Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / Лекции по информатике / ЛЕКЦИЯ15-16_Безопасность.DOC
Скачиваний:
270
Добавлен:
27.06.2014
Размер:
169.98 Кб
Скачать
    1. Методы разграничения доступа

При организации доступа субъектов к объектам выполняются следующие действия:

  • идентификация и аутентификация субъекта доступа;

  • проверка прав доступа субъекта к объекту;

  • ведение журнала учета действий субъекта.

Идентификация и аутентификация пользователей

При входе в КС, при получении доступа к программам и кон­фиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е., пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация) – вводит имя пользователя (login), а затем сообщает сек­ретные сведения, подтверждающие, что он тот, за кого себя выдает.

Обычно данные, идентифицирующие пользователя, не засекре­чены, но для усложнения проведения атак по несанкционированному доступу желательно хра­нить эти данные в файле, доступ к которому возможен только адми­нистратору системы.

Для аутентификации субъекта чаще всего используются атрибу­тивные идентификаторы, которые делятся на следующие категории:

  • пароли;

  • съемные носители информации;

  • электронные жетоны;

  • пластиковые карты;

  • механические ключи.

Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры пос­ле включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации:

  1. Пароль необходимо запоминать, а не записывать.

  2. Длина пароля должна быть не менее девяти символов.

  3. Пароли должны периодически меняться.

  4. Должны фиксироваться моменты времени успешного по­лучения доступа и неудачного ввода пароля. Информация о по­пытках неверного ввода пароля должны подвергаться статисти­ческой обработке и сообщаться администратору.

  5. Пароли должны храниться так, чтобы доступ к ним был затруднен. Это достигается двумя способами:

  • пароли хранятся в специальном ЗУ, запись в которое осуще­ствляется в специальном режиме;

  • пароли подвергаются криптографическому преобразованию (шифрованию).

  • При вводе пароля не выдавать никаких сведений на экран, что­бы затруднить подсчет введенных символов.

  • Не использовать в качестве паролей имена и фамилии, дни рож­дения и географические или иные названия. Желательно менять при вводе пароля регистры, использовать специальные симво­лы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.

    В настоящее время компьютер поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение несанкционированного доступа до загрузки любых программных средств. Этот пароль считается эффек­тивным средством, если злоумышленник не имеет доступа к аппа­ратуре, так как отключение внутреннего питания сбрасывает этот пароль.

    Другие способы идентификации (съемные носители, карты и. др.) предполагают наличие технических средств, хранящих идентифика­ционную информацию. Съемный носитель, содержащий идентифи­кационную информацию — имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.

    Для идентификации и аутентификации часто используется стан­дартный гибкий диск или флэш-память. Достоинства такого иден­тификатора заключаются в том, что не требуется использования до­полнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.

    Иногда, для повышения уровня защищенности, используются специальные переносные электронные устройства, подключаемые, например, к стандартным портам компьютера. К ним относится электронный жетон-генератор — прибор, вырабатывающий псевдослучайную сим­вольную последовательность, которая меняется примерно раз в ми­нуту синхронно со сменой такого же слова в компьютерной системе. Жетон использует­ся для однократного входа в систему. Существует другой тип жетона, имеющего клавиатуру и монитор. В процессе идентификации КС вы­дает случайную символьную последовательность, которая набирает­ся на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль.

    К недостатку способа идентификации и аутентификации с помощью дополнительного съемного устройства можно отнести воз­можность его потери или хищения.

    Одним из надежных способов аутентификации является биомет­рический принцип, использующий некоторые стабильные биометри­ческие показатели пользователя, например, отпечатки пальцев, ри­сунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, которые устанавливаются на компьютерных системах высших уровней защи­ты. Ритм работы при вводе информации проверяется на штатной клавиатуре компьютерной системы и, как показывают эксперименты, является вполне стабильным и надежным. Даже подглядывание за работой пользова­теля при наборе ключевой фразы не дает гарантии идентификации злоумышленника при его попытке повторить все действия при на­боре фразы.