Программы внутренней защиты
Этот класс программ осуществляет ЗИ непосредственно в элементах АС. Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС (технических средств, данных, программ) в строгом соответствии с полномочиями, предоставленными субъектам (пользователям) и объектам (терминалам, групповым устройствам, программам). Каждый из видов регулирования обычно осуществляется в следующей последовательности.
1. Установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам системы.
2. Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.
3. Принятие и реализация решений в соответствии с результатами проверки полномочий.
Наиболее важной из перечисленных процедур является первая, т.е. установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам АС. Поэтому разработке эффективных средств надежного опознания неизменно уделяется повышенное внимание.
Установление подлинности (аутентификация, идентификация, опознавание) какого-либо объекта или субъекта заключается в подтверждении того, что обращавшийся субъект или предъявленный объект являются именно тем, который должен участвовать в данном процессе обработки информации. Основными субъектами, подлинность которых подлежит установлению во всех системах, где обрабатывается информация с ограниченным доступом, являются различные пользователи. В некоторых системах с повышенными требованиями к обеспечению безопасности предусматривается установление подлинности программистов, участвующих в разработке и эксплуатации программного обеспечения, администраторов банков данных и даже инженерно-технического персонала, привлеченного к техническому обслуживанию системы в процессе обработки защищаемой информации.
Сложность и объем операций по опознаванию могут существенно отличаться для каждого конкретного случая. Они определяются следующими основными факторами:
- структурным и организационным построением АС (размеры, сложность архитектуры, территориальное распределение, развитость терминальной сети, характер размещения оборудования и т.п.);
- характером функционирования ( наличие дистанционного доступа, режим работы АС, объем и характер обмена информацией по автоматизированным каналам связи и т.д.);
- степенью секретности защищаемой информации и ее объемом.
- простое;
- усложненное;
- особое опознавание.
- контрольное;
- расширенное;
- всеобщее опознавание.
В зависимости от сложности операций опознавания, специалисты выделяют три основные группы:
По величине объема операций процедуры опознавания также разбивают на три группы:
Под контрольным опознаванием понимают опознавание удаленных терминалов в моменты включения их в работу и при обращении их к системе во время обработки защищаемой информации. При расширенном опознавании обычно производится опознавание программистов, удаленных корреспондентов, устройств группового управления вводом/выводом, элементов защищаемых баз данных и т.д. При всеобщем опознавании обеспечивается опознавание всех субъектов и объектов, имеющих отношение к обработке защищаемой информации.
Простое опознавание, как правило, сводится к сравнению кода (пароля), предъявляемого терминалом или пользователем, с эталонным кодом (паролем), хранящимся в ОП АС. При усложненном опознавании обычно используется дополнительная информация — система разовых паролей, персональная информация пользователя и т.п. Усложненное опознавание осуществляется в режиме диалога: система формирует вопросы, на которые опознаваемый должен дать ответы. По содержанию ответов система принимает решение об опознавании. При особом распознавании используется такая совокупность опознавательных характеристик, при которой должно обеспечиваться надежное опознавание субъектов и объектов.
Существует также понятие прямого и обратного опознавания. При этом под прямым опознаванием понимают опознавание системой обращающихся к ней субъектов и используемых объектов, а под обратным — опознавание пользователем элементов системы, предоставляемых ему для обработки защищаемых данных.
