2 Основные этапы допуска в компьютерную систему

Системой защиты по отношению к любому пользователю с целью обеспечения безопасности обработки и хранения информации должны быть предусмотрены следующие этапы допуска в вычислительную систему:

1) идентификация;

2) установление подлинности (аутентификация);

3) определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам (авторизация).

Данные этапы должны выполняться и при подключении к компьютерной системе (КС) таких устройств, как удаленные рабочие станции и терминалы.

Идентификация необходима для указания компьютерной системе уникального идентификатора обращающегося к ней пользователя с целью выполнения следующих защитных функций:

1) установление подлинности и определение полномочий пользователя при его допуске в компьютерную систему;

2) контроль установленных полномочий и регистрация заданных действий пользователя в процессе его сеанса работы после допуска данного пользователя в КС;

3) учет обращений к компьютерной системе.

Общая схема идентификации и установления подлинности пользователя при его доступе в компьютерную систему представлена на рисунке 2.

Рис.2 Схема идентификации/аутентификации пользователя при его входе в КС

3 Идентификация объектов и пользователей.

Для того, чтобы установить подлинность субъектов и объектов системы, все субъекты и объекты, зарегистрированные в системе, должны иметь уникальные имена - идентификатоpы. Идентификация субъекта (объекта) предполагает присвоение этому субъекту (объекту) уникального имени (идентификатора).

Каждому зарегистрированному в компьютерной системе объекту или субъекту сопоставляется некоторая информация, однозначно идентифицирующая его (SID). Эту информацию принято называть идентификационной информацией данного объекта или субъекта.

Под субъектом обычно понимают человека - пользователя или пользовательского агента (программу), - осуществляющего доступ к некоторому ресурсу от его имени. Идентификационная информация может быть либо постоянной, либо изменяемой в процессе эксплуатации. Носителем идентификационной информации об объекте является придаваемый каждому объекту индивидуальный идентификатор.

В общем случае идентификатором может быть некоторое устройство или признак, по которому определяется объект. Идентификаторами могут быть строка символов (логин), карточка со штрих-кодом, различные бесконтактные радиотеги, бесконтактные карты, брелоки, магнитные карточки, смарт-карты, изображение радужной оболочки глаза, отпечаток пальца, отпечаток ладони и другие физические признаки. Каждый идентификатор характеризуется определенным уникальным двоичным кодом.

В компьютерных системах для идентификации пользователя используется имя пользователя (логин), который представляет собой последовательность любых символов. Логин должен быть заранее зарегистрирован в системе администратором службы безопасности. Строго говоря, в операционных системах идентификатором пользователя является число (SID), задаваемое при создании учетной записи пользователя, а имя пользователя является лишь уникальным атрибутом учетной записи.

В процессе регистрации администратором в базу эталонных данных системы защиты для каждого пользователя заносятся следующие элементы данных:

фамилия, имя, отчество и, при необходимости, другие характеристики пользователя;

имя пользователя;

имя процедуры установления подлинности;

используемая для подтверждения подлинности эталонная информация, например, хеш пароля;

ограничения на используемую эталонную информацию, например, минимальное и максимальное время, в течение которого указанный пароль будет считаться действительным;

полномочия пользователя по доступу к компьютерным ресурсам.

В рамках дисциплины мы будем рассматривать как средства идентификации объектов и пользователей компьютерных систем, так и средства идентификации товаров, изделий и предметов в различных сферах хозяйственной деятельности человека.

В общем случае идентификация - это процесс распознавания объекта или субъекта по его идентификатору. Идентификатор объекта предъявляется считывателю, который считывает и передает в систему его индивидуальный код для проведения процедуры распознавания.

В последнее время широкое распространение получают средства электронной идентификации - бесконтактные средства радиочастотной идентификации и смарт-карты. Объектом или субъектом идентификации может быть человек, животное, транспортное средство, оборудование, контейнер с грузом, изделие в процессе производства, товар, ценные предметы и т.д.

Средства электронной идентификации объектов находят широкое применение в автоматизированных системах управления многими процессами (на производстве, в торговле, при транспортных перевозках и т.п.), в системах управления доступом, в системах учета, хранения, обращения, охраны, оповещения, наблюдения и т.п.

Средства электронной идентификации стремительно внедряются практически во все сферы хозяйственной деятельности человека, внося в них принципиально новые качества, например:

в системах автоматизации производства они позволяют отслеживать все тонкости прохождения технологического процесса для каждого изделия и строить децентрализованные системы управления, значительно более надежные, чем централизованные;

в системах грузовых и пассажирских перевозок они позволяют автоматически отслеживать передвижение каждого транспортного средства, каждого груза и каждого пассажира практически без дополнительных затрат времени;

в системах складирования, хранения, в музеях, библиотеках, на выставках, в животноводстве они позволяют вести автоматизированный учет хранения и обращения каждого объекта;

в системах санкционированного доступа они позволяют устанавливать персональные условия и приоритеты каждому предъявителю для прохода в различные помещения охраняемой территории, вести непрерывный учет о пересечении посетителями всех контролируемых точек;

в разнообразных платежных системах они используются для оплаты услуг (таксофон, транспорт, музеи и т.п.) и мелких покупок.

Отличие в идентификации объектов и субъектов

Существует определенное различие между идентификацией объектов - товаров, изделий, предметов - и идентификацией субъектов - пользователей компьютерной системы или сети.

Для идентификации объекта из первой группы (товары, изделия, предметы и т.п.) достаточно произвести считывание информации с идентификатора, связанного с этим объектом, например, считывание штрих-кода данного объекта. При этом проверка подлинности товара или изделия как правило осуществляется путем визуальной проверки которая не всегда является достоверной. Проверка достоверности товара и защита от фальсификаций является предметом отдельного изучения и не входит в рамки нашего курса.

Для достоверной идентификации субъекта - пользователя компьютерной системы или сети - необходимо провести не только процедуру собственно идентификации, но и выполнить проверку подлинности данного пользователя. Если пользователь имеет идентификатор, зарегистрированный в системе или сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы или сети, пользователь проходит процесс первичного взаимодействия с компьютерной системой, который включает обязательные процедуры идентификации и аутентификации.

Системы идентификации и аутентификации пользователей являются обязательным элементом любой информационной системы. Задачей систем идентификации и аутентификации является определение и верификация набора полномочий пользователя при доступе к информационной системе. Во многих приложениях осуществление идентификации и аутентификации человека или программы для доступа к некоторому ресурсу является более важной задачей, чем обеспечение конфиденциальности информации. Практически все многопользовательские и сетевые операционные системы, а также банкоматы и кассовые терминалы требуют не только идентификации, но и аутентификации пользователя. С развитием Интернет и безбумажных технологий число приложений, которые требуют аутентификации пользователей, будет только возрастать.