Службы (подсистемы) авторизации, аутентификации и контроля доступа

Введение

В настоящий момент в мире происходит глобальный процесс информатизации. Данный процесс затрагивает все сферы жизни человека. Одной из составляющих процесса информатизации является бурное внедрение сети Интернет в жизнь каждого из нас.
Колоссальные возможности предоставляют человечеству возможности компьютерной техники.
Сложно сказать, существует ли еще сфера деятельности человека, в которой бы не присутствовали информационные технологии. Пожалуй, такой сферы нет. Безусловно, внедрение информационных технологий в различных сферах позволило выйти человеческой цивилизации на новый уровень, предоставляя множество новых возможностей, позволяя автоматизировать огромное количество сложнейших процессов, тем самым облегчая нашу жизнь.
Однако, как говорится, за всё хорошее рано или поздно приходится платить. Известно немало случаев в истории, когда достижения в науке и технике давали наряду с положительной стороной – отрицательные моменты. Стоит вспомнить биологическое оружие, или атомную бомбу, или отравляющие газы. Есть и другие примеры. Но что человечество имело в итоге?
Процесс информатизации такой эффект не обошел стороной. Сегодня во всем мире стоит проблема обеспечения информационной безопасности.
Как известно, во всем мировом экономическом пространстве главенствует такой фактор, как конкуренция. Еще в XIX веке династия Ротшильдов увековечила за собой фразу, которую мы слышим и по сей день: «Кто владеет информацией, тот владеет миром». Как правило, в конкурентной «гонке» принимаются всевозможные способы и средства, осуществляются различного рода действия, которые в большинстве случае направлены на возможность получения доступа к конфиденциальной информации.
Нарушение информационной безопасности происходит повсеместно – начиная от крупномасштабных операций, направленных на страну в целом, так и действий, по получению конфиденциальной информации отдельно взятого гражданина.
Уже с самого начала становления компьютерной эпохи перед разработчиками программного обеспечения стояла задача обеспечить программный продукт максимальным уровнем защищенности.
Проблемой нарушения информационной информации озадачены многие страны, поставив информационную безопасность в ряд главных задач по обеспечению безопасности своей страны.
Заметим, что в большинстве случаев, главными препятствиями на пути обеспечения информационной безопасности становится ее невысокая приоритетность в тот момент, когда происходит распределение ресурсов и бюджетные ограничения. Именно в этих условиях значительное место занимают действия, направленные на осуществление максимальной защиты информации.
Информационная безопасность – довольно емкая и многогранная проблема, охватывающая не только определенные необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
В связи с этим целью данной работы ставится рассмотреть такие меры для обеспечения безопасности как авторизация, аутентификация и контроль доступа.
Для достижения данной цели необходимо решить следующие задачи:
- рассмотреть понятия авторизации и аутентификации на примере операционной системы Windows 7;
- рассмотреть функции аутентификации в Windows 7;
- рассмотреть основные понятия процесса разграничения доступа к объектам операционной системы;
- рассмотреть методы разграничения доступа;
- рассмотреть модели разграничения доступа.
Работа состоит из введения, двух глав, разделенных по тематическому принципу, заключения и списка литературы.
Для написания работы были использованы литературные источники и источники сети Интернет.

1. Понятие информационной безопасности

В защищенной операционной системе любой пользователь, выступающий в данном случае в качестве субъекта доступа, прежде чем начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию. Субъектом доступа (или просто субъектом) называют любую сущность, которая способна инициировать выполнение операций над элементами операционной системы.
Аутентификация представляет собой процесс, который используется для подтверждения личности пользователя в тот момент, когда пользователь обращается к компьютерной системе или дополнительным системным ресурсам. В частных и государственных компьютерных сетях (в том числе и глобальной сети Интернет) наиболее часто для аутентификации предполагается проверка учетных данных пользователя, включающих в себя имя пользователя и пароль.
Аутентификация логически предшествует авторизации. Что собой представляет процесс авторизации? Авторизация позволяет системе определить, может ли заверенный пользователь получить доступ и возможность обновить защищенные системные ресурсы. Авторизация позволяет установить директивный доступ к папкам и файлам, часы доступа, размер разрешенного места для хранения, и так далее [1].
На рисунке 1 приведена классическая процедура идентификации и аутентификации. Как видно из данного рисунка, в первую очередь происходит ввод идентификатора пользователя. После этого происходит проверка, правильный ли был введен идентификатор. В том случае, если идентификатор не является правильным, проверяется допустимое число попыток. Если новая попутка ввода допустима, тогда пользователя уведомляют об ошибке и пользователю предоставляют право повторить ввод идентификатора. Если же количество попыток больше недопустимо, то сигнализируют о попытке несанкционированного доступаи происходит временная блокировка

. Что происходит в том случае, если идентификатор был введен правильный? В таком случае происходит вызов процедуры аутентификации, после чего проверяется, идентифицирован ли пользователь. Если пользователь идентифицирован, то происходит вход пользователя в систему, если же нет, происходит проверка допустимого количества попыток с предоставлением опять же возможности либо повторного ввода идентификатора, либо осуществление временной блокировки.


Рисунок 1 - Процедура идентификации и аутентификации
Есть два варианта авторизации:
1. Изменения системных ресурсов первоначально разрешены системным администратором.
2. При попытке пользователя получить доступ или обновить системный ресурс разрешение на действие оценивается системой или приложением.
Заметим, что последний вариант позволяет пользователю получить доступ без аутентификации и авторизации. Последний вариант применяется в случае, когда требуется предоставить доступ для анонимных не проходящих аутентификацию пользователей. Такой доступ, в большинстве случаев, весьма ограничен.
Для получения доступа к файлам в сети пользователи для проверки их личности должны пройти процесс аутентификации. Это делается во время процесса входа в сеть. К примеру, можно обратиться к операционной системе Windows 7. Операционная система Windows 7 для входа в сеть имеет следующие методы аутентификации:
Протокол Kerberos версии 5: Основной метод аутентификации клиентов и серверов под управлением операционных систем Microsoft Windows. Он используется для проверки подлинности учетных записей пользователей и учетных записей компьютеров.
Windows NT LAN Manager (NTLM): применяется для обратной совместимости с операционными системами более старыми, чем Windows 2000 и некоторых приложений. Он является менее гибким, более эффективным и безопасным, чем протокол Kerberos версии 5.
Сопоставление сертификатов: обычно используется для проверки подлинности при входе в сочетании со смарт-картой. Сертификат, записанный на смарт-карте, связан с учетной записью пользователя. Для того, что произвести чтение смарт-карты и произвести аутентификацию пользователя применяется считыватель смарт-карт [2].
Стоит рассмотреть новые функции аутентификации в Windows 7.
Целый ряд улучшений, связанных с процессами входа и проверки подлинности пользователя был добавлен еще в Windows Vista ®. Эти усовершенствования увеличили базовый набор функции проверки подлинности, чтобы помогло обеспечить лучшую безопасность и управляемость. В Windows 7 Microsoft продолжает начатые в Windows Vista усовершенствования, предоставляя при этом следующие новые функции аутентификации:
- смарт-карты;
- биометрия;
- интеграция личности в Интернете;
Давайте рассмотрим функцию аутентификаии – смарт-карты.
Использование смарт-карт, пожалуй, является самым распространенным методом аутентификации. Для поощрения применения организациями и пользователями смарт-карт, Windows 7 предлагает новые возможности, которые облегчают их использование и развертывание [3]. Эти новые возможности позволяют применять смарт-карты для выполнения разнообразных задач, включая:
- смарт-карты Plug and Play;
- личные удостоверения проверки (PIV), стандарт национального института стандартов и технологий США (NIST);
- поддержка для входа смарт-карты Kerberos;
- шифрование дисков BitLocker;
- документы и электронная почта;
- использование с бизнес-приложениями.
Биометрия – все более популярная технология, обеспечивающая удобный доступ к системам, услугам и ресурсам. Биометрия для однозначного определения человека использует измерение его неизменных физических характеристик. Одна из наиболее часто используемых биометрических характеристик – отпечатки пальцев [4].
До сих пор в Windows не было стандартной поддержки биометрических устройств. Чтобы решить эту проблему, Windows 7 вводит Windows Biometric Framework (WBF). WBF предоставляет новый набор компонентов, который поддерживает снятие отпечатка пальца с помощью биометрические устройства. Безусловно, эти компоненты повышают безопасность пользователей.
Windows Biometric Framework упрощает пользователям и администраторам настройку и управление биометрическими устройствами на локальном компьютере или в домене.
Последней функцией аутентификации, которую бы хотелось рассмотреть, является интеграция личности в Интернете.
Управление аккаунтом – стратегия обеспечения безопасности. Для разрешения или запрета проверки подлинности определенных компьютеров или всех компьютеров, которыми вы управляете онлайн, используется Групповая политика [5].
В Windows 7 пользователи в небольшой сети могут выбрать обмен данными между определенными компьютерам на отдельной пользовательской основе. Эта функция в Windows 7 дополняет функцию домашней группы с помощью сетевых удостоверений для идентификации лиц в сети.
Для того чтобы разрешить эту идентификацию пользователи должны связать свою учетную запись пользователя Windows ID онлайн. Включение в Windows протокола Public Key Cryptography Based User-to-User (PKU2U) разрешает проходить идентификацию при помощи свидетельств [6].
Интеграцией онлайн идентификации можно управлять политикой группы. Политика, настроенная как: «Сетевая безопасность: Позволить этому компьютеру при запросе идентификации PKU2U использовать ID онлайн», управляет возможностью ID онлайн подтвердить подлинность этого компьютера при помощи протокола PKU2U