Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы защиты (защитные механизмы):
o идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;
o разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;
o регистрация и оперативное оповещение о событиях, происходящих в системе;
o криптографическое закрытие (шифрование) хранимых и передаваемых по каналам связи данных;
o контроль целостности и аутентичности (подлинности и авторства) данных;
o резервирование и резервное копирование;
o фильтрация трафика и трансляция адресов;
o обнаружение вторжений (атак);
o выявление и нейтрализация действий компьютерных вирусов;
o затирание остаточной информации на носителях;
o выявление уязвимостей (слабых мест) системы;
o маскировка и создание ложных объектов;
o страхование рисков.
Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. В дальнейшем будут рассмотрены наиболее важные защитные механизмы.
Идентификация и аутентификация пользователей
В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.
Идентификация - это, с одной стороны, присвоение индивидуальных имён, номеров (идентификаторов) субъектам и объектам системы, а, с другой стороны, — это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определённый объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.
Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта — убедиться, что это именно тот объект, который нужен.
Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).
Аутентификация пользователей может осуществляться следующим образом:
o путем проверки знания того, чего не знают другие (паролей, PIN-кодов, ключевых слов);
o путем проверки владения тем, что относительно сложно подделать (карточками, ключевыми вставками и т.п.);
o путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств;
o путем проверки рекомендации (сертификата, специального билета) от доверенного посредника.
Системы аутентификации могут быть двух видов - с взаимной и односторонней аутентификацией. Примером взаимной аутентификации является аутентификация WEB-сервера, которая предполагает предъявление сертификата, доказывающего взаимодействие с нужным оборудованием, которое находится под управлением нужных физических или юридических лиц.
Простейшей формой аутентификации является парольная, при которой ввод значений идентификатора и пароля осуществляется, как правило, с клавиатуры. Считается, что эта форма аутентификация небезопасна, поскольку:
o пользователи часто применяют короткие легко подбираемые пароли;
o во многих системах существуют многочисленные возможности перехвата паролей (серфинг на плече, запуск клавиатурных «шпионов» (Рис. 1.7.1), перехват в открытых сетях и т.д.).