Безопасность в ИТ

Под несанкционированным  доступом к информации (НСД) понимается доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем. НСД может носить случайный или преднамеренный характер.

Можно выделить несколько  обобщенных категорий методов защиты от НСД, в частности⁴:

– организационные;

– технологические;

– правовые.

К первой категории относятся  меры и мероприятия, регламентируемые внутренними инструкциями организации, эксплуатирующей информационную систему. Вторую категорию составляют механизмы  защиты, реализуемые на базе программно-аппаратных средств, например систем идентификации и аутентификации или охранной сигнализации. Последняя категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования нормативной базы, регулирующей вопросы защиты информации. Реализуемые на практике методы, как правило, сочетают в себе элементы нескольких из перечисленных категорий. Так, управление доступом в помещения может представлять собой взаимосвязь организационных (выдача допусков и ключей) и технологических (установку замков и систем сигнализации) способов защиты.

Для защиты от НСД средства внешней защиты реализуют такие  взаимосвязанные методы защиты от НСД, как идентификация, аутентификация.

Идентификация – это  присвоение пользователям идентификаторов (понятие идентификатора будет определено ниже) и проверка предъявляемых идентификаторов по списку присвоенных.

Аутентификация –  это проверка принадлежности пользователю предъявленного им идентификатора. Часто  аутентификацию также называют подтверждением или проверкой подлинности.

Под безопасностью (стойкостью) системы идентификации и аутентификации понимается степень обеспечиваемых ею гарантий того, что злоумышленник  не способен пройти аутентификацию от имени другого  пользователя. В этом смысле, чем выше стойкость системы аутентификации, тем сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы.

Различают три группы методов аутентификации, основанных на наличии у каждого пользователя⁵:

– индивидуального объекта заданного типа;

– знаний некоторой известной только ему и проверяющей стороне информации;

– индивидуальных биометрических характеристик.

К первой группе относятся  методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых  средств защиты во многие программно-аппаратные комплексы защиты информации. Все  современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.

Последнюю группу составляют методы аутентификации, основанные на применении оборудования для измерения  и сравнения с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков пальцев, структуры радужной оболочки глаза и др. Такие средства позволяют с высокой точностью аутентифицировать обладателя конкретного биометрического признака, причем «подделать» биометрические параметры практически невозможно. Однако широкое распространение подобных технологий сдерживается высокой стоимостью необходимого оборудования.

При осуществлении процедур идентификации и аутентификации используются следующие параметры (информация), предоставляемые пользователем  для доказательства прав доступа к защищаемой информации.

Идентификатор пользователя – некоторое уникальное количество информации, позволяющее различать  индивидуальных пользователей парольной  системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя.

Пароль пользователя – некоторое секретное количество информации, известное только пользователю и парольной системе, которое  может быть запомнено пользователем  и предъявлено для прохождения  процедуры аутентификации. Одноразовый пароль дает возможность пользователю  однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.

Оба этих параметра входят в состав учетной записи пользователя,  которая хранится в базе данных системы защиты.

Второй уровень составляют средства, реализующие разграничение  доступа пользователей, учетные  записи которых хранятся в БД системы  защиты (зарегистрированных) и имеющих  некоторые права на доступ к защищаемой информации. При управлении доступом таких пользователей могут применяться два способа: дискреционный (избирательный, произвольный) и полномочный (мандатный).

Дискреционное управление доступом основано на присвоении объектам системы атрибутов, а субъектам  – прав доступа. Предоставление доступа субъектам к объектам предоставляется на основе некоторых установленных правил разграничения доступа, описывающих использование атрибутов объектов.

Полномочное управление доступом основано на присвоении субъектам  уровня доступа (fs), а объектам – уровня безопасности (fo). Доступ субъектов к объектам предоставляется только в том случае, если уровень доступа субъекта больше или равен уровню безопасности объекта (fs≥fo).

Субъект определяется как  активная сущность, которая может  инициировать запросы ресурсов и использовать их результаты для выполнения каких-либо процедур. Под субъектами обычно понимаются пользователи и процессы (программное обеспечение). Объект доступа (объект) – пассивная сущность, к которой запрашивают доступ субъекты. Объекты являются защищаемыми ресурсами системы. Доступ к ним предоставляется субъектам в соответствии с установленными правилами разграничения доступа (по дискреционному или полномочному принципу управления). Примеры объектов: информационные ресурсы (информация), аппаратные ресурсы, процессы (программное обеспечение).

Список использованных источников и литературы

1. Безопасность операционных систем: учебное пособие / А.А. Безбогов, А.В. Яковлев, Ю.Ф. Мартемьянов. – М.: "Издательство Машиностроение-1", 2007. – 220 с.
2. Комплексная система защиты информации на предприятии : учеб. пособие для студ. высш. учеб. заведений / В. Г.Грибунин, В.В.Чудовский. - М. : Издательский центр «Академия», 2009. - 416 с.
3. Программно-аппаратная защита информации: учеб. пособие / С.К. Варлатая, М.В. Шаханова. - Владивосток: Изд-во ДВГТУ, 2007.
4. Сычев Ю.Н. Основы информационная безопасность: Учебно-практическое пособие. – М.: Изд. центр ЕАОИ, 2007. – 300 с.

¹  Сычев Ю.Н. Основы информационная безопасность: Учебно-практическое пособие. – М.: Изд. центр ЕАОИ, 2007. – С. 116.

²  Безопасность операционных систем: учебное пособие / А.А. Безбогов, А.В. Яковлев, Ю.Ф. Мартемьянов. – М.: "Издательство Машиностроение-1", 2007. – С. 112.

³  Безопасность операционных систем: учебное пособие / А.А. Безбогов, А.В. Яковлев, Ю.Ф. Мартемьянов. – М.: "Издательство Машиностроение-1", 2007. – С. 41.

⁴  Сычев Ю.Н. Основы информационная безопасность: Учебно-практическое пособие. – М.: Изд. центр ЕАОИ, 2007. – С. 4.

⁵  Сычев Ю.Н. Основы информационная безопасность: Учебно-практическое пособие. – М.: Изд. центр ЕАОИ, 2007. – С. 5.