Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
147
Добавлен:
16.04.2013
Размер:
335.87 Кб
Скачать

Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации

Задача обеспечения конфиденциальности информации заключается в защите передаваемых данных от несанкционированного чтения и копирования. Основным средством обеспечения конфиденциальности информации является шифрование. Следует отметить, что шифрование является тем криптографическим базисом, который лежит в основе всех сервисов информационной безопасности (система аутентификации или авторизации,средства создания защищенного канала, способ безопасного хранения данных).

Задача обеспечения целостности передаваемых данных заключается в проверке того, что данные в процессе передачи не были искажены злоумышленником или из-за ошибок передачи в сети. Обычно контроль целостности выполняется прозрачным для приложений образом как часть общей протокольной обработки.

Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили от конкретного человека, который объявил об этом. Для осуществления аутентификации данных обычно используется криптографический механизм электронной цифровой подписи.

Необходимо обратить внимание на то, что у компьютерной криптографии две стороны — собственно криптографическая и интерфейсная, позволяющая сопрягаться с другими частями информационной системы. Стандартизация интерфейсов и их функциональное разнообразие позволит разрабатывать криптографические компоненты, которые можно было бы встраивать в существующие и перспективные конфигурации VPN.

Методы и алгоритмы шифрования подробно рассматриваются в главах 5 и 6. Схемы и алгоритмы электронной цифровой подписи приводятся в главе 8.

Авторизация и управление доступом

Система авторизации имеет дело с легальными пользователями, которые успешно прошли процедуру аутентификации. Цель системы авторизации заключается в том, чтобы предоставить конкретному легальному пользователю те виды доступа к сетевым ресурсам, которые были определены для него администратором системы.

Система авторизации предоставляет легальным пользователям не только определенные права доступа к каталогам, файлам и принтерам, но и регулирует доступ пользователя к средствам шифрования пакетов, формирования цифровой подписи и определенным VPN - устройствам.

Процедуры авторизации реализуются программными средствами, встроенными в операционную систему или в приложение. При построении программных средств авторизации применяются два подхода:

 централизованная схема авторизации;

 децентрализованная схема авторизации.

Основное назначение централизованной системы авторизации - реализовать принцип единого входа. Управление процессом предоставления ресурсов пользователю осуществляется сервером. Централизованный подход к процессу авторизации реализован в системах Kerberos, RADIUS и TACACS.

При децентрализованном подходе к процессу авторизации каждая рабочая станция оснащается средствами защиты. В этом случае доступ к каждому приложению должен контролироваться средствами защиты той операционной среды, в которой работает данное приложение. Администратор сети должен контролировать работу средств безопасности, используемых всеми типами приложений. При удалении или добавлении новых пользователей администратору приходится конфигурировать доступ к каждой программе или системе.

В крупных сетях обычно применяется комбинированный подход в предоставлении легальным пользователям прав доступа к сетевым ресурсам. Сервер удаленного доступа ограничивает доступ пользователей к укрупненным элементам сети - подсетям, сегментам сети или корпоративным серверам. Каждый отдельный сервер сети осуществляет ограничение доступа пользователя к своим внутренним ресурсам - каталогам, приложениям или принтерам.

В последнее время активно развивается так называемое ролевое управление доступом. Оно решает не столько проблемы безопасности, сколько улучшает управляемость систем. Суть ролевого управления доступом заключается в том, что между пользователями и их привилегиями помещают промежуточные сущности — роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему вполне определенные права.

Сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости системы.

Кроме того, на основании ролевой модели управления доступом можно реализовать такой важный принцип, как разделение обязанностей (например, невозможность в одиночку скомпрометировать критически важный процесс). Между ролями могут быть определены статические или динамические отношения несовместимости (например, невозможность одному субъекту одновременно исполнять две роли).

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Мы не исправляем ошибки в тексте (почему?), но будем благодарны, если вы все же напишите об ошибках.

Соседние файлы в папке дз_мп_45_2001