Основные механизмы защиты компьютерных систем

Основные механизмы защиты компьютерных систем:

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и несанкционированного доступа (НСД) к информации используются следующие основные методы защиты (защитные механизмы):

· идентификация (именование и опознавание), аутентификация (подтверждение подлинности) субъектов (пользователей) и объектов (ресурсов, компонентов, служб) системы;

· разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

· регистрация и оперативное оповещение о событиях, происходящих в системе и имеющих отношение к безопасности;

· криптографическое закрытие хранимых и передаваемых по каналам связи данных;

· контроль целостности и аутентичности (подлинности и авторства) передаваемых и хранимых данных;

· изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации путем трансляции адресов);

· контроль вложений (выявление компьютерных вирусов, вредоносных кодов и их нейтрализация);

· выявление уязвимостей (слабых мест) системы;

· обнаружение и противодействие атакам (опасным действиям нарушителей).

Все эти механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты.

Идентификация и аутентификация пользователей

Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.

Аутентификация пользователей осуществляется обычно:

· путем проверки знания ими паролей (специальных секретных последовательностей символов);

· путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками;

· путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств;

· путем проверки специальных сертификатов соответствия, выданных доверенным органом (третьей стороной, которой доверяют оба взаимодействующих субъекта).

Многие современные СЗИ кроме клавиатуры используют и другие типы идентификаторов — магнитные карточки, радиочастотные бесконтактные (proximity) карточки, интеллектуальные (smart) карточки, электронные таблетки Touch Memory.

Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва.

Регистрация и оперативное оповещение о событиях безопасности

Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных потенциально опасными для системы. Анализ собранной информации (аудит) позволяет выявить факты совершения нарушений, характер воздействий на систему, определить, как далеко зашло нарушение, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации.