ого на клавіатуру терміналу.
Головним достоїнством інтелектуальних токенов є можливість їх застосування при аутентифікації по відкритій мережі. Генеруються або видаються у відповідь паролі постійно змінюються, і зловмисник не отримає помітних дивідендів, навіть якщо перехопить поточний пароль. З практичної точки зору, інтелектуальні токени реалізують механізм одноразових паролів.
Ще одним достоїнством є потенційна багатофункціональність інтелектуальних токенов. Їх можна застосовувати не тільки для цілей безпеки, а й, наприклад, для фінансових операцій.
Пристрої контролю біометричних характеристик складні і недешеві, тому поки вони застосовуються тільки в специфічних організаціях з високими вимогами до безпеки.
Дуже важливою і важким завданням є адміністрування служби ідентифікації і аутентифікації. Необхідно постійно підтримувати конфіденційність, цілісність і доступність відповідної інформації, що особливо непросто в мережевий різнорідної середовищі. Доцільно, поряд з автоматизацією, застосувати максимально можливій централізації інформації. Досягти цього можна застосовуючи засоби централізованого адміністрування (наприклад CA-Unicenter). Деякі операційні системи пропонують мережеві сервіси, які можуть служити основою централізації адміністративних даних.
. 2.2 Управління доступом
Засоби управління доступом дозволяють специфікувати і контролювати дії, які суб'єкти - користувачі і процеси можуть виконувати над об'єктами - інформацією та іншими комп'ютерними ресурсами. Йдеться про логічне управлінні доступом, який реалізується програмними засобами. Логічне керування доступом - це основний механізм багатокористувацьких систем, покликаний забезпечити конфіденційність і цілісність об'єктів і, до деякої міри, їх доступність шляхом заборони обслуговування неавторизованих користувачів. Завдання логічного керування доступом полягає в тому, щоб для кожної пари (суб'єкт, об'єкт) контролювалося виконання встановленого порядку.
Контроль прав доступу проводиться різними компонентами програмного середовища - ядром операційної системи, додатковими засобами безпеки, системою управління базами даних, посередницьким програмним забезпеченням і т.д.
При прийнятті рішення про надання доступу звичайно аналізується наступна інформація:
Ідентифікатор суб'єкта (код користувача). Подібні ідентифікатори є основою добровільного управління доступом.
Атрибути суб'єкта (мітка безпеки). Мітки безпеки - основа примусового управління доступом.
Місце дії (системна консоль, надійний вузол мережі тощо.).
Час дії (більшість дій доцільно дозволяти тільки в робочий час).
Зручною надбудовою над засобами логічного керування доступом є обмежуючий інтерфейс, коли користувача позбавляють самої можливості спробувати здійснити несанкціоновані дії.
. 2.3 Криптографія
Одним з найбільш потужних засобів забезпечення конфіденційності та контролю цілісності інформації є криптографія. У багатьох відносинах вона займає центральне місце серед програмно-технічних регуляторів безпеки, будучи основою реалізації багатьох з них і, в той же час, останнім захисним кордоном.
Розрізняють два основні методи шифрування, звані симетричними і асиметричними. У першому з них один і той же ключ використовується і для шифровки, і для розшифровки повідомлень. Існують досить ефективні методи симетричного шифрування. Є і стандарт на подібні методи - ГОСТ 28147-89 Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення .
Основним недоліком симетричного шифрування є те, що секретний ключ повинен бути відомий і відправнику, і одержувачу. З одного боку, це ставить нову проблему розсилки ключів. З іншого боку, одержувач, який має шифрування і розшифроване повідомлення, не може довести, що він отримав його від конкретного відправника, оскільки таке ж повідомлення він міг згенерувати і сам.
В асиметричних методах застосовуються два ключа. Один з них, несекретний, використовується для шифровки і може публікуватися разом з адресою користувача, інший - секретний, застосовується для розшифровки і відомий тільки одержувачу.
Асиметричні методи шифрування дозволяють реалізувати так звану електронний підпис, або електронне завірення повідомлення. Ідея полягає в тому, що відправник посилає два примірники повідомлення - відкрите і дешифрувати його секретним ключем. Отримувач може зашифрувати за допомогою відкритого ключа відправника дешифрований екземпляр і порівняти з відкритим. Якщо вони співпадуть, особи та підпису відправника можна вважа...
