ИДЕНТИФИКАЦИЯ И УСТАНОВЛЕНИЕ ПОДЛИННОСТИ.
Для того чтобы установить подлинность субъектов и объектов системы, все субъекты и объекты, зарегистрированные в системе, должны иметь уникальные имена идентификатоpы. Когда какой-либо субъект обращается к ресурсам системы, необходимо установить его подлинность, опознать его (процесс авторизации или аутентификации). Установление подлинности субъекта (объекта) заключается в подтверждении того, что обратившийся субъект (вызываемый объект) является именно тем, которому разрешено участвовать в данном процессе (выполнять действия).
В зависимости от сложности установления подлинности различают три основные группы операций: простое, усложненное и особое установление подлинности.
Простое установление подлинности сводится к сравнению предъявленного кода (характеристики) с эталонным кодом, который хранится в памяти устройства, выполняющего установление подлинности.
Усложненное установление подлинности требует от пользователя ввода дополнительной информации и осуществляется в режиме диалога.
Особое установление подлинности, кроме использования методов простого и усложненного установления подлинности, использует специальную совокупность опознавательных характеристик, которая выбирается для обеспечения надежного установления подлинности.
Для установления подлинности субъектов используются различные опознавательные характеристики. Классификация характеристик, применяемых для установления подлинности субъектов, приведена на рис.
Регистрация (протоколирование) обращений к защищенным ресурсам системы позволяет должностному лицу, ответственному за информационную безопасность, следить за использованием ресурсов и оперативно принимать меры по перекрытию обнаруженных каналов утечки данных. Все обращения к ресурсам системы должны фиксироваться в регистрационном журнале.
В регистрационный журнал обычно заносятся следующие данные:
− обращения (доступы) к защищаемым ресурсам;
− отказы в доступе;
− изменения полномочий;
− случаи неиспользования пользователями разрешенных запросов;
− изменения содержания памяти ЭВМ, производимые пользователями;
− любые подозрительные действия.
| Характеристики для установления подлинности
|
| Биометрические (персональные)
|
| Магнитные голографические
|
| С электронным кодированием
|
РЕАГИРОВАНИЕ НА НЕСАНКЦИОНИРОВАННЫЕ ДЕЙСТВИЯ
Реагирование на несанкционированные действия включает в себя:
− сигнализацию о НСД;
− блокировку (отключение терминала, группы терминалов, элементов ИВС и т.п.);
− задержку в работе;
− отказ в запросе;
− имитацию выполнения запрещенного действия для определения места подключения нарушителя и характера его действий.
Реагирование на НСД может осуществляться автоматически и с участием должностного лица, ответственного за информационную безопасность.
МНОГОУРОВНЕВАЯ ЗАЩИТА КОРПОРАТИВНЫХ СЕТЕЙ
АУТЕНТИФИКАЦИЯ
Межсетевые экраны (МЭ) на основе маршрутизаторов не обеспечивают аутентификации пользователей. МЭ, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации.
Имя/пароль – это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов.
Одноразовые пароли – используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.
Электронные сертификаты – используют шифрование с открытыми ключами.
Дата добавления: 2018-05-12; просмотров: 671; | Поделиться с друзьями:
|
Мы поможем в написании ваших работ!
