ВУЗ:
Составители:
4,32 ⋅ 10
4
(vT)/(NP) < = A
s
,
где v – скорость передачи данных через линию связи (в символах/мин); T – период вре-
мени, в течение которого могут быть предприняты попытки отгадывания пароля (в меся-
цах при работе 24 ч/сутки);
N – число символов в каждом передаваемом сообщении при
попытке получить доступ к системе;
Р – вероятность подбора нарушителем правильного
пароля;
А – число символов в алфавите, из которого составляется пароль; S – длина паро-
ля (в символах).
9.2.1.3. Установление подлинности объектов
Одной из возможных стратегий действий нарушителя в ИВС является подключение
к каналу связи. В этом случае нарушитель может имитировать механизм установления
подлинности, что позволит ему получить пароль пользователя и доступ к его данным.
Для предупреждения подобных действий нарушителя пользователь должен убедиться в
подлинности системы, с которой он начинает работать.
Одним из методов решения этой задачи является так называемая процедура «руко-
пожатия». Для осуществления процедуры «рукопожатия» выбирается нетривиальное
преобразование вида
y = f (x, k),
где x – аргумент; k – коэффициент. В качестве аргумента преобразования можно исполь-
зовать элементы даты, времени и т.п. Преобразование
у известно только пользователям и
ЭВМ и должно сохраняться в тайне. Пользователь вместе с запросом на подключение к
системе посылает выбранное им значение
х. Получив значение x вместе с идентификато-
ром пользователя, система вычисляет
y = f (x, k) и посылает его пользователю вместе с
запросом о вводе пароля. Пользователь вычисляет или имеет вычисленное заранее значе-
ние
у. Если значения у, полученные пользователем и системой, совпадают, то режим опо-
знания системы заканчивается, и пользователь может вводить пароль. После подтвер-
ждения правильности пароля пользователя считается, что «рукопожатие» состоялось.
Аналогичным образом осуществляется установление подлинности ЭВМ ИВС при
необходимости обмена данных между ними.
Проверка подлинности взаимодействующих субъектов и объектов системы может
производиться не только перед началом сеанса, но и в ходе него. Такие проверки могут
осуществляться через определенные промежутки времени, после определенного количе-
ства переданных данных и т.п.
9.2.2. ПРОВЕРКА ПОЛНОМОЧИЙ СУБЪЕКТОВ НА ДОСТУП К РЕСУРСАМ
После положительного установления подлинности пользователя (и системы со сто-
роны пользователя) система должна осуществлять постоянную проверку полномочий
поступающих от субъектов запросов. Проверка полномочий заключается в определении
соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Такую
процедуру часто называют «контроль полномочий» или «контроль доступа». Проверка
полномочий основывается на различных методах разграничения доступа, которые были
рассмотрены ранее.
9.2.3. РЕГИСТРАЦИЯ ОБРАЩЕНИЙ К ЗАЩИЩАЕМЫМ РЕСУРСАМ
Регистрация (протоколирование) обращений к защищенным ресурсам системы по-
зволяет должностному лицу, ответственному за информационную безопасность, следить
за использованием ресурсов и оперативно принимать меры по перекрытию обнаружен-
ных каналов утечки данных. Все обращения к ресурсам системы должны фиксироваться
в регистрационном журнале.
В регистрационный журнал обычно заносятся следующие данные:
−
обращения (доступы) к защищаемым ресурсам;
−
отказы в доступе;
−
изменения полномочий;
−
случаи неиспользования пользователями разрешенных запросов;
−
изменения содержания памяти ЭВМ, производимые пользователями;
−
любые подозрительные действия.
Типовая форма записи регистрационного журнала представлена в табл. 9.1.
9.1. Типовая форма записи регистрационного журнала
Страницы
- « первая
- ‹ предыдущая
- …
- 103
- 104
- 105
- 106
- 107
- …
- следующая ›
- последняя »
