37. Защита от несанкционированного доступа, функции систем защиты

Для того, чтобы доступ был санкционирован, нужно определится кому что можно а что нельзя.

Для этого необходимо:

- разбить информацию на классы

- разбить на классы пользователей информации

- поставить полученную информацию об информации и пользователях в определенное соответствие.

Доступ пользователей к различной к информации должен осуществляться с помощью паролей, в качестве который могут использоваться:

- Настоящие пароли

- Ключи и замки

- Тесты идентификации пользователей

- Специальные алгоритмы идентификации ПЭВМ, дискет, ПО

Система защиты информации от НСД обеспечивают выполнение следующих функций:

1. Идентификация (присвоение уникальных признаков идентификаторов, по которым в дальнейшем происходит аутентификация)

2. Аутентификация (установление подлинности на основе сравнения с эталонными идентификаторами)

3. Разграничение доступа пользователей к ЭВМ.

4. Разграничение доступа пользователей над ресурсами по операциям.

5. Администрирование:

- определение прав доступа к защищаемым ресурсам

- обработка регистрационных журналов, установка и снятие систем защиты на ПЭВМ

6. Регистрация событий (включает регистрацию входа, выхода пользователей из системы, снятие систем защиты с ПЭВМ)

7. Реакция на попытки НСД

8. Контроль целостности и работоспособности систем защиты

9. Обеспечение информационной безопасности при проведении ремонтно-профилактических работ.

10. Обеспечение информационной безопасности в аварийных ситуациях

Права пользователей к программа и данных описывают таблицы, на основе которых производится контроль и разграничение доступа к ресурсам.

Доступ должен контролироваться программными средствами защиты и, если запрашиваемый доступ не соответствует имеющемуся в таблице прав доступа, то система защиты реагирует на факт НСД и инициализирует соответствующую реакцию.

31. Идентификация и аутентификация пользователей, 2 типовые схемы

Перед тем, как получить доступ к ресурсам, пользователь должен пройти процесс представления компьютерной системе, которая включает 2 стадии:

- идентификацию (пользователь сообщает системе свое имя - идентификатор)

- аутентификация (пользователь подтверждает идентификацию, вводя в систему уникальную, неизвестную никому, информацию о себе, например, пароль)

Для проведения процедур идентификации и аутентификации пользователю необходимо наличие:

- программы аутентификации

- уникальной информации о пользователе

Наиболее распространены 2 типовые схемы идент и аутент.

1. В компьютерной системе храниться

1. Номер пользователя N: 1, 2…n

2. Информация для идентификации Idi 1, 2…n

3. Информация для аутентификации Ei = F(Idi, Ki), Ki - ключ

Невосстановимость ключа определяется некоей пороговой трудоемкостью Т0, решение задачи определения Кi по Ei и Idi

T0=10²⁰-10³⁰ c

Протокол идентификации и аутентификации:

1. Пользователь предъявляет свой идентификатор.

2. Если для данного i Idi=ID, то пользователь проходит идентификацию успешно.

3. Модуль аутентификации запрашивает у пользователя значение Ki

4. Вычисляет значение Fi и IDi

5. Если Еi соответствует E

IDi, Si – информация для идентификации

Ei = F(Si, Ki) – информация для аутентификации

S – случайный вектор, задаваемый при создании идентификатора пользователя.

Протокол по данной схеме:

1. Пользователь предъявляет свой идентификатор

2. Если для данного i Idi=ID, то пользователь проходит идентификацию успешно.

3. По IDi определяется Si.

4. Модуль аутентификации запрашивает у пользователя его идентификатор Ki

5. Вычисляется значение Ei

6. Если Ei=E, то аутентификация успешна.

2ая схема аутентификации применяется в ОС Unix. Причем в качестве идентификатора используется имя пользователя. В качестве аутентификатора – пароль, записанный по password. А функция F представляет собой алгоритм шифрования по DES.