Аутентификация. Авторизация доступа. Аудит.

1. Аутентификация предотвращает доступ к сети нежелательных лиц и разрешает вход легальным пользователям. Аутентификацию следует отличать от идентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, а аутентификация —процедура доказательства пользователем того, что он есть тот, за кого себя выдает. В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы: 1.аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета; 2.аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта; 3.аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики.

В качестве объектов, требующих аутентификации, могут выступать пользователи, различные устройства, приложения.. Вообще, сервер и клиент должны пройти процедуру взаимной аутентификации.

В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствами, что и процедуры авторизации. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации работает только с легальными пользователями, которые уже прошли процедуру аутентификации. Цель подсистем авторизации - предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.

2. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера. Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами. Для этого могут быть использованы различные формы предоставления правил доступа:

Избирательные права доступа реализуются в операционных системах универсального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного подразделения.

Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи не имеют возможности изменить уровень доступности информации.

Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение. При этом программные системы авторизации могут строиться на базе двух схем:

• централизованная схема авторизации, базирующаяся на сервере;

• децентрализованная схема, базирующаяся на рабочих станциях.

В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем — реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети.

При втором подходе рабочая станция сама является защищенной — средства защиты работают на каждой машине, и сервер не требуется.

Системы аутентификации и авторизации совместно выполняют одну задачу, поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации. Ненадежность одного звена не может быть компенсирована высоким качеством другого звена. Если при аутентификации используются пароли, то требуются чрезвычайные меры по их защите.

3. Аудит — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.