Информационная безопасность Авторизация

Графика
Начерталка

Математика

Лабы

Авторизация в контексте количества и вида зарегистрированных пользователей Кого следует воспринимать в качестве потенциального злоумышленника В системе арегистрирован один пользователь В общем случае в системе может быть зарегистрирован один либо несколько пользователей. Случай, когда в системе зарегистрирован только один пользователь, характеризуется тем, что данный пользователь является и прикладным пользователем, и администратором безопасности. Здесь источником потенциальной угрозы является только сторонний сотрудник предприятия, а вся задача защиты сводится к контролю доступа в компьютер (либо в систему), т.е. к парольной защите.

Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей

Основу классификации задач, решаемых механизмами парольной защиты, составляет назначение защищаемого объекта (компьютера). Именно в соответствии с назначением объекта определяется перечень защищаемых ресурсов и источников угроз (потенциальных злоумышленников)

Рассмотрим возможные средства классификации механизмов идентификации и аутентификации , полученные на основе анализа применения механизмов парольной защиты в ОС (прежде всего семейства Windows), приложениях и современных добавочных защиты ОС.

По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования и с целью блокировки. С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь.

С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения.

Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера — клавиатуры, устройств ввода (например, дисковод — с дискеты), так и с использованием специализированных устройств аутентификации — всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д.

Рассмотрим представленные угрозы. Наиболее очевидными явными угрозами являются физические — хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съем пароля при вводе (с клавиатуры, либо с монитора).

Основные механизмы ввода пароля. Усиление парольной защиты за счет усовершенствования механизма ввода пароля

Для противодействия хищению злоумышленником носителя информации с паролем могут рассматриваться следующие альтернативные способы защиты

Основное достоинство биометрических систем контроля доступа В двух словах остановимся на рассмотрении новых свойств парольной защиты, реализуемых на основе контроля биометрических характеристик пользователя.

Основные способы усиления парольной защиты, используемые в современных ОС и приложениях

Применение способов усиления пароля, посредством задания дополнительных требований к параметрам пароля

Требования к добавочным механизмам в рамках усиления парольной защиты

Необходимые механизмы добавочной защиты, направленные на усиление парольной защиты

Рассмотрим возможное техническое решение по комбинированию механизмов добавочной и встроенной парольной защиты входа в систему

Альтернативный известный вариант реализации двухуровневой парольной защиты состоит в реализации добавочного механизма не на уровне входа в ОС, а перед загрузкой системы (средствами расширения BIOS).

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам -- объектам

Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы — домены.

Рассмотрим так называемую матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике.

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности

Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом

Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом

Дополнительные требования к защите секретной информации в контексте использования дискреционной и мандатной моделей управления доступом

Понятия «владелец» и «собственник» информации Следует отметить, что на практике существует некоторое противоречие в определении дискреционного управления доступом и требований, формулируемых к его реализации. Так, определение дискреционного управления доступом предполагает:

Разграничение доступа между поименованными субъектами и поименованными объектами.

Последующие исследования будем проводить с учетом того, что пользователь не является «владельцем» информации, им обрабатываемой. Для механизмов управления доступом к ресурсам данный подход связан с понятиями корректности и полноты реализации разграничительной политики доступа к ресурсам.

Немаловажным является вопрос классификации субъектови объектов доступа . Именно на основе этой классификации определяются задачи, которые должны решаться механизмами управления доступом.

При этом разграничивается доступ каждого субъекта к каждому объекту. Так же как и субъекты доступа, в рамках представленной общей классификации могут быть более детально классифицированы и объекты доступа.

С учетом сказанного можем сделать вывод о необходимости управления доступом для каждой пары «субъект — объект». Без этого не может быть обеспечена полнота разграничительной п олитики доступа к ресурсам защищаемого объекта.

Машиностроительное черчение, инженерная графика, начертательная геометрия. Выполнение контрольной