ІДЕНТИФІКАЦІЯ СУБ'ЄКТІВ І ОБ'ЄКТІВ ДОСТУПУ

Ідентифікація передбачає закріплення за кожним суб'єктом доступу унікального імені у вигляді номера, шифру або коду, наприклад персональний ідентифікаційний номер (Personal Identification Number - PIN), соціальний безпечний номер (Social Security Number - SSN) і т.п. Ідентифікатори користувачів повинні бути зареєстровані в інформаційній системі адміністратором служби безпеки. При реєстрації в базу даних системи захисту для кожного користувача заносяться такі дані, як прізвище, ім'я, по батькові та унікальний ідентифікатор користувача, ім'я процедури для встановлення автентичності та пароль користувача, повноваження користувача з доступу до системних ресурсів і ін.

Ідентифікацію слід відрізняти від аутентифікації. Ідентифікація полягає в повідомленні користувачем системі свого ідентифікатора, в той час як аутентифікація є процедурою докази користувачем того, що він є той, за кого себе видає, зокрема що саме йому належить введений нею ідентифікатор. Ідентифікатори користувачів застосовуються в системі з тими ж цілями, що і ідентифікатори будь-яких інших об'єктів, файлів, процесів, структур даних, але вони не пов'язані безпосередньо із забезпеченням безпеки.

Авторизація (Authorization) - процедура надання кожному з користувачів тих прав доступу до каталогів, файлів і принтерів, якими його наділив адміністратор. Крім цього система авторизації може контролювати можливість виконання користувачами різних системних функцій, таких, як установка системного часу, створення резервних копій даних, локальний доступ до сервера, вимикання сервера і т.п.

Система авторизації наділяє користувача мережі правами виконувати певні дії над певними ресурсами. Для цього можуть бути використані два підходи до визначення прав доступу:

  • • виборчий, при якому окремим користувачам (або групам), явно зазначених своїми ідентифікаторами, вирішуються / забороняються певні операції над певним ресурсом. Наприклад, користувачеві з ідентифікатором "Пользователь_1" може бути дозволено виконання операцій читання / запису файлу "Файл_1";
  • • мандатний, який полягає в наступному. Вся інформація в залежності від ступеня секретності ділиться на рівні, а всі користувачі мережі - на групи, що утворюють ієрархію відповідно до рівня допуску до цієї інформації. Такий підхід використовується, наприклад, при розподілі інформації на призначену для службового користування, секретну, цілком таємну. При цьому користувачі в залежності від певного для них статусу (мандата) отримують першу, другу або третю форми допуску. У системах з мандатних підходом користувачі не мають можливості змінити рівень доступності інформації. Користувач з вищою формою допуску не може дозволити читати дані зі свого файлу користувачеві з більш низькою формою.

Процедури авторизації реалізуються програмними засобами за двома схемами:

  • • централізованої, що базується на сервері, відповідно до якої користувач один раз логічно входить в мережу і отримує на весь час роботи деякий набір дозволів щодо доступу до ресурсів мережі;
  • • децентралізованої, що базується на робочих станціях. У цій схемі доступ до кожного з додатком повинен контролюватися засобами безпеки самого додатки або засобами тієї операційного середовища, в якій воно працює. У корпоративної мережі адміністратор відстежує роботу механізмів безпеки, які використовуються усіма типами додатків.

У великих мережах часто застосовується комбінований підхід надання користувачеві прав доступу до ресурсів мережі.

Оскільки системи аутентифікації і авторизації спільно виконують одну задачу, до них необхідно пред'являти однаковий рівень вимог. Ненадійність однієї системи не може бути компенсована високою якістю інший.

Аудит (Auditing) -фіксація в системному журналі подій, пов'язаних з доступом до захищених системних ресурсів. Аудит використовується для виявлення невдалих спроб злому системи. При спробі виконати протиправні дії система аудиту ідентифікує порушника і вносить відповідний запис до журналу реєстрації. Аналіз накопиченої і зберігається в журналі інформації може виявитися дієвим заходом для захисту від несанкціонованого доступу.

 
< Попер   ЗМІСТ   Наст >