Добавлен: 06.11.2023
Просмотров: 36
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
3.4 Идентификация и аутентификация пользователя
Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии:
• идентификацию - пользователь сообщает системе по ее запросу свое имя (идентификатор);
• аутентификацию - пользователь подтверждает идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль).
Для проведения процедур идентификации и аутентификации пользователя необходимы:
• наличие соответствующего субъекта (модуля) аутентификации;
• наличие аутентифицирующего объекта, хранящего уникальную информацию для аутентификации пользователя.
Различают две формы представления объектов, аутентифицирующих пользователя:
• внешний аутентифицирующий объект, не принадлежащий системе;
• внутренний объект, принадлежащий системе, в который переносится информация из внешнего объекта.
Внешние объекты могут быть технически реализованы на различных носителях информации - магнитных дисках, пластиковых картах и т. п. Естественно, что внешняя и внутренняя формы представления аутентифицирующего объекта должны быть семантически тождественны.
3.5 Защита информации в КС от несанкционированного доступа
Для осуществления несанкционированного доступа злоумышленник не применяет никаких аппаратных или программных средств, не входящих в состав КС. Он осуществляет несанкционированный доступ, используя:
• знания о КС и умения работать с ней;
• сведения о системе защиты информации;
• сбои, отказы технических и программных средств;
• ошибки, небрежность обслуживающего персонала и пользователей.
Для защиты информации от несанкционированного доступа создается система разграничения доступа к информации. Получить несанкционированный доступ к информации при наличии системы разграничения доступа возможно только при сбоях и отказах КС, а также используя слабые места в комплексной системе защиты информации. Чтобы использовать слабости в системе защиты, злоумышленник должен знать о них.
Одним из путей добывания информации о недостатках системы защиты является изучение механизмов защиты. Злоумышленник может тестировать систему защиты путем непосредственного контакта с ней. В этом случае велика вероятность обнаружения системой защиты попыток ее тестирования. В результате этого службой безопасности могут быть предприняты дополнительные меры защиты.
Гораздо более привлекательным для злоумышленника является другой подход. Сначала получается копия программного средства системы защиты или техническое средство защиты, а затем производится их исследование в лабораторных условиях. Кроме того, создание неучтенных копий на съемных носителях информации является одним из распространенных и удобных способов хищения информации. Этим способом осуществляется несанкционированное тиражирование программ. Скрытно получить техническое средство защиты для исследования гораздо сложнее, чем программное, и такая угроза блокируется средствами и методами обеспечивающими целостность технической структуры КС. Для блокирования несанкционированного исследования и копирования информации КС используется комплекс средств и мер защиты, которые объединяются в систему защиты от исследования и копирования информации. Таким образом, система разграничения доступа к информации и система защиты информации могут рассматриваться как подсистемы системы защиты от несанкционированного доступа к информации.
3.6 Другие программные средства защиты информации
Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Межсетевые экраны
| Бесплатные | Ashampoo FireWall Free • Comodo • Core Force (англ.) • Online Armor • PC Tools • PeerGuardian (англ.) • Sygate (англ.) |
| Проприетарные | Ashampoo FireWall Pro • AVG Internet Security • CA Personal Firewall • Jetico (англ.) • Kaspersky • Microsoft ISA Server • Norton • Outpost • Trend Micro (англ.) • Windows Firewall • Sunbelt (англ.) • WinRoute (англ.) • ZoneAlarm |
| Аппаратные | Fortinet • Cisco • Juniper • Check Point |
| FreeBSD | Ipfw • IPFilter • PF |
| Mac OS | NetBarrier X4 (англ.) |
| Linux | Netfilter (Iptables • Firestarter • Iplist • NuFW • Shorewall) • Uncomplicated Firewall |
Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).
VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.
Заключение
Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:
-
Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации. -
Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы. -
Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации. -
Необходимо осуществлять постоянный контроль функционирования механизма защиты.
Список использованных источников
-
«Программно – аппаратные средства обеспечения информационной безопасности вычислительных сетей», В.В. Платонов, 2006 г. -
«Искусственный интеллект. Книга 3. Программные и аппаратные средства», В.Н. Захарова, В.Ф. Хорошевская. -
www.wikipedia.ru -
www.bit.ru -
www.intuit.ru