- •Системы с открытым ключом
- •Электронная подпись
- •Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.
- •Управление ключами
- •Генерация ключей
- •Распределение ключей
- •Требования к криптосистемам
- •Реализация криптографических методов
- •Идентификация и аутентификация
- •Управление доступом
- •Протоколирование и аудит
Управление доступом
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа – какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска(объект), право доступа на модификацию данных в каком-то каталоге(объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.
Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. Например - кто и когда пытался входить в систему, чем завершилась эта попытка, кто и какими информационными ресурсами пользовался, какие и кем модифицировались информационные ресурсы и много других.
Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.
Реализация протоколирования и аудита преследует следующие главные цели:
-
обеспечение подотчетности пользователей и администраторов;
-
обеспечение возможности реконструкции последовательности событий;
-
обнаружение попыток нарушений информационной безопасности;
-
предоставление информации для выявления и анализа проблем.