Методы и средства управления доступом к информационным и вычислительным ресурсам

В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.

Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:

• установлению подлинности пользователей и устройств сети;

• установлению подлинности процессов в сетевых устройствах и ЭВМ;

• проверке атрибутов установления подлинности.

Аутентификация пользователей может основываться на:

• дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);

• средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;

• индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).

Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.

Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:

• персональный код пользователя;

• секретный параметр доступа;

• возможные режимы работы в сети;

• категории контроля доступа к данным ресурсам сети.

Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.

Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его.

Таблица. Сравнение методов аутентификации

Аутентификацияобеспечивает контрольнесанкционированного доступа, определяет права на использование программ и данных. Особенно это относится к местам стыкалокальных сетейитерриториальных сетей, в которых для обеспечениябезопасности данныхразмещаютсябрандмауэры.

Брандмауэр (firewall)—устройство, обеспечивающееконтроль доступав защищаемуюлокальную сеть.

Брандмауэры защищают сеть от несанкционированного доступаиз других сетей, с которыми первая соединена. Брандмауэры выполняют сложные функции фильтрации потоковданныхв точках соединения сетей. Для этого они просматривают все проходящие через нихблоки данных, прерывают подозрительные связи, проверяют полномочия надоступкресурсам.

В качестве брандмауэров применяются маршрутизаторыишлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностямизащиты данных.