logo
ОЗІ / Лекц_ї / все / Методы и средства защиты информации, 2003

Программы внутренней защиты

Этот класс программ осуществляет ЗИ непосредственно в элементах АС. Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС (технических средств, данных, программ) в строгом соответствии с полномочиями, предоставленными субъектам (пользователям) и объектам (терминалам, групповым устройствам, программам). Каждый из видов регулирования обычно осуществляется в следующей последовательности.

  1. Установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам системы.

  2. Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.

  3. Принятие и реализация решений в соответствии с результатами проверки полномочий.

Наиболее важной из перечисленных процедур является первая, т.е. установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам АС. Поэтому разработке эффективных средств надежного опознания неизменно уделяется повышенное внимание.

Установление подлинности(аутентификация, идентификация, опознавание) какого-либо объекта или субъекта заключается в подтверждении того, что обращавшийся субъект или предъявленный объект являются именно тем, который должен участвовать в данном процессе обработки информации. Основными субъектами, подлинность которых подлежит установлению во всех системах, где обрабатывается информация с ограниченным доступом, являются различные пользователи. В некоторых системах с повышенными требованиями к обеспечению безопасности предусматривается установление подлинности программистов, участвующих в разработке и эксплуатации программного обеспечения, администраторов банков данных и даже инженерно-технического персонала, привлеченного к техническому обслуживанию системы в процессе обработки защищаемой информации.

Сложность и объем операций по опознаванию могут существенно отличаться для каждого конкретного случая. Они определяются следующими основными факторами:

В зависимости от сложностиопераций опознавания, специалисты выделяют три основные группы:

По величине объемаопераций процедуры опознавания также разбивают на три группы:

Под контрольным опознаваниемпонимают опознавание удаленных терминалов в моменты включения их в работу и при обращении их к системе во время обработки защищаемой информации. Прирасширенном опознаванииобычно производится опознавание программистов, удаленных корреспондентов, устройств группового управления вводом/выводом, элементов защищаемых баз данных и т.д. Привсеобщем опознаванииобеспечивается опознавание всех субъектов и объектов, имеющих отношение к обработке защищаемой информации.

Простое опознавание, как правило, сводится к сравнению кода (пароля), предъявляемого терминалом или пользователем, с эталонным кодом (паролем), хранящимся в ОП АС. При усложненном опознавании обычно используется дополнительная информация — система разовых паролей, персональная информация пользователя и т.п. Усложненное опознавание осуществляется в режиме диалога: система формирует вопросы, на которые опознаваемый должен дать ответы. По содержанию ответов система принимает решение об опознавании. При особом распознавании используется такая совокупность опознавательных характеристик, при которой должно обеспечиваться надежное опознавание субъектов и объектов.

Существует также понятие прямого и обратного опознавания. При этом под прямым опознаванием понимают опознавание системой обращающихся к ней субъектов и используемых объектов, а под обратным — опознавание пользователем элементов системы, предоставляемых ему для обработки защищаемых данных.