Главная » Безопасность » Защита7 » Управление доступом — непременное условие обеспечения безопасности информационных систем

Управление доступом — непременное условие обеспечения безопасности информационных систем

Одним из непременных условий обеспечения безопасности информационных систем является управление доступом пользователя к информационным ресурсам. Необходимо контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям. Для обеспечения надежной защиты данных, доступ к информационным ресурсам компании необходимо строго регламентировать. Для этого сначала следует получить ответы на следующие вопросы:

1) Кто, кому, при каких условиях, к каким ресурсам и при каких видах доступа должен обеспечивать доступ к информационным ресурсам?
2) Какие аппаратно-программные комплексы по разграничению доступа и определению для всех пользователей информационных и программных ресурсов будут использоваться?
3) Каким образом будет происходить управление процедурой доступа?

Для начала следует описать все ресурсы компании (файлы, каталоги, базы данных), определить категории пользователей (их роли и задачи) и права доступа для каждой категории к ресурсам компании. Категорирование ресурсов является важным аспектом при разграничении доступа к информации, поскольку в нем определяется, какую важность представляет та или иная информация и соответствующий доступ к ней. Таким образом, можно разделить три уровня информации:

— строго конфиденциальная информация (например, база данных сотрудников компании или клиентская база);
— конфиденциальная информация (к примеру, корпоративная почта);
— открытая информация (web-сайт компании).

Вариантов организации различного уровня доступа к сетевым ресурсам на данный момент достаточно много. Кроме традиционного доступа на уровне ресурсов, существует возможность разграничение трафика, например, на основе виртуальных локальных сетей (VLAN) или IPSec. Администратор сети организует несколько виртуальных сетей, при этом пользователи одной виртуальной сети не имеют доступа к ресурсам другой виртуальной сети. Таким способом удобно организовывать работу разных отделов компании, чтобы каждый отдел использовал свою виртуальную сеть. Управление доступом защищает против неавторизованного использования ресурсов информационной системы и может быть обеспечено при помощи механизмов управления доступом и механизмов привилегий.

Управление доступом может быть достигнуто при использовании дискреционного управления доступом или мандатного управления доступом. Дискреционное управление доступом — наиболее общий тип управления доступом, используемого в информационной системе. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи (или программы, выполняющиеся от его имени) к информации, находящейся в ведении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты, в том, что оно реализует решения по управлению доступом, принятые пользователем.

Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации. Существуют механизмы управления доступом, которые поддерживают степень детализации управления доступом на уровне следующих категорий: владелец информации, заданная группа пользователей и «мира» (всех других авторизованных пользователей). Это позволяет владельцу файла (или каталога — razgovorodele.ru) иметь права доступа, отличающиеся от прав всех других пользователей, и позволяет владельцу файла определить особые права доступа для указанной группы людей, а также для всех остальных (мира). В общем случае, существуют следующие права доступа: доступ по чтению, доступ по записи, и доступ для выполнения. Некоторые операционные системы обеспечивают дополнительные права доступа, которые позволяют модификацию, только добавление и т.д.

Операционная система может поддерживать профили пользователя и списки возможностей или списки управления доступом для определения прав доступа для большого количества отдельных пользователей и большого количества различных групп. Использование этих механизмов позволяет обеспечить большую гибкость в предоставлении различных прав доступа для различных пользователей, которые могут обеспечить более строгий контроль доступа к файлам (или каталогам). Списки управления доступом определяют права доступа специфицированных пользователей и групп к данному файлу или каталогу. Списки возможностей и профили пользователя определяют файлы и каталоги, к которым можно обращаться данным пользователям (или пользователю).

Управление доступом пользователя может осуществляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми. Например, пользователь, который имеет доступ по чтению к каталогу, может читать (и, возможно, копировать) любой файл в этом каталоге. Права доступа к директории могут также обеспечить явный запрет доступа, который предотвращает любой доступ пользователя к файлам в каталоге.

В некоторых реализациях информационных систем можно управлять типами обращений к файлу. Это осуществляется помимо контроля за тем, кто может иметь доступ к файлу. Реализации могут предоставлять опцию управления доступом, которая позволяет владельцу помечать файл как разделяемый или заблокированный (монопольно используемый). Разделяемые файлы позволяют осуществлять параллельный доступ к файлу нескольких пользователей в одно и то же время. Блокированный файл будет разрешать доступ к себе только одному пользователю в данный момент времени. Если файл доступен только по чтению, назначение его разделяемым позволяет группе пользователей параллельно читать его. Эти средства управления доступом могут также использоваться, чтобы ограничить допустимые типы взаимодействия между серверами в информационной системе.

Большое количество операционных систем информационной системы могут ограничить тип трафика, посылаемого между серверами. Может не существовать никаких ограничений, что приведет к тому, что для всех пользователей будут доступны ресурсы всех серверов (в зависимости от прав доступа пользователей на каждом сервере). А могут и существовать некоторые ограничения, которые будут позволять только определенные типы трафика, например, только сообщения электронной почты, или более сильные ограничения, которые запретят трафик между определенными серверами. Политика информационной системы должна определить, какими типами информации необходимо обмениваться между серверами. На передачу информации, для которой нет необходимости совместного использования ее несколькими серверами, должны быть наложены ограничения.

Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ, или другими словами некоторым способом легально обходить управление доступом, чтобы выполнить какую-либо функцию, получить доступ к файлу, и т.д. Механизм привилегий должен включать концепцию минимальных привилегий: принцип, согласно которому «каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, которые необходимы для выполнения задачи, которую должен решить пользователь.

Например, принцип минимальных привилегий должен применяться при выполнении функции резервного копирования. Пользователь, кто авторизован выполнять функцию резервного копирования, должен иметь доступ по чтению ко всем файлам, чтобы копировать их на резервные носители информации. (Однако пользователю нельзя давать доступ по чтению ко всем файлам через механизм управления доступом — razgovorodele.ru). Пользователю предоставляют «привилегию» обхода ограничения по чтению (предписанного механизмом управления доступом) для всех файлов, чтобы он мог выполнить функцию резервного копирования. Чем более детальные привилегии могут быть предоставлены, тем больше будет гарантий, что пользователю не даны чрезмерные привилегии для выполнения им авторизованной функции.

Например, пользователю, который должен выполнять функцию резервного копирования, не нужна привилегия обхода ограничения на запись в файлы, но механизмы привилегий, которые не обеспечивают такую точность, могут привести к предоставлению ему такой привилегии. Типы механизмов защиты, которые могли бы быть использованы для обеспечения службы управления доступом, приведены в списке ниже:

— механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей);
— механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей;
— управление доступом, использующее механизмы мандатного управления доступом;
— детальный механизм привилегий.

Для введения контроля доступа и разграничения полномочий пользователя используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является, в частности, корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу «открытого ключа» с формированием электронной подписи для передаваемых по сети пакетов. Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать.

Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход — пароль — идентификация пользователя по персональному «ключу». «Ключ» представляет собой пластиковую карту (магнитная или со встроенной микросхемой — смарт-карта) или различные устройства для идентификации личности по биометрической информации — по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа. Смарт-карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам.

Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:

— база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;
— авторизационный сервер, задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
— Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера «пропуск» с именем пользователя и его сетевым адресом, временем запроса, а также уникальный «ключ».

Пакет, содержащий «пропуск», передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки «пропуска» проверяет запрос, сравнивает «ключи» и при тождественности дает «добро» на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов — их разделение и передача параллельно по двум линиям, — что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок — razgovorodele.ru), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя, RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа: — шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей; — контроль доступа с учетом дня недели или времени суток.

Оставить комментарий