Дәріс №11. Ақпаратты қорғаудың негізгі бағдарламалық- техникалық шаралары
Мақсаты: идентификация және аутентификация әдістерімен танысу.
Мазмұны:
Аутентификация және идентификация, авторизация түсінігі.
Қол жеткізудін дискрециялық бақылау моделі.
Қол жеткізудін рөлдік бақылау моделі.
Аутентификация дегеніміз бұл жеке басының шынайылығын растау.
Идентификация дегеніміз пайдаланушының немесе пайдаланушының процесін теңбе-теңдігін қол жеткізуді бақылау үшін қажет сәйкестендіруді білдіреді.
Идентификациялық растама аутентификациядан кейін орындалады. Авторизация - жүйелік ресурсқа қол жеткізуге рұқсат беру.
Көптеген ақпараттық жүйелер пайдаланушыны/пароль идентификатор схемасы негізінде идентификациялау мен аутентификациялау әдісін пайдаланады.
Парольді тексеру бағдарламалары - парольдің күрделілігін анықтауға мүмкіндік беретін бағдарламалар.
Пароль негізіндегі аутентификацияның осалдығын ескере отырып, смарт-карталар немесе биометрия негізінде аутентификация жүйелерін қосымша пайдалануға кеңес беріледі.
Смарт-карта аутентификацияны сұрақ-жауап сұлбалары арқылы реалды уақыт режимінде жүзеге асырады, пайдаланушы тіркеу сеансын көрсету арқылы зиянкестердің рұқсатсыз кіруіне жол бермейді.
Пайдаланушыларды аутентификациялау негізіндегі ақпараттық жүйелерге, жұмыс станцияларына немесе дербес компьютерлер құрылғыларына құлыптау механизмдері жұмыс орындарынан кетуге мәжбүр болған қызметкерлер үшін пайдалы. Бұл құлыптау механизмдері пайдаланушыларға ақпараттық жүйеде жұмыс орындарын шабуылдаушыларға қол жетімді етпестен қалдыруға мүмкіндік береді.
Пайдаланушыларға ақпараттық жүйелерге қол жеткізуді қамтамасыз ететін модемдер қосымша қорғауды қажет етеді.
Заманауи аутентификация жүйелері пайдаланушыға өзінің логин атауын пайдалану туралы ақпарат береді (кіру қателері, қателер және т.б.).
Іске асыру үшін қорғау механизмдерінің түрлері:
пароль жүйелері;
смарт-карталар жүйелері;
биометриялық жүйелері;
пернетақтаны, автоматтандырылған орындарды құлыптау жүйеслері;
аутентификацияда пайдаланатын ақпаратты енгізу кезінде қателер туындаған жағдайда қызмет көрсетуден бас тарту механизмдері;
криптографиялық жүйелері;
нақты уақыт режимінде хабарлау жүйеслері. Кіруді бақылау.
Кіруді басқару бақылау жүйелері (ҚББЖ) сәндікке емес, кәсіпорындарда
белгілі бір аумақтарға немесе кейбір бөлмелеріне рұқсатсыз кіруді шектеуде қажет құрал. ҚББЖ қондырғылары қызметкерлер мен рұқсат етілмеген адамдардың кіріп/шығуын бақылауға, көлікке кіруге және шығуға мүмкіндік береді. Орнатылған барлық қол жеткізуді бақылау жүйелері кіру нүктесі арқылы өткен немесе өтіп кеткен кез келген адам туралы ақпаратты жинап, талдау жасайды, осылайша ғимараттың, аумақтың қауіпсіздігін қамтамасыз етеді.
2 сурет - ҚББЖ
Қол жеткізу жүйелеріне қойылатын негізгі талаптар ыңғайлы және жұмыс жасау қарапайымдығы болып табылады, ал жүйенің негізгі құрылғылары- адам туралы ақпаратты жинайтын пайдаланушы идентификаторы; ақпаратты оқу құрылғысы; контроллер мен орындаушы.
Идентификатор әртүрлі нұсқаларда - радиобайланыс кілті, электрондық кілт, контакт немесе контактісіз карта сияқты түрінде орындалуы мүмкін және компанияда жұмыс істейтін қызметкерлерге беріледі. Идентификатор оқу құралына жағындағанда, бөлменің есігі ашылады (әрине, егер карточка иесінің рұқсаты болса). Жүйені орнату дербес немесе желілік болуы мүмкін.
Қол жеткізудін дискрециялық бақылау моделі.
Қол жеткізудің дискрециялық бақылау құралдары (Discretionary Access Contro - DAC)- жүйедегі жеке объектілерді қорғауды қамтамасыз етеді. Нысан иесі объектіге қол жеткізе алатындарды, қол жеткізу түрін анықтайтын болса бақылау дискрециялық болып есептеледі.
Дискрециялық қол жеткізуді бақылау субъектілердің нысанға қол жеткізуін субъекттер туралы идентификациялау ақпарат, олармен байланысты қол жеткізу түрлері (мысалы, оқу, жазу) және нысанға қол жеткізе алатын тізім (субъекттер немесе субъектілер тобын) негізінде объектілерге қолжетімділікті бақылайды. Нысанға қол жеткізуді сұраған кезде, жүйе объектіге қол жеткізу тізімінде субъектті іздейді, субъекті тізімде бар болса және рұқсат қол жеткізу түрі қажетті түрді қамтыса, оған рұқсат береді. Әйтпесе, кіруге рұқсат берілмейді.
DAC икемділігі оның көптеген жүйелерде және бағдарламаларда пайдалануға мүмкіндік береді. Осыған байланысты, бұл әдіс өте кең таралған, әсіресе коммерциялық қосымшаларда. DAC пайдаланудың айқын мысалы - Windows NT / 2k / XP жүйесі.
Дегенмен, DAC-тың маңызды кемшілігі бар. Ол ақпаратқа қол жеткізе алмайтын тұлғаларға қол жеткізе алмайтынына толық кепілдік бере алмайды. Бұл ақпаратты оқуға құқығы бар субъект ұйым объектісіне иесіне хабарлаусыз, құқы жоқ басқа тұлғаларға құқық бере алады. DAC жүйесі субъект алған соң ақпаратты тарату туралы ешқандай шектеулер қоймайды.
Қол жеткізудін міндетті бақылау моделі.
Қол жеткізуді міндетті түрде бақылау (Mandatory Access Control - MAC). Бақылау міндетті дегеніміз пайдаланушылар нысандарға қатысты MAC стратегиясын өзгерте алмайды мағынасында. Нысанды құрғанда, жүйе оған автоматты түрде MAC атрибуттарын тағайындайды және тиісті атрибуттарға ие әкімшілер ғана өзгерте алады. MAC құралдары пайдаланушыға кездейсоқ немесе қасақана ақпаратты оған қол жеткізу құқы жоқ адамдарға қол жеткізуге мүмкіндік бермейді.
Қол жеткізуді міндетті бақылау жүйелері объектілерді,субъектілерді жіктеу негізінде қол жеткізуді басқарады. Әр субъектіге, объектіге белгілі бір қауіпсіздік деңгейі (ҚД) беріледі. Объектінің қауіпсіздік деңгейі, әдетте, осы объектінің маңыздылығын және объектідегі ақпараттың жариялануынан мүмкін зиянды сипаттайды. Субъекттің қауіпсіздік деңгейі оның сенім деңгейін білдіреді. Ең қарапайым жағдайларда барлық қауіпсіздік деңгейлері бір иерархияның мүшелері болып табылады.
Мысалы: Top Secret (CC), Secret (C), Confidential (K) және Declassified (P), келесі шын: CC> C> K> P, сонымен әр деңгейге өзі және иерархияда төмен орналасқан барлық деңгейлер кіреді.
Объектіге субъект қол жеткізе алады, егер объектінің және субъектінің қауіпсіздік деңгейлері арасында қатынастың белгілі бір шарты (қатынас түріне байланысты) орындалса. Атап айтқанда, мынадай шарттар орындалуы тиіс:
Субъектінің ҚД объектінің ҚД құрамына кірсе, оқуға рұқсат беріледі.
Объектінің ҚД субъектінің ҚД құрамына кірсе жазуға рұқсат беріледі. Осы шарттарды орындау жоғарыда аталған объектілердің деректерін (мысалы, тұтастай құпия) төмен деңгейлі нысанға (мысалы,
Құпиясыздандырылған) түсуіне мүмкіндік бермеуді қамтамасыз етеді.
Қол жеткізудін рөлдік бақылау моделі.
Қол жеткізуді рөлді бақылау моделінің (Role-Based Access Control - RBAC) негізгі идеясы жүйенің жұмыс істеу логикасын ұйымдағы қызметшілердің функцияларың нақты бөлінуіне барынша жақындатуына негізделген.
Рөлге негізделген қол жеткізуді бақылау әдісі пайдаланушылардың жүйедегі ақпаратқа қол жеткізуді олардың белсенділік типіне байланысты басқарады. Бұл әдісті қолдану жүйеде рөлдерді анықтауды қамтиды. Рөл түсінігі белгілі бір қызмет түрімен байланысты әрекеттер мен жауапкершіліктер жиынтығы ретінде анықталуы мүмкін. Барлық қол жеткізу түрлерін белгілеудің орнына, рөл үшін нысанға қол жеткізу түрін көрсету жеткілікті. Ал пайдаланушылар, орындайтын рөліне көрсетілген құқықтарға ие болады.
Қатынасты басқарудың рөлдік моделінің негізгі артықшылықтары:
Жеңіл басқару.
Рөлдердің иерархиясы.
Аз артықшылық принципі.
Міндеттерді бөлу.
Кәсіпорынның қауіпсіздік саясаты қандай ақпараттың маңызды екендігін нақты анықтап алу керек. Мұндай ақпаратпен алмасу тек шифрланған түрде жүзеге асырылуға тиіс.
Достарыңызбен бөлісу: |