Идентификация, аутентификация, управление доступом. Защита от несанкционированного доступа
В этом разделе будут рассмотрены вопросы, связанные с защитой информации от несанкционированного доступа (НСД).
Защита информации от несанкционированного доступа –
защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Для защиты от НСД, как правило, используется идентификация, аутентификация и управление доступом. В дополнение к перечисленным, могут применяться и другие методы.
Идентификация –присвоение пользователям идентификаторов(уникальных имен или меток) под которыми система «знает» пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов АС и т. д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация – установление подлинности – проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в АС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (со-поставляя имя пользователя и введенный пароль).
Управление доступом –метод защиты информации путем регулирования использования всех ресурсов системы.
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы. Обычно выделяют 3 группы методов аутентификации.
1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски “I have” («у меня есть»). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация – “I know” («я знаю»). Например, аутентификация по паролю. Более подробно парольные системы рассматриваются далее в этом разделе.
3. Аутентификация пользователя по его собственным уникальным характеристикам – “I am” («я есть»). Эти методы также называются биометрическими. Биометрические методы аутентификации делят на статические и динамические.
Примеры аутентификации по статическим признакам – это проверка отпечатка пальца, рисунка радужной оболочки глаз, геометрии кисти руки, сравнение с фотографией и т. д. Достоинством этих методов является достаточно высокая точность. Но надо отметить, что подобные методы, как правило, требуют наличия специализированного оборудования (например, специальные сканеры) и имеют ограниченную область применения (например, при аутентификации по отпечатку пальца, из-за грязи на руке человек может не пройти аутентификацию, т. е. подобные методы неприменимы на стройках и на многих производствах).
Примеры динамической аутентификации – аутентификация по голосу (при произнесении заранее определенной фразы или произвольного текста), аутентификация по «клавиатурному почерку» (проверяются особенности работы пользователя на клавиатуре, такие как время задержки при нажатии клавиш в различных сочетаниях) и т. д.
Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация – пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.
Аутентификация может быть односторонней, когда одна сторона аутентифицирует другую (например, сервер проверяет подлинность клиентов), и двусторонней, когда стороны проводят взаимную проверку подлинности.
Также аутентификация может быть непосредственной, когда в процедуре аутентификации участвуют только две стороны, или с участием доверенной стороны.В последнем случае в процессе аутентификации участвуют не только стороны, проверяющие подлинность друг друга, но и другая или другие, вспомогательные. Эту третью сторону иногда называют сервером аутентификации (англ. «authentication server») или арбитром (англ. «arbitrator»).