Механизмами поддержки политики безопасности являются специальные программные и аппаратные средства, которые применяются в системе защиты, а также ее соответствующие подсистемы. К. механизмам поддержки ПБ относятся:
— средства идентификации и аутентификации пользователей:
— средства контроля доступа:
— криптографические средства (т. е. средства шифрования информации);
— средства электронно-цифровой подписи:
— средства контроля целостности;
— средства аудита, т. е. фиксации действий пользователей систем.
— механизмы защиты трафика:
— механизмы управления маршрут записи.
Средства идентификации и аутентификации пользователей системы Идентификация пользователя — процесс распознавания пользователя системы по некоторому
признаку. Обычно в компьютерных системах для идентификации используется некоторое кодовое имя пользователя.
Аутентификация — подтверждение того факта, что пользователь, предъявляющий системе некоторый идентификатор,- действительно является тем, за кого себя выдает.
В простейших случаях для подтверждения своей подлинности пользователь должен предъявить пароль — набор некоторых символов, который предполагается известным только данному конкретному пользователю.
Кроме пары «имя — пароль» для идентификации и аутентификации пользователей системы применяются и другие параметры. Так, например, широкое распространение получили системы с использованием пластиковых электронных и магнитных карточек, устройств Touch Memory, смарт-карт. Для работы с различными видами карточек используется специально устройство, называемое считывателем, подсоединяемое к компьютеру. На карточках хранится некоторая информация, которая обрабатывается с помощью специального алгоритма, после чего принимается решение о полномочиях данного пользователя. Устройства Touch Memory обычно выполняются в виде брелоков, которые при соприкосновении со встроенным в ЭВМ считывателем обмениваются с ним идентифицирующей пользователя информацией. Эта информация в дальнейшем обрабатывается так же, как и в случае пластиковых карточек.
Также перспективным направлением развития средств идентификации/аутентификации является разработка систем, основанных на считывании биометрических параметров человека: отпечатки пальцев, форма кисти руки, рисунок сетчатки глаза и пр.
Средства контроля доступа
Средства контроля доступа тесно связаны с работой предыдущей подсистемы, так как решение о предоставлении некоторому субъекту доступа к информационным ресурсам решается на основании предоставленных им признаков, идентифицирующих его как правомочного пользователя системы.
Можно выделить несколько уровней контроля доступа.
1. Контроль доступа при входе в систему. Это означает, что к работе с системой допускается только определенный круг пользователей, каждый из которых имеет свой уникальный идентификатор и для каждого из них определены соответствующие права доступа.
2. Контроль доступа к отдельным объектам (файлам, папкам, базам данных и пр.). Даже субъекты, допущенные к работе в рамках одной и той же вычислительной системы, могут иметь различные полномочия на доступ к конкретным объектам. Так, некоторые файлы могут быть доступны только их владельцу или определенной им группе лиц. Тогда, при запросе на доступ к таким объектам, система защиты должна потребовать дополнительного подтверждения полномочий на право доступа.
3. Контроль доступа к отдельным устройствам системы. В этом случае, например, для установки соединения в рамках локальной вычислительной сети или для подключения к сети Интернет система может потребовать от пользователя подтверждения его полномочий на доступ к средствам коммуникации.
Контроль доступа в зависимости от применяемого типа политики безопасности осуществляется на основании листов контроля доступа или сравнения меток пользователя и того объекта, к которому он запрашивает доступ.
Первый способ (листы контроля доступа) используется в рамках избирательной (дискреционной) политики безопасности. Лист контроля доступа представляет собой перечисление объектов с указанием для каждого из них тех пользователей, от имени которых разрешено обращение к данному объекту. Такой способ используется, например, в ОС Windows NT.
При так называемой многоуровневой политике безопасности разрешение на доступ субъекта к объекту дается на основании сравнения соответствующих меток: метки класса у субъекта и метки секретности у объекта. Если класс субъекта больше уровня секретности объекта, то этот субъект имеет право чтения информации, содержащейся в данном объекте. В противном случае, если класс субъекта меньше уровня секретности объекта, данный субъект имеет к объекту право доступа на запись. При одинаковом значении меток разрешены оба вида доступов. Право доступа на исполнение подразумевает наличие права доступа на чтение.
Криптографические средства
Криптографические средства являются основными при построении систем защиты компьютерных сетей. Задолго до появлении ЭВМ люди старались сделать некоторые сведения недоступными для других. Простейшим способом для этого является преобразование обычного текста в некоторый непонятный набор символов, называемый шифрованным текстом (шифр текстом). Исходный текст называется открытым текстом. Процесс преобразования открытого текста в шифрованный называется шифрованием. Некоторая хранящаяся к тайне информация, позволяющая производить шифрование, а также образное преобразование для прочтения открытого текста законным получателем, называется ключом.
Современные криптографические средства предлагают большой выбор различных систем и способов шифрования информации