Идентификация субъектов и объектов доступа

Идентификация предусматривает закрепление за каждым субъектом доступа уникального имени в виде номера, шифра или кода, например персональный идентификационный номер (Personal Identification Number — PIN), социальный безопасный номер (Social Security Number — SSN) и т. п. Идентификаторы пользователей должны быть зарегистрированы в информационной системе администратором службы безопасности. При регистрации в базу данных системы защиты для каждого пользователя заносятся такие данные, как фамилия, имя, отчество и уникальный идентификатор пользователя, имя процедуры для установления подлинности и пароль пользователя, полномочия пользователя по доступу к системным ресурсам и др.

Идентификацию следует отличать от аутентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация является процедурой доказательства пользователем того, что он есть тот, за кого себя выдает, в частности что именно ему принадлежит введенный им идентификатор. Идентификаторы пользователей применяются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности.

Авторизация (Authorization) — процедура предоставления каждому из пользователей тех прав доступа к каталогам, файлам и принтерам, которыми его наделил администратор. Кроме этого система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких, как установка системного времени, создание резервных копий данных, локальный доступ к серверу, выключение сервера и т. п.

Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами. Для этого могут быть использованы два подхода к определению прав доступа:

• • избирательный, при котором отдельным пользователям (или группам), явно указанным своими идентификаторами, разрешаются/запрещаются определенные операции над определенным ресурсом. Например, пользователю с идентификатором «Пользователь₁» может быть разрешено выполнение операций чтения/записи файла «Файл₁» ;
• • мандатный, который состоит в следующем. Вся информация в зависимости от степени секретности делится на уровни, а все пользователи сети — на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход используется, например, при делении информации на предназначенную для служебного пользования, секретную, совершенно секретную. При этом пользователи в зависимости от определенного для них статуса (мандата) получают первую, вторую или третью формы допуска. В системах с мандатным подходом пользователи не имеют возможности изменить уровень доступности информации. Пользователь с более высокой формой допуска не может разрешить читать данные из своего файла пользователю с более низкой формой.

Процедуры авторизации реализуются программными средствами по двум схемам:

• • централизованной, базирующейся на сервере, в соответствии с которой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети;
• • децентрализованной, базирующейся на рабочих станциях. В этой схеме доступ к каждому приложению должен контролироваться средствами безопасности самого приложения или средствами той операционной среды, в которой оно работает. В корпоративной сети администратор отслеживает работу механизмов безопасности, используемых всеми типами приложений.

В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети.

Поскольку системы аутентификации и авторизации совместно выполняют одну задачу, к ним необходимо предъявлять одинаковый уровень требований. Ненадежность одной системы не может быть компенсирована высоким качеством другой.

Аудит (Auditing) -фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Аудит используется для обнаружения неудачных попыток взлома системы. При попытке выполнить противоправные действия система аудита идентифицирует нарушителя и вносит соответствующую запись в журнал регистрации. Анализ накопившейся и хранящейся в журнале информации может оказаться действенной мерой для защиты от несанкционированного доступа.