Архитектура систем обработки данных и технология ее функционирования позволяет злоумышленнику найти пути скрытого доступа к информации, которые удивляют свои многообразием.
Идентификация и установление личности
Для ограничения доступа посторонних лиц к защищаемой информации используется механизм установления подлинности данного пользователя.
Для регулирования доступа к компьютеру используются комбинации наборов знаков – система паролей. Недостатком ее является возможность воровства паролей (причем пользователь может не заметить потери), забывание или передача. Чтобы уменьшить опасность кражи паролей, их необходимо часто менять, что усложняет формирование и распределение паролей. Существует метод обмена целым набором паролей, которые должны быть введены в правильной последовательности, называемый «рукопожатием». Простота данного метода установления подлинности позволила широко применять его в вычислительных системах.
Для защиты информации от несанкционированного доступа используют следующие основные методы защиты:
- идентификация – именование и опознавание субъектов и объектов системы;
- аутентификация – подтверждение подлинности идентификации пользователя системы;
- регистрация и немедленное оповещение о событиях, которые происходят в системе (аудит);
- разграничение доступа пользователей к ресурсам системы;
- криптографическая защита данных, которые хранятся и передаются по каналам связи.
Методы аутентификации, которые используются в настоящее время, можно разделить на следующие группы методов:
- Метод, основанный на знании секретной информации – наиболее распространённые методы, примером которых является парольная защита.
- Метод, основанный на использовании уникального предмета – например, смарт-карты, токен, электронного ключа и т.д.
- Метод, основанный на использовании биометрических характеристик человека – например, отпечатков пальцев, рисунка радужной оболочки или сетчатки глаза, теплового рисунка кисти руки, фотографии или теплового рисунка лица, почерка (росписи), голоса. Наиболее часто используются сканеры отпечатков пальцев и рисунков радужной оболочки или сетчатки глаза.
- Метод, основанный на информации, которая ассоциируется с пользователем – например, информация о координатах пользователя, которые определяются с помощью GPS. Данный метод нежелательно использовать как единственный механизм аутентификации, но вполне допустимо использовать в качестве одного из нескольких механизмов, которые совместно используются.
Часто используют многофакторную аутентификацию, т.е. совместное использование нескольких из перечисленных выше методов.
Биометрические методы имеют свои преимущества и недостатки: высокий уровень достоверности опознания пользователей – с одной стороны, возможность ошибок распознавания (пропуска или ложной тревоги) и более высокая стоимость реализующих их систем – с другой.
Для повышения уровня безопасности данных идентификацию и аутентификацию необходимо производить при каждом входе пользователей в систему и при возобновлении работы после небольшого перерыва.
После идентификации и аутентификации необходимо выполнить разграничение доступа – установление полномочий (прав) субъекта для дальнейшего контроля санкционированного использования ресурсов, доступных в вычислительной системе.
Разграничение доступа пользователей к ресурсам вычислительной системы
Разграничение (контроль) доступа к ресурсам вычислительной системы – это порядок использования ресурсов вычислительной системы, когда субъекты (пользователь, программа) получают доступ к объектам системы (устройствам, дискам, файлам и т.п.) в строгом соответствии с установленными правилами.
Различают такие методы разграничения доступа:
- по спискам – каждому пользователю задаются соответствие списка ресурсов и прав доступа к ним или каждому ресурсу задается соответствие списка пользователей и их прав доступа к данному ресурсу; метод используется в большинстве операционных систем и системах управления базами данных;
- матрица установления полномочий – применяется матрица доступа (таблица полномочий), каждый элемент которой может содержать имя и размер доступного ресурса, право доступа (чтение, запись и т.д.), ссылку на другую информационную систему, которая уточняет право доступа, ссылку на программу, которая управляет правами доступа и т.д.;
- по уровню секретности и категориям – выделяют несколько уровней секретности (общий доступ, конфиденциальный, секретный, совершенно секретный); все ресурсы вычислительной системы изменяют согласно уровню важности, к тому же определенному уровню соответствует определенный ранг персонала (руководитель, администратор, пользователь и т.д.);
- по паролю – используется метод доступа по паролю.
На практике обычно сочетают несколько методов разграничения доступа.
Защита ПК на уровне BIOS
Защита на уровне BIOS может служить некоторым барьером от неосознанного внесения изменений во внутренние настройки BIOS.
Защиту компьютера с помощью BIOS можно считать физическим методом блокировки.
BIOS – система ввода-вывода, которая выполняет процедуры низкого уровня, тестирующие компьютер после включения питания. Именно она запускает операционную систему. Почти все BIOS имеют возможность задать пароль включения. Если пароль задан, то операционная система запустится только после его ввода.
В возможностях BIOS имеется несколько вариантов защиты:
- пароль загрузки компьютера;
- пароль на изменение настроек BIOS;
- защита загрузочного сектора винчестера;
- блокировка записи на диск;
- блокирование процесса чтения и записи на жесткий диск.
