Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Основные механизмы защиты компьютерных систем

Читайте также:
  1. I. Основные положения
  2. I. Специфика обществознания и основные этапы его развития.
  3. II. Государственная система профессиональной ориентации и психологической поддержки населения в Российской Федерации.
  4. II. Методические основы проведения занятий по экологическим дисциплинам в системе высшего профессионального образования
  5. II. Основные проблемы, вызовы и риски. SWOT-анализ Республики Карелия
  6. II. Основные функции отделения Фонда
  7. II. Порядок выдачи средств индивидуальной защиты

Для реализации функций защиты компьютерных систем обычно используются следующие

универсальные механизмы защиты информации:

1. Идентификация, аутентификация и авторизация субъекта;

2. Контроль доступа к ресурсам системы;

3. Регистрация и анализ событий, происходящих в системе;

4. Контроль целостности ресурсов системы.

Идентификация — это процесс распознавания элементов системы с помощью определённо- го идентификатора (признака).

Аутентификация — проверка подлинности идентификации субъекта.

Авторизация — процесс предоставления субъекту прав доступа на объект.

Под контролем доступа понимается ограничение возможности использования ресурсов си- стемы субъектами в соответствии с правилами разграничения доступа. Механизм регистрации и анализа событий необходим для оперативного получения и анализа информации о состоянии системы и её ресурсов с помощью специальных средств контроля. Этот механизм позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему, что в итоге способствует установлению уровня опасности нарушения и определения технологии его восстановления.

Механизм контроля целостности ресурсов системы предназначен для оперативного обна- ружения модификации ресурсов с целью восстановления их целостности. Указанные универ- сальные механизмы могут применяться совместно в различных вариациях для достижения наибольшего эффекта.

Очевидно, для сравнения вводимой и эталонной информации при аутентификации эталон- ные учётные данные пользователей должны храниться в системе. При этом хранение эта- лонных данных может быть как непосредственно на защищаемом объекте, так и на сервере. Необходимо отметить, что пароль в явном виде не должен храниться на защищаемом объ- екте. Это условие не позволяет внутреннему нарушителю считать чужой пароль и присвоить полномочия другого пользователя.

Для того чтобы системы защиты могла идентифицировать санкционированных пользова- телей в памяти системы хранятся пароли не в явном виде, а виде образов. Образы паролей вычисляются по специальному криптографическому алгоритму, например, алгоритму реализу- ющему односторонюю функцию Y = F (X). Основными требованиями к этой функции являют- ся относительная простота её вычисления по известному аргументу X, и чрезвычайно высокая вычислительная сложность определения аргумента по известному значению Y.

Процедуры идентификации пользователя и аутентификации пользователя на рабочей стан- ции могут быть представлены следующими шагами:

1. Запрос на ввод идентификатора со стороны системы защиты

2. Ввод пользователем своего идентификатора Name

3. Запрос на ввод пароля со стороны системы защиты

4. Ввод пользователем своего пароля P

5. Вычисление системой защиты значения односторонней функции Y = F (P)

6. Сравнение системой зашиты полученного на предыдущем шаге значения Y со значением образа пароля, соответствующего идентификатору SName

7. Если сравнение положительное, то система защиты предоставляет пользователю соот- ветствующие права доступа. Если условие не выполняется, то механизмом контроля и регистрации событий фиксируется событие попытки несанкционированного доступа

 

Таким образом, применение односторонней функции фактически блокирует попытку опре- деление пароля к системе. Рассмотренные выше процедуры могут использоваться для защиты локальных станций. В то же время взаимная идентификация удалённых рабочих станций в об- щем случае предполагает возможность прослушивания нарушителями канала связи. Очевидно, что рассмотренные выше процедуры не приемлемы, поскольку возможно считывание пароля по незащищённому каналу связи. В этом случае идентификация рабочих станций некоторого ал- горитма шифрования с секретным ключом (EK). Секретный ключ должен быть известен всем санкционированным удалённым рабочим станциям.

Рассмотрим процедуры идентификации удалённых рабочих станций A и B, связанных неза- щищённым каналом.

1. Станция A посылает запрос на соединения со станцией B

2. Станция B посылает станции A некоторое случайное число R

3. Станция A зашифровывает R по известному ей алгоритму и ключу K, т.е. получает шифротекст C = EK (R), и результат направляет станции B.

4. Станция B вычисляет значение C∗ = EK (R) и сравнивает C = C∗. Если сравнение выпол- няет, то станцией B принимает решение о том, что запрос об установлении сеанса связи отправлен санкционированной станцией A. В противном случае регистрирует попытка несанкционированного доступа и связь прерывается.

В общем случае может быть проведена взаимная идентификация рабочих станций, кото- рая основывается на последовательном применении вышеприведённой процедуры для обеих станций A и B.


Дата добавления: 2015-08-09; просмотров: 227 | Нарушение авторских прав


Читайте в этой же книге: Цели защиты информации | Лицензирование и сертификация в области защиты ин- формации | Основные положения и принципы обеспечения информа- ционной безопасности в системах | Правила назначения меток безопасности иерархическим объектам доступа |
<== предыдущая страница | следующая страница ==>
Утечка информации. Каналы утечки информации и их виды| Основные механизмы реализации моделей доступа

mybiblioteka.su - 2015-2024 год. (0.007 сек.)