Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции по сетям ЭВМ4 / Информационные сети.doc
Скачиваний:
205
Добавлен:
02.05.2014
Размер:
4.36 Mб
Скачать

Методы и средства управления доступом к информационным и вычислительным ресурсам

В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.

Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:

  • установлению подлинности пользователей и устройств сети;

  • установлению подлинности процессов в сетевых устройствах и ЭВМ;

  • проверке атрибутов установления подлинности.

Аутентификация пользователей может основываться на:

  • дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);

  • средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;

  • индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).

Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.

Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:

  • персональный код пользователя;

  • секретный параметр доступа;

  • возможные режимы работы в сети;

  • категории контроля доступа к данным ресурсам сети.

Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.

Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его.

Таблица. Сравнение методов аутентификации

Параметр

Характеристика абонента

магнитная карточка

отпечаток пальцев

отпечаток ладони

голос

подпись

Удобство в пользовании

Хорошее

Среднее

Среднее

Отличное

Хорошее

Идентификация нарушения

Средняя

Отличная

Хорошая

Хорошая

Отличная

Идентификация законности абонента

Хорошая

Средняя

Отличная

Отличная

Хорошая

Стоимость одного устройства, дол.

100

9000

3000

5000

1000

Время распознавания, с

5

10

5

20

5

Надежность

Хорошая

Средняя

Отличная

Хорошая

Хорошая

Аутентификацияобеспечивает контрольнесанкционированного доступа, определяет права на использование программ и данных. Особенно это относится к местам стыкалокальных сетейитерриториальных сетей, в которых для обеспечениябезопасности данныхразмещаютсябрандмауэры.

Брандмауэр (firewall)—устройство, обеспечивающееконтроль доступав защищаемуюлокальную сеть.

Брандмауэры защищают сеть от несанкционированного доступаиз других сетей, с которыми первая соединена. Брандмауэры выполняют сложные функции фильтрации потоковданныхв точках соединения сетей. Для этого они просматривают все проходящие через нихблоки данных, прерывают подозрительные связи, проверяют полномочия надоступкресурсам.

В качестве брандмауэров применяются маршрутизаторыишлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностямизащиты данных.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке Лекции по сетям ЭВМ4