ТОП 10:

Основные механизмы безопасности средств и методы аутентификации в ОС, модели разграничения доступа, организация и использование средств аудита.



Основные механизмы безопасности подсистемы защиты операционной системы:

1. Разграничения доступа.Каждый пользователь системы имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.

2. Идентификации и аутентификации.Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, за кого он себя выдает.

3. Аудит.Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы.

4. Управления политикой безопасности.Политика безопасности должна постоянно поддерживаться в адекватном состоянии, т.е. должна гибко реагировать на изменения условий функционирования операционной системы, требований к защите информации, хранимой и обрабатываемой в системе, и т.д.

5. Криптография.В операционных системах шифрование используется при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.

Методы аутентификации в ОС.

Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.

Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.

– аутентификация с помощью пароля;

– аутентификация с помощью внешних носителей ключевой информации;

– аутентификация с помощью биометрических характеристик пользователей.

Аутентификация с помощью пароля.Для идентификации и аутентификации пользователей в подавляющем большинстве операционных систем используются имя и пароль. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя, как правило, назначается ему администратором системы.

Аутентификация с помощью внешних носителей ключевой информации.В этом случае информация, идентифицирующая и аутентифицирующая пользователя, хранится на внешнем носителе информации, который может представлять собой обычную дискету, электронный ключ, пластиковую карту и т.д.

Аутентификация с помощью биометрических характеристик пользователей.Каждый человек обладает своим неповторимым набором биометрических характеристик, к которым относятся отпечатки пальцев, рисунок сетчатки, рукописный и клавиатурный почерк и т.д. Эти характеристики могут быть использованы для аутентификации пользователя.

Требования к аутентификаторам:

1. привязка к аутентифицируемому пользователю;

2. нетривиальность;

3. установка минимального/максимального срока действия;

4. ведение журнала использованных аутентификаторов;

5. ограничение числа попыток предъявления аутентификатора;

6. поддержка режимов принудительной смены аутентификаторов;

7. использование задержки при предъявлении неправильного аутентификатора;

8. поддержка режимов оповещения о неправильном вводе аутентификатора.

Методы контроля доступа

Основываются на реализации определённой политики безопасности. При реализации дискреционной ПБ она должна отвечать следующим требованиям:

1. реализовано разграничение прав доступа;

2. идентификация и аутентификация пользователей;

3. изоляция модулей ОС;

4. сопоставление пользователя с устройством;

5. контроль ввода-вывода на отчуждаемые носители;

В случае реализации мандатной ПБ дополнительно реализовано полномочное управление доступом и средство назначение меток конфиденциальности.

В реальных системах выделяют 4 схемы контроля доступа:

1) Схемы построенные по принципу виртуальной машины. Каждый пользователь может нанести вред только своим данным. Разграничении доступа реализовано путем полной изоляции пользователей друг от друга. Такая схема требует четкого контроля за общими ресурсами.

2) Единая схема контроля доступа. Все взаимодействия пользователя с системой происходят только через систему защиты. В ней с каждым информационным элементом может быть связан список авторизованных пользователей, причем все взаимодействия с ресурсами происходят при посредничестве СЗИ.

3) Программируемый контроль доступа. Основана на методе «доверенной» программной среды. В системе выделяются защищённые объекты и подсистемы. Право доступа к данным имеют только программы, входящие в подсистемы.

4) Динамическое выделение прав доступа.Имеет 2 особенности: Изначально пользователь в такой системе должен получать минимальные права доступа. Повышение прав в процессе работы сопровождается дополнительной аутентификацией.







Последнее изменение этой страницы: 2017-02-22; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.209.10.183 (0.003 с.)