Основные механизмы защиты компьютерных систем

Основные защитные механизмы, используемые в СЗИ

 

 

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):

идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;

разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

регистрация и оперативное оповещение о событиях, происходящих в системе; (аудит)

криптографическое закрытие хранимых и передаваемых по каналам

связи данных;

контроль целостности и аутентичности (подлинности и авторства)

данных;

выявление и нейтрализация действий компьютерных вирусов;

затирание остаточной информации на носителях;

выявление уязвимостей (слабых мест) системы;

изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);

обнаружение атак и оперативное реагирование.

Резервное копирование

Маскировка.

 

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. Рассмотрим перечисленные защитные механизмы подробнее.

 

Идентификация и аутентификация пользователей

 

В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.

 

Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определенный объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.

 

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.

 

Аутентификация пользователей осуществляется обычно:

 

• путем проверки знания ими паролей (специальных секретных последовательностей символов),

 

• путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или

 

• путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.

 

Ввод значений пользователем своего идентификатора и пароля осуществляется чаще всего с клавиатуры. Однако многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные ( proximity ) карточки, интеллектуальные ( smart ) карточки, электронные таблетки Touch Memory .

 

Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.

 

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).