Методы и средства управления доступом к информационным и вычислительным ресурсам
В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.
Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:
установлению подлинности пользователей и устройств сети;
установлению подлинности процессов в сетевых устройствах и ЭВМ;
проверке атрибутов установления подлинности.
Аутентификация пользователей может основываться на:
дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;
индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.
Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:
персональный код пользователя;
секретный параметр доступа;
возможные режимы работы в сети;
категории контроля доступа к данным ресурсам сети.
Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.
Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его.
Таблица. Сравнение методов аутентификации
| Параметр | Характеристика абонента | ||||
| магнитная карточка | отпечаток пальцев | отпечаток ладони | голос | подпись | |
| Удобство в пользовании | Хорошее | Среднее | Среднее | Отличное | Хорошее |
| Идентификация нарушения | Средняя | Отличная | Хорошая | Хорошая | Отличная |
| Идентификация законности абонента | Хорошая | Средняя | Отличная | Отличная | Хорошая |
| Стоимость одного устройства, дол. | 100 | 9000 | 3000 | 5000 | 1000 |
| Время распознавания, с | 5 | 10 | 5 | 20 | 5 |
| Надежность | Хорошая | Средняя | Отличная | Хорошая | Хорошая |
Аутентификацияобеспечивает контрольнесанкционированного доступа, определяет права на использование программ и данных. Особенно это относится к местам стыкалокальных сетейитерриториальных сетей, в которых для обеспечениябезопасности данныхразмещаютсябрандмауэры.
Брандмауэр (firewall)—устройство, обеспечивающееконтроль доступав защищаемуюлокальную сеть.
Брандмауэры защищают сеть от несанкционированного доступаиз других сетей, с которыми первая соединена. Брандмауэры выполняют сложные функции фильтрации потоковданныхв точках соединения сетей. Для этого они просматривают все проходящие через нихблоки данных, прерывают подозрительные связи, проверяют полномочия надоступкресурсам.
В качестве брандмауэров применяются маршрутизаторыишлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностямизащиты данных.
- Информационные сети
- 23. Некоторые типы современных сетей 156
- 1. Основные понятия информационных сетей
- Сообщения
- Пользователь
- Открытая система
- Классификация сетей
- 3. Модели и структуры информационных сетей Локальная сеть (лвс)
- Территориальная сеть
- Классификация территориальных сетей
- Глобальная сеть
- Виртуальная сеть
- 4. Топология и виды информационных сетей Топология сетей
- 5. Информационные ресурсы сетей
- Информационное хранилище
- Информационно-поисковая система
- Базы знаний
- Электронная библиотека
- 6. Теоретические основы современных информационных сетей. Теория очередей.
- Пуассоновский процесс
- Система обслуживания м/м/1
- 7. Базовая эталонная модель взаимодействия открытых систем (бэмвос)
- Передача данных между уровнями мвос
- Соединения.
- Физические средства соединений
- 8. Компоненты информационной сети
- Абонентская система
- Ретрансляционная система
- Ретрансляционные системы, осуществляющие коммутацию имаршрутизацию: Узел коммутации каналов
- Узел коммутации пакетов
- Узел смешанной коммутации
- Узел интегральной коммутации
- Коммутатор
- Ретрансляционные системы, преобразующие протоколы Шлюз
- Маршрутизатор
- Объединение сетей
- Административные системы
- Управление конфигурацией сети и именованием
- Обработка ошибок
- Анализ производительности и надежности
- Управление безопасностью
- Учет работы сети
- 9. Коммуникационная сеть
- Универсальный интерфейс коммуникационной сети
- 10. Моноканальные подсети и моноканал
- Моноканальная сеть
- Множественный доступ
- Множественный доступ с разделением времени (Time Division Multiple Access (tdma))
- Множественный доступ с передачей полномочия (Token Passing Multiple Access (tpma))
- Множественный доступ с контролем передачи и обнаружением столкновений (csma/cd)
- Множественный доступ с разделением частоты (Frequency Division Multiple Access (fdma))
- Множественным доступом с разделением волны (wdma)
- 11. Циклические подсети. Циклическое кольцо
- Типы локальных сетей по методам передачи информации Метод доступа Ethernet
- Метод доступа Token Ring
- Метод доступа ArcNet
- 12. Узловые подсети Сеть с маршрутизацией данных
- 13. Методы маршрутизации информационных потоков
- Rip(Метод рельефов)
- Метод ospf
- 14. Методы коммутации информации Коммутация
- Коммутация Каналов (кк)
- Коммутация Пакетов (кп)
- Коммутация сообщений
- Смешанная коммутация
- Ретрансляция кадров и ячеек
- Ретрансляция кадров
- Ретрансляция ячеек
- Баньяновая сеть
- Матричный коммутатор
- 15. Протокольные реализации Протокол
- Стандарты протоколов физического уровня.
- Стандарты протоколов канального уровня.
- Стандарты протоколов сетевого уровня.
- Протоколы транспортного уровня.
- Протоколы верхних уровней.
- Протокол ipx/spx
- Протокол управления передачей/межсетевой протокол
- 16. Сетевые службы
- Сетевая служба ds*
- Сетевая служба edi
- Сетевая служба ftam
- Сетевая служба jtm
- Сетевая служба mhs/motis
- Сетевая служба nms
- Сетевая служба oda
- Сетевая служба vt
- 17. Модель распределённой обработки информации
- Технологии распределенных вычислений.
- Распределенная среда обработки данных
- 18. Безопасность информации
- Технические аспекты информационной безопасности Криптографические методы и средства защиты.
- Методы и средства аутентификации пользователей и сообщения.
- Методы и средства управления доступом к информационным и вычислительным ресурсам
- 19. Базовые функциональные профили Функциональный профиль
- Базовый функциональный профиль
- Коллапсный функциональный профиль
- 20. Полные функциональные профили
- Открытая сетевая архитектура
- 21. Методы оценки эффективности информационных сетей Эффективность информационной сети
- Показатели целевой эффективности информационной сети.
- Показатели технической эффективности информационной сети.
- Показатели экономической эффективности информационной сети.
- Методы оценки эффективности информационных сетей.
- 22. Сетевые программные и технические средства информационных сетей Сетевые операционные системы
- Требования к сетевым операционным системам.
- Сети с централизованным управлением
- Сети с децентрализованным управлением или одноранговые сети
- Прикладные программы сети
- Специализированные программные средства
- Техническое обеспечение
- 1. Средства коммуникаций
- 2. Сетевые адаптеры
- 3. Концентратор (Hub)
- 4. Приемопередатчики (transceiver) и повторители (repeater)
- 5. Коммутаторы (switch), мосты (bridge) и шлюзы (gateway)
- 6. Маршрутизаторы
- 7. Коммутаторы верхних уровней
- 8. Модемы и факс-модемы (fax-modem)
- 9. Анализаторы лвс
- 10. Сетевые тестеры
- Терминальное оборудование
- 23. Некоторые типы современных сетей
- 1. Сети X.25
- 2. Сети Frame Relay
- 3. Сети, основанные на технологии atm