Способы ограничения доступа к информационным ресурсам

Основным способом запрещения несанкционированного доступа к ресурсам вычислительных систем является подтверждение подлинности пользователей и разграничение их доступа к информационным ресурсам, включающего следующие этапы:

· идентификация;

· установление подлинности (аутентификация);

· определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.

Идентификация необходима для указания компьютерной системе уникального идентификатора обращающегося к ней пользователя. Идентификатор может представлять собой любую последовательность символов и должен быть заранее зарегистрирован в системе администратора службы безопасности. В процессе регистрации заносится следующая информация:

· фамилия, имя, отчество (при необходимости другие характеристики пользователя);

· уникальный идентификатор пользователя;

· имя процедуры установления подлинности;

· эталонная информация для подтверждения подлинности (например, пароль);

· ограничения на используемую эталонную информацию (например, время действия пароля);

· полномочия пользователя по доступу к компьютерным ресурсам.

Установление подлинности (аутентификация) заключается в проверке истинности полномочий пользователя. Общая схема идентификации и установления подлинности пользователя представлена на Рис. 4.

Для особо надежного опознания при идентификации используются технические средства, определяющие индивидуальные характеристики человека (голос, отпечатки пальцев, структура зрачка). Однако такие методы требуют значительных затрат и поэтому используются редко.

Рис. 4. Общая схема идентификации и установления подлинности пользователя

Наиболее массово используемыми являются парольные методы проверки подлинности пользователей. Пароли можно разделить на две группы: простые и динамически изменяющиеся.

Простой пароль не изменяется от сеанса к сеансу в течение установленного периода его существования.

Во втором случае пароль изменяется по правилам, определяемым используемым методом. Выделяют следующие методы реализации динамически изменяющихся паролей:

· методы модификации простых паролей (например, случайная выборка символов пароля и одноразовое использование паролей);

· метод «запрос—ответ», основанный на предъявлении пользователю случайно выбираемых запросов из имеющегося массива;

· функциональные методы, основанные на использовании некоторой функции F с динамически изменяющимися параметрами (Дата, время, день недели и др.), с помощью которой определяется пароль.

Для защиты от несанкционированного входа в компьютерную систему используются как обще системные, так и специализированные программные средства защиты.

После идентификации и аутентификации пользователя система защиты должна определить его полномочия для последующего контроля санкционированного доступа к компьютерным ресурсам (разграничение доступа). В качестве компьютерных ресурсов рассматриваются:

· программы;

· внешняя память (файлы, каталоги, логические диски);

· информация, разграниченная по категориям в базах данных;

· оперативная память;

· время (приоритет) использования процессора;

· порты ввода-вывода;

· внешние устройства.

· Различают следующие виды прав пользователей по доступу к ресурсам:

· всеобщее (полное предоставление ресурса);

· функциональное или частичное;

· временное.

Наиболее распространенными способами разграничения доступа являются:

· разграничение по спискам (пользователей или ресурсов);

· использование матрицы установления полномочий (строки матрицы – идентификаторы пользователей, столбцы – ресурсы компьютерной системы);

· разграничение по уровням секретности и категориям (например, общий доступ, конфиденциально, секретно);

· парольное разграничение.