Способы идентификации
Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа. Система даёт пользователю запрос на пароль. После этого пользователь должен дать определённый ответ. Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основании секретного пароля, но и на основе более детального учёта способов работы пользователей, их полномочий. Этот способ реализуется специальными программами. Поступающие в систему защиты конкретные данные, соответствующие запросу, сравниваются с занесёнными ранее в секретные таблицы. Эти таблицы (матрицы) должны быть под контролем администратора. Для разграничения общения отдельных пользователей применяются определённые меры секретности (разрабатываются грифы секретности). Грифы секретности могут формироваться с помощью трёхразрядного кодового слова, которые могут храниться в самом файле или на сервере. Также возможно не допустить взаимное влияние пользователей друг на друга в процессе ввода данных.
Для защиты от чужого вторжения обязательно предусматриваются определённые меры безопасности. Программные средства следующие:
1) Идентификация субъектов и объектов.
2) Разграничение прав пользования информацией.
3) Контроль и регистрация действий с информацией и программами.
Проверки субъектов на право пользования информацией могут быть одноразовыми и периодическими. Примеры: пароли; обмены вопросами-ответами с администратором; ключи, магнитные карты и жетоны; биометрические параметры лица, отпечатки пальцев и т.д.; специальные идентификаторы или контрольные суммы для аппаратуры, программ и данных. Наиболее распространённым методом является парольная идентификация. Но пароль можно подслушать, подсмотреть, перехватить или разгадать. Для защиты самого пароля разработаны определённые рекомендации:
1) Пароль должен содержать, по крайней мере, 8 символов.
2) Не следует использовать в качестве пароля очевидный набор символов.
3) Если криптографическая программа позволяет, необходимо ввести в пароль хотя бы один пробел, небуквенный символ или прописную букву.
4) Рекомендуется чаще менять пароль и не вводить пароль в процедуру установления диалога или макрокоманду.
Контрольные суммы также возможно подделать. Поэтому используются сложные методы контрольного суммирования на основе криптографических алгоритмов. Чтобы обеспечить защиту данных от подделки, можно применять различные типы шифрования и цифровой подписки. После выполнения процедур идентификации и получения пользователем доступа к системе устанавливаются защиты на трёх уровнях:
1) Аппаратный уровень. Оперативная память, операционная система или специальные программы.
2) Программный уровень. Выполнение только разрешённых операций над информацией в данной программе.
3) Сетевой уровень.
Объектом доступа может быть файл или отдельная запись в файле. Доступ к данным предусматривает блокировку действий пользователя. Доступ, зависящий от состояния, осуществляется, исходя из текущего состояния системы. Доступ, зависящий от полномочий, зависит от режимов:
1) только чтение;
2) чтение и запись;
3) только выполнение.
Задача регистрации – обнаружить уже совершённые действия или их попытки. Комплекс программно-технических средств по защите информации:
1) Управление доступом.
2) Регистрация и учёт.
3) Применение криптографических средств.
4) Обеспечение целостности информации.
Формы контроля и разграничения доступа:
1) Предотвращение доступа (к жёсткому диску, отдельным разделам, каталогам, гибким дискам, сменным носителям информации).
2) Установка привилегий доступа к группе файлов.
3) Защита от модификации файлов или каталогов.
4) Защита от уничтожения файлов или каталогов.
5) Предотвращение копирования файлов, каталогов и прикладных программ.
6) Затемнение экрана по истечению времени, установленного пользователем.
Средства защиты данных в обобщённом виде:
1) Уровни защиты: идентификация пользователя, допуск в систему, допуск к данным, допуск к задачам.
2) Уровни защиты данных: база данных, файл (массив), набор, запись, поле.
3) Тип замка: ключевой, процедурный.
4) Идентификация пользователя: одноуровневая, многоуровневая.
5) Вид пароля: ключ (статистический), разовый, изменяемый (может изменяться пользователем или администратором).
6) Динамическая проверка защищённости. Может проводиться в момент открытия базы или в момент выдачи утверждения на обмен данными.