Свойства доверенной программно-технической среды

Острота этой проблемы обусловлена тем, что в ИТКС применяются импортные оборудование и программное обеспечение, реализующие современные информационные технологии.

Необходимые защитные свойства общесистемной программной среды могут быть обеспечены только трудоемкой разработкой их защищенных версий. Сегодня есть набор стандартных программных средств, достаточный, чтобы реализовать современные информационные технологии, заложенные для унификации в ИТКС. По техническим заданиям ФАПСИ проводится разработка защищенных версий ОС и Unix и Windows NT, реализации сетевого протокола ТСРДР, СУБД Oracle, новых версий сетевой ОС Novell NetWare, адаптация средств разграничения сетей типа Fire Wall к программно-техническим комплексам ИТКС и др.

Медленные темпы создания защищенных версий стандартных программных пакетов, объясняющиеся недостаточным финансированием работ, вынуждают на первых этапах создания ИТКС ограничиваться применением штатных средств защиты стандартной программной продукции с обязательным проведением их анализа и разработкой при необходимости дополнительных рекомендаций по использованию.

Необходимая поддержка используемой доверенной программной среды в ИТКС заключается в сохранении целостности общесистемного программного обеспечения, его замкнутости, в наложении определенных ограничений на прикладные программы.

Идентификация

Понятие "пользователь" — одно из важнейших в системе безопасности. Под ним понимается не только конкретное физическое лицо, но и информационные системы, требующие доступа к каким-либо ресурсам системы. Среди основных элементов безопасности системы — идентификация, т. е. возможность системы определить, кто является ее пользователем. Перед тем как разрешить доступ к информационным ресурсам, система должна знать, кто именно хочет его получить. Для идентификации обычно используются стандартные методы, такие, как присвоение имени, пользовательского идентификатора, и более сложные, с использованием биометрических измерений, таких, как отпечатки пальцев, или особых уникальных ключевых смарт-карт. Для идентификации можно использовать любую информацию, которая должна быть уникальной. И следует избегать случаев использования одинаковых идентификаторов различными пользователями.

Каждый пользователь или процесс, а также информационный ресурс должен быть уникально идентифицировн, меть уникальный идентификатор (имя), по которому осуществляется доступ к информационным ресурсам ИТКС, где необходимо организовать единую службу.

В ИТКС четко выделяются два класса пользователей:

Внутренние — это зарегистрированные пользователи, которые напрямую имеют доступ к информационным ресурсам сети и пользуются априори некоторым уровнем доверия в системе. Сюда также включаются информационные ресурсы, принадлежащие ИТКС, которые могут выступать в качестве клиентов.

Внешние — все остальные пользователи, которым необходим доступ, например, из ведомственных систем, к информации, принадлежащей ИТКС.

Аутентификация

После идентификации инициатора запроса следующим важным элементом в компьютерной безопасности является аутентификация, когда система удостоверяется, тот ли это инициатор запроса, за кого себя выдает. Аутентификация служит доказательством правильности идентификации пользователя, компьютера или приложения, которое может быть получено различным образом. Наиболее общий способ аутентифицировать кого-либо — это знать секрет, который ведом только ему, например пароль. Использование пароля — наиболее распространенная форма доказательства идентификации в компьютерных системах. Система безопасности требует непременно знать его, прежде чем будет позволено действовать дальше. Это первый тип аутентификации. Функции второго типа связаны с так называемым "вещностным фактором" — под этим имеется в виду уникальная карточка, файл.

Наиболее сильные системы аутентификации основаны на использовании криптографических преобразований и, прежде всего, на использовании электронной цифровой подписи (ЭЦП) гарантированной стойкости.

Аутентификация бывает односторонней, когда клиент обычно доказывает свою подлинность серверу аутентификации, и двусторонней, взаимной (например, процедура входа пользователя в систему).

Она производится уникальным образом для каждой пары или с использованием общего аутентификационного механизма.

В ИТКС должны функционировать механизмы аутентификации не только клиента, но и сервера, предоставляющего услуги, чтобы исключить подмену данных и обеспечить целостность.

Правильность идентификации пользователя обязательно подтверждается аутентификацией.

Авторизация

Авторизация — это предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных. Доступ к системным ресурсам и сервисам для пользователей и процессов, которые были аутентифицирова- ны, производится выборочно. Сами эти права предоставляются на множестве уровней, исходя из того, какой уровень авторизации требуется. Авторизация может быть разрешающей или запрещающей. Если задается разрешенная авторизация, то предоставляется доступ пользователю ко всей информации, исключая информацию, доступ к которой запрещен явным образом. При запрещающем доступе блокирован доступ любой информации, за исключением той, к которой он специально разрешен.

Авторизация способна обеспечивать доступ на общесистемном уровне, то есть к определенным информационнымресурсам, или ее проводят по типу доступа (например, по чтению, записи, созданию, изменению, удалению или выполнению).