляхом шифрування;

- підтвердження цілісності повідомлень, що надходять по канапу.

В залежності від місця розташування програмного забезпечення захищеного каналу, розрізняють дві схеми його утворення:

- схему з кінцевими вузлами, що взаємодіють через публічну мережу (рис. 4.1а);

- схему публічної мережі з устаткуванням постачальника послуг, що розташоване на границі між приватною і публічною мережами (рис. 4.1б).

У першому випадку захищений канал утворюється програмними засобами, які встановлені на двох віддалених комп'ютерах, а в другому випадку захищений канал прокладається тільки всередині публічної мережі з комутацією пакетів.

Перевагою першої схеми є повна захищеність каналів вздовж усього шляху проходження. Недоліками є надлишковість і децентралізованість рішення. Друга схема вважається більш гнучкою, тому що дозволяє легко утворювати нові канали захищеної взаємодії між комп'ютерами незалежно від їх розташування.

Рис. 4.1. Два способи створення захищеного каналу