ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.12.2023
Просмотров: 73
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Профиль - берілген объект пен субъект үшін параметрлер мен конфигурациялар жиынтығы және оның АЖ-дегі жүмысын анықтау.
Авторизация - ақпараттық өзара байланыстың белгілі бір қатысушысы үшін қүқықтық профилін қалыптастыру.
Субъект кемінде төмендегі бір мэнін көрсете отырып, өзінің түпнүсқалығын растауы мүмкін:
- ол білетін бір нәрсе (пароль, криптографиялық кілт жэне т.б.);
- оған тиесілі бір нэрсе (электронды кілт, смарт-карта жэне т.б.);
- бүл оның бір бөлігі (оның биометриялық сипаттамалары).
Аутентификация бір жақты (эдетте субъект жүйеге өзінің түпнұсқалығын дэлелдейді) жэне екі жақты (өзара).
Сенімді идентификация жэне аутентификация бірнеше себептер бойынша қиындатылған.
АЖ тараптар арасында сенімді маршрут болмауы мүмкін; бүл жалпы алғанда, субъектіден алынған мәліметтер түпнүсқаландыру үшін алынған және қолданылған мэліметтермен сэйкес келмеуі мүмкін дегенді білдіреді.
Барлық дерлік түпнұсқалық мэндерді анықтауға, ұрлауға немесе түрлендіруғе болады.
Бір жағынан аутентификацияның сенімділігі мен субъектінің жайлылығы арасында карама - қайшылық бар. Қауіпсіздік мақсатында, белгілі бір жиілікте, пайдаланушыға аутентификация туралы ақпаратты қайта енгізуді талап ету қажет.
Қорғау қүралдары қаншапықты сенімді болса, соғүрлым қымбатқа
түседі.
Сурет 1. Идентификация жэне аутентификация жүйелерінің түрлері
Парольді аутентификацш
Парольді аутентификацияның негізгі артыкшылыгы карапайымдылық. Кемшілік - түпнүсқалықты тексеретін ең әлсіз қүрал. Парольдерді жасау жэне пайдалану кезінде негізгі бүзушылықтар:
- қарапайым пароль,
- ешқашан өзгертілмейтін кез келген қүжаттан стандартты мәндерді пайдалану,
- оқуга болатын, оқылатын және т.б. заттарга парольді жазу.
- басқа қызметкерге парольді хабарлау.
Парольді қоргау сенімділігін арттыруга мүмкіндік беретін шаралар:
- техникалық шектеулерді қою (үзындық, әріптерді, сандарды, белгілерді пайдалану);
- парольдердің жарамдылық уақытын басқару;
- парольдің файлга қолжетімділігін шектеу;
- жүйеге сэтсіз кіру әрекеттерінің санын шектеу;
- пайдаланушыларды оқыту;
- белгілі бір ережелерге негізделген күрделі, бірақ есте сақталатын парольдерді тудыратын парольдің багдарламалық генераторларын пайдалану
;
- бір реттік парольдер.
Бір реттік парольдер
Мысалы, бір жақты Г функция (ягни, қолайлы уақытта қайта есептеу мүмкін емес функция) бар делік. Бүл функция пайдаланушыга жэне аутентификация серверіне де белгілі.
Пайдаланушыға ғана белгілі К кұпия кілті болсын.
Бастапкы басқару сатысында Г функциясы К кілтіне п-рет қолданылады, содан кейін нэтиже серверде сақталады.
Осыдан кейін пайдаланушының түпнұсқалыкты тексеру процедурасы келесідей:
- сервер п-1 санын пайдаланушы жүйесіне жібереді;
- пайдаланушы Г функциясын К кілтіне (п-1) рет қолданады жэне желі арқылы нәтижені аутентификация серверіне жібереді;
- сервер Г функциясын пайдаланушыдан алынған мэнге қолданады жэне нәтижені бүрын сақталған мэнмен салыстырады. Сәйкестік жағдайында, пайдаланушының түпнүсқалығы қүрылады деп есептеледі, сервер жаңа мэнді (пайдаланушы жіберген) сақтайды жэне есептегіш (п) біреуге азаяды.
Ғ функциясы қайтарылмайтын болғандықтан, парольді тоқтатып, аутентификация серверіне ену, К қүпия кілтін біліп, келесі бірреттік парольді болжауға мүмкіндік бермейді.
Бір реттік парольдерді енгізудің тағы бір тәсілі қысқа уақыт өткеннен кейін (мысалы, эрбір 60 секунд) жаңа қүпия сөзді күру болып табылады, ол үшін бағдарламалар немесе смарт-карталар қолданылуы мүмкін. Бүл үшін келесі шарттар орындалуы тиіс:
- аутентификация сервері иарольді генерациялау алгоритмін жэне байланысты параметрлерді білуі керек;
- клиент пен сервердің сағаттары синхронды болуы керек.
Токендер қолданылган аутентификацш
Келесі нүсқаларда болуы мүмкін:
Жүйенің сүранысы бойынша токен оған түпнүсқалығын растауға қызмёт ететін қүпия мэнді көрсетеді. Бүл жауапты бір рет үстап алғаннан кейін, шабуылдаушы токеннің жауаптарын имитациялауы мүмкін.
Токен мен жүйе бір реттік парольдерді генерациялау үшін ортақ, үндестірілген жүйеге ие. Жүйенің сүранысына токен белгілі бір уақыт ішінде жарамды парольді береді. Осы уақытта жүйе парольдің өз нұсқасын жасайды және ол оны алынган парольмен салыстырады.
Токен жүйеде тіркелген (ол оның құпия параметрін біледі).Аутентификациялау үшін токен өз параметрін пайдаланып, түрлендіретін кездейсоқ мэнді жасайды. Жұйе ааналогты түрлендіруді орындайды және нәтижені токеннен алынған нэтижемен салыстырады. Бүл жағдайда сүраныс пен жауапты үстап алу шабуылдаушыға ештеңе бермейді. Жэне токен мен жүйені синхрондау талап етілмейді.
Токендердің парольмен бірге пайдалану нұсқалары:
- Парольдер парольсіз жұмыс істемейтін токендерге енуге арналған.
- Пароль токендер параметрімен бірге бірреттік парольдер жасауға негіз болып табылады.
-Токендер жүйеге пайдаланушының пароліне жэне оның параметріне негізделген кездейсоқ мэнінің сүранысына жауап береді.
Биометриялъщ мәліметтерді пайдаланып аутентификациялау Ёиометрия физиологиялық жэне мінез-қүлық сипаттамаларына негізделген адамдарды идентификаңиялау жэне аутентификаңиялау үшін автоматтандырылган әдістер жиынтыгы болып табылады.
Физиологиялық сипаттамалардың қатарына мыналар жатады: - саусақ іздері, - көздің тор қабығы, - қол мен бет геометриясы. Мінез-қүлық сипаттамаларына жатады: - қол қою динамикасы, - пернетақтамен жүмыс істеу стилі. Сипаттамаларга, физиология мен мінез-қүлықты қоса алганда, дауыс ерекшеліктері мен сөз тану жатады. Жалпы, биометриялық мэліметтермен жүмыс келесі түр үйымдастырылады. Біріншіден, әлеуетті пайдаланушылардың еипаттамаларының мәліметтер базасы қүрылады жэне сақталады. Ол үшінпайдаланушының биометриялық сипаттамалары алынады, өңделеді және өңдеудің нэтижесі (биометриялық үлгі деп аталады) мәліметтер базасына жазылады. Бүл жагдайда бастапқы мәліметтер, яғни саусақты немесе маңдайшаны сканерлеу нәтижелері әдетте сақталмайды.
Ары қарай, пайдаланушыны идентификациялау және аутентификациялау үшін алу және өңдеу процесі қайталанады, одан кейін үлгі мәліметтер базасында іздеу жүргізіледі.
Табысты іздестіру жағдайында пайдаланушының сәйкестендіруі және оның түпнүсқалылығы белгілеу қарастырылған. Аутентификация үшін бүрын енгізілген мәліметтер негізінде таңдалған бір биометриялық үлгіні салыстыру жеткілікті.
Әдетте биометрияны басқа да аутентификаторлармен, мысалы, смарт-карталармен бірге қолданады. Кейде биометриялық аутентификация смарт карталарды белсендіруге қызмет етеді, бүл жағдайда биометриялық үлгі сол картада сақталады. Биометрия басқа аутентификация әдістерімен бірдей қауіптерге үшырайды.
Биометриялық үлгіні пайдаланушының сипаттамаларының бастапқы өңдеудің нәтижесімен емес, салыстыру орнына келгендегімен салыстырады. Биометриялық эдістер үлгі мәліметқорына қараганда сёнімді емес. Бақыланатын аумақта жэне «далалық» жағдайда биометрияны қолдану арасындағы айырмашылықты ескеру қажет. Адамның биометриялық мэліметтері өзгереді, сондықтан үлгілердің базасы сүйемелдеуді қажет етеді. Бірақ басты қауіп мынада - егер биометриялық мэліметтер бүзылса, кем дегенде бүкіл жүйені маңызды модернизациялау қажет болады.
3.2 Ақпараттық жүйедегі енуді басқару
Ақпараттық жүйедегі енуді басқару мен бақылаудың екі бағыттары бар: физикалық жэне логикалық. Енуді физикалық басқару аппараттық жэне багдарламалық қамтамасыз етуге, сондай-ақ баспа, визуалды жэне аудио форматтарда үсынылған ақпаратқа қолданылады.
Енуді логикалық басқару - бағдарламалық қамтамасыз ету қүралдарына жэне электронды түрде үсынылған ақпаратқа қолданылады. Ол бағдарламалық қүралдар арқылы жүзеге асырылады. Енуді логикалық басқару - объектілердің кұпиялылыгы мен түтастығын қамтамасыз ету және белгілі бір дәрежеде олардың қолжетімділігін қамтамасыз етуге арналған (рүқсат етілмеген пайдаланушыларды қызмет етуге тыйым салу арқылы) бірнеше пайдаланушы жүйелердің негізгі механизмі. Енуді басқару негізінде идентификация және аутентификация жатыр.
Егер субъект мен АҚЖ аумақтық бөлінсе, онда қауіпсіздік тұрғысынан екі аспектіні қарастырған жөн:
- аутентификатор ретінде қызмет етеді;
- идентификация жэне аутентификация мэліметтерімен алмасу қапай ұйымдастырылған (және қорғалган).
Субъектілер мен объектілер жиынтығы бар. Енуді логикалық басқару міндеті болып эрбір «субъект-объект» жұптарының (кейбір қосымша шарттарға байланысты) көптеген рұқсат етілген операцияларын анықтау және белгіленген тэртіппен орындалуын бақылау табылады.
«Субъект-объект» қатынасын ену матрицасы түрінде қарастыыруға болады, олардың жолдарында субъекттер, бағандарында - объектілер, ал жолдар мен бағандардың қиылысында орналасқан үяшықтарда қосымша шарггар (мысалы, уақыт пен әрекет орны) жэне енудің кеңейтілген түрлері тіркеледі. Матрицаның фрагменті келесі 1-кестеде көрініс табады:
Кесте 1 - Ену матрицасының фрагменті
| | Файл | Бағдарлама | Байланыс желісі | Репиляциалық кесте | |
| Пайдаланушы 1 | Консольдан ORW | E | RW 8:00 бастап 17:00 дейін | | |
| Пайдаланушы 2 | | | | А | |
"О" - ену қүқығын басқа пайдаланушыга беруге рүқсат етуді білдіреді,
"К" - оқу "XV" - жазба,
"Е" - орындау,
"А" - ақпарат қосу
Енуді логикалық басқару пәні ақпараттық қауіпсіздік саласындағы ең күрделісі болып табылады. Объект түжырымдамасы (әсіресе ену түрлері) бір қызмет көрсетуден екінші қызмет көрсету үшін өзгереді. Операциялық жүйелер үшін объектілерге файлдар, қүрылғылар жэне үрдістерді жатады
Файлдар мен қүрылғыларға қатысты көбінесе оқу, жазба, орындау (бағдарлама файлдары үшін), кейде жою жэне қосу қүқығын қарастырады. Жеке қүқығы ретінде басқа субъектілерге ену қүқықтарын (иелену қүқыгы деп аталатын) беру мүмкіндіғі болуы мүмкін. Үрдістерді қүруға жэне жоюға болады. Қазіргі заманғы операциялық жүйелер басқа объектілерді де қолдана алады.
Реляциялық мәліметтер базасын басқару жүйелері үшін объект - мәліметтер базасы, кесте, процедура болып табылады. Кестелер үшін басқа да объектілердеғі мэліметтерді іздеу, қосу, өзгерту жэне жою операциялары қолданылады.
Әртүрлі объектілер мен оларга қолданылатын операциялар енуді логикалық басқаруды орталықсыздандыруга әкеледі. Әрбір қызмет нақты бір субъектке белгілі бір операцияларды орындауга мүмкіндік беру туралы өзі шешім қабылдауы керек. Бірақ бүл заманауи объектілі-багытталган көзқарасқа сай болса да, ол елеулі қиындықтарга алып келеді.
Көптеген объектілерге эр түрлі қызметтер арқылы енуге болады. Сондықтан, реляциялық кестелерге тек МББЖ күралдары арқылы емес, сонымен қатар тікелей файлдарды оку арқылы да жетуге болады.
Мәліметтерді импорттау/экспорттау кезінде ену қүқықтары туралы ақпарат (ол жаңа қызметте еш магынасы жоқ) жогалады.
Енуді логикалық басқарудың үш тәсілі бар:
- Ерікті басқару,
- Міндетті басқару,
- Рөлдік басқару.
Ерікті басқару кезінде қолжетімділік матрицасы тізімдер түрінде сақталады, ягни әрбір объект үшін «рүқсат етілген» субъекттердің тізімі олардың қүқықтарымен бірге көрсетіледі. Көптеген операциялық жүйелер мен мәліметтер базасын басқару жүйесі қолжетімділікті басқаруды ерікті түрде жүзеге асырады. Ерікті басқарудың басты артықшылығы - әрбір «субъект-объект» жүбына тәуелсіз қолжетімділік күқығын беру. Бірақ ерікті басқаруда бірқатар кемшіліктер бар.
Жүйелік операторлар немесе әкімшілер ғана емес, сонымен қатар көптеген пайдаланушылар да сенімді болуы керек. Ену құқықгары мәліметтерден бөлек болады. Құпия ақпаратқа қол жеткізетін пайдаланушыға ақпаратты қолжетімді файлға жазуға немесе зиянды бағдарламамен пайдалы утилитаны ауыстыруға ешнәрсе кедергі келтірмейді. Мәжбүрлі бақылау жағдайында матрица анық түрде сақталмайды, тиісті үяшықтардың мазмүны әр уақытта есептеліп отырады. Мүны істеу үшін әр субъект пен әрбір объектке қауіпсіздік белгілері беріледі. Қолжетімділікті басқару субъектінің және объектінің қауіпсіздік белгілерін сәйкестендіруге негізделген. бір мезгілде келесі екі шартты орындалған жағдайда субъект объектідегі ақпаратты оқи алады: