Аутентификация, идентификация және қолжетімділікті басқару




Кіріспе
Бұл курстық жұмыстың мақсаты білім негізінің әдістемелік ережелерін дұрыс жинақтау, олар ақпараттық қауіпсіздік аймағында болашақта жұмыс жасайтын мамандар үшін қажет. Берілген курстық жұмыста әдеттегі қауіпсіздік серверлері сипатталған: аутентификация, идентификация және қолжетімділікті басқару.
Қауіпсіздік серверлері әр салаға бөлінген, әр жүйеге бағытталған деп қарастыруға болады, олардың құрамында компоненттер саны өте көп.
Бұл курстық жұмысқа ақпараттық қауіпсіздік аймағындағы болашақ мамандар үшін қажет мәліметтер бар. Мұнда ақпараттық қауіпсіздіктің негізгі түсініктері, өлшем құрылымы, заңды жағы, администратоивтілігі, процедуралық және техникалық деңгейлері қарастырылған.
Ақпараттық қауіпсіздік ақпараттық технологияда ең жас,бірақ өте жылдам келе жатқан бөлігі. Оны дәлірек оқып түсіну үшін ақпараттық технология базистерінің басқа бұталарымен сәйкестігін басынан бастап оқу керек.
Бұл курстық жұмыстың бірінші мақсаты берілген тапсырманы объектілі бағытталған жолмен шешу.
Ақпараттық қауіпсіздік аймағында жетістікке комплекстік жол арқылы жетуге болады. Мұндай жолдың құрылымы мен жеке деңгейлерін толықтай сипаттау екінші мақсаты. Оны шешу үшін административті, заңды, процедуралық және прорамалық техникалық деңгейлері қарастырылған. Административті деңгейде негізгі саясаты және программалық қауіпсіздік, оның типтік құрылымы,жасалу жолы сипатталған.
Процедуралық деңгейде адамға қатысты қауіпсіздік түрлері қарастырылған. Мұндай тәсілдерді қолдануға көмек сияқты негізгі принциптері құрылған программалық техникалық дейгейде, объектілі тәсіл сияқты, сервистер жиынтығы қарастырылған. Әр сервиске сипаттама берілген.

Аутентификация дегеніміз не және ол не үшін керек?
Идентификация және аутентификация терминдерінің қиын екеніне қарамастан, қазіргі ақпараттық жүйелердегі қолданушылар жұмыс күні бойына осы терминдерді бір рет болса да қолданады. Техникалық түсініктеріне терең үңілмей ақ, қолданушы компьютерге, желіге, мәліметтер базасына немесе қолданбалы программаға пароль енгізгенен бастап айтсақ болады. Осы процестің орындалуы нәтижсінде ол қажетті ресурсқа қолжетімділік аладды немесе оған сыпайы түрде қолжетімділік мүмкін еместігін айтады.
Қысқаша айтқанда бұл процес екі бөліктен тұрады: идентификация және аутентификация. Идентификация қолданушының қандай да бір өзіне тән идентификатор белгісін көрсету. Ол пароль болуы мүмкін, қандай да бір биометрлік ақпарат, мысалы, саусақ іздері, жеке электронды кілт немесе смарт карта және тағы да басқа. Аутентификация дегеніміз енгізілген парольдің ресурсқа қолжетімділігін тексереді.
Бұл процедуралар өзара тығыз байланысты, себебі тексеру тәсілі қажетті ресурсқа қолжетімділік алу үшін қолданушының қандай белгілерді жүйеге енгізгенін анықтайды.
Төменде біз біраз қиыншылықтар туғызатн жағдайларды қарастырамыз.олар ақпараттық ресурстарға қолжеткізу кезінде туындауы мүмкін және осыларға байланысты қолданушының идентификациясы мен аутентификациясы қалай бацланысқанын қарастырамыз.
Ережеге сай, қазіргі мекемелерде ақпараттық инфрақұрылым гетерогенді болып келеді. Бұл дегеніміз бір желіде әр түрлі операциондық жүйе басқаратын бірнеше серверлер бар. Мысалы, Microsoft Windows, Novell Net Ware, Linux және т.б. Және де көптеген қолданбалы программалар болуы мүмкін.мекеменің қызмет түріне тәуелсіз олар электронды пошта және топтыө жұмыс болуы мүмкін (Group Ware), CRM және ERP жүйелері, электронды құжаттарды өңдеуші, бухгалтерлік программалар, корпоративті web-порталдар және тағы да басқа.
Егер ақпараттық технология департаменті арнайы шаралар қолданбаса, онда бір қолданушы білуге тиіс парольдер саны 5-6 болуы мүмкін. Осының нәтижесінде қолданушылар парольдерді қағаздарға азып көрінетін жерлерге жабыстырып қоюы мүмкін (ұмытпас үшін), ал бұл ақпарат қорғаудағы іс шараларды жоққа шығарады. Қолданушы бұл парольдерді бір бірімен шатастырып, немесе ұмытып қалуы мүмкін. Бұл қолдау қызметінде әрқашан бас ауыртатын жайтарға әкелуі мүмкін.
Егер онымен қоса әр пароль 6-8 әріптерден, арнайы символдардан немесе сандардан тұрса, егер оны әрқашан ауыстырып тұру керек болса, мұндай мәселенің қиындық туғызуы әбден мүмін.
Идентификация және аутентификация
Идентификация және аутентификацияны қауіпсіздік құралдрының программалық техникалық тәсілінің негізі деп айтуға болады.себебі, басқа сервистер атауланған субъектілерге қызмет көрсетуге арналған. Идентификация және аутентификация ол қорғаныштың ең алғашқысы,
Идентификация субъектке (қолданушыға, процеске,ол белгілі бір қолданушының атынан немесе аппараттық программалық компонентке) өзін атауға рұқсат етеді (атын атауға). Осылайша аутентификацияның келесі бөлігі аты жазылған субъекттің сол екеніне көз жеткізу керек. аутентификация сөзінің синонимі ретінде кейде шынайылыққа тексеру деген сөз қолданылады.
(Орысша тілдегі термин сөзддігінде аутентификация сөзі толықтай түсінікті емес, себебі ағылшын тілінде ол authentication, аутентикация деп аударылады. Сөз арасындағы фи идентификация сөзінен алынған деген мәлімет бар ).
Аутентификация бір жақты болады, (әдетте клиент өзінің шынайы екенін дәлелдейді) және екіжақты (өзара байланысты). Бір жақты аутентификацияға мысал ретінде қолданушының жүйеге кіру процедурасын айтуға болады.
Желілік ортада идентификация және аутентификация жақтары шекаралы енгіліген болса, қарастырылып отырған сервисте екі негізгі аспект болады:
Аутентификатормен қызмет етеді ( объект субъекттің шынайы екендігін анықтау үшін қолданылады);
Идентификация және аутентификация мәліметтерімен алмасуда қалай ұйымдастырылғаны;
Субъект өзінің шынайылығын келесі түрлердің біреуін қолдана отырып дәлелдей алады:
Оның білгені ештеңе емес (пароль, жеке идентификацияланған номер, криптографиялық кілт және т.б);
Оның жасай білетіні ештеңе емес (жеке түбіртек немесе аналогиялық тағайындалған құрылғы);
Оның бір бөлігінің болғаны ештеңе емес (даусы, саусақ іздері және т.б, қысқаша айтқанда оның биометрикалық характеристикасы);
Ашық желілік ортада идентификация және аутентификация жақтарының арасында белгілі сенімді маршрут болмайды; бұл дегеніміз, ортақ жағдайда субъектпен берілген мәліметтердің, алынған және тексерілуден өткен мәліметпен сәйкес келмеуі. Желіні активті және пассивті тыңдаудан қорғау қажет, дәлірек айтқанда, мәліметті ұрлаудан, өзгертуден және мәліметтерді іске қосудан сақтау қажет. Парольдерді ашық күйде беру әрине сенімсіз. Ол жағдайынан және парольдерді шифрлеуден қорғайды, себебі ол іске қосудан қорғамайды. ол үшін аутентификацияның аса қиын протоколдары қажет.
Сенімді идентификация орнату үшін, желілі қиыншылықтар ғана емес, бірнеше қиыншылықтар кері әсерін тигізуде. Біріншіден, барлық аутентификациялық түрлерді дерлік біліп алуға, өзгертуге және жасап шығаруға болады. Екіншіден,аутентификация кепілдігіне бірнеше кері әсерлер бар, бір жағынан, қолданушының ыңғайлылығы және екіншісі, жүйелі администраторға байланысты. Сол үшін қолданушыға аутентификацияланған ақпаратты тағы бір рет желіге енгізуге тура келеді.қорғаныс құралдарының жоғары болуы, өте қөымбат болады.
Аутентификация және идентификацияның қазіргі құралдары желіге енудің бір ғана концепциясына қолдау көрсету керек. Желіге енудің бір ғана жолы әр қолданушы үшін өте ыңғайлы. Егер корпоративті желіде ақпараттық сервистер көп болса,онда аутентификация және идентификация әлсіз болып келеді. Өкінішке орай, желіге бір ғана ену жолы әлі дұрыс құрылған жоқ.
Осылайша, идентификация және аутентификация құралдарының административті жағы және қолдану ыңғайлылығы, қолжетімділігі мен кепілділігі арасынан компромис (басқа олдар, амалдар, тәсілдер) іздеу керек.
Өте қызық жайттардың бірі, идентификация және аутентификация сервистері шабуыл жасаудың объектісі болуы мүмкін. Егер жүйені баптағанда, оған бірнеше рет парольді дұрыс енгізбесе, кілтке түсіп қалатын болса, онда қаскүнем қолданушының жұмысын бірнеше пернетақта батырмаларымен тоқтатып тастауы мүмкін.
Аутентфикация желіге қолжетімділік ретінде
Аутентификация сұрақтарын қарастыра отырып, клиенттік жұмыс станциялары Windows 2000 немесе Windows XP операциондық жүйелерінің басқаруымен жұмыс жасайды деп есептейік. Әрине, онда Windows тың басқа нұсқалары да болуы мүмкін. Бірақ, жаңа операциондық жүйеге ауысу тек уақытша жұмыс.
Қарастырып отырған операциондық жүйелерде аутентификация үшін операциондық жүйедегі арнайы модуль жауап береді. Ол GINA DLL деп аталады.. GINA мына мағынаны білдіреді: Graphic Identification and Authentification - графикалық DLL идентификация және аутентификация үшін арналған. Берілген модуль Winlogon процесінен шақырылады. Ол Ctrl – Alt- Del батырмаларыныың іс әркетіне жауап береді. (классикалық тұрғыдан айтқанда, қолданушының аты мен парольге)ол оның процесін Winlogon ге аутентификация үшін береді, жұмыс станциясын кілтке түсіру үшін.
GINA DLL интерфейсі құжатталған. Оны кез келген қолданушы өзінің қалауы бойынша іске асыра алады.
Windows дистрибутиві GINA DLL ге қатысты, ол Microsoft арқыл іске асырылған. Ол MSGINA деп аталады,ол қолданушы арқылы аутентификацияны іске асырады.
Желідегі идентификация және аутентификация
Ақпараттық технологияларды дұрыс және әсерлі етіп құру үшін қолданушы оған қатысты әр функциясында қатысуы керек. Осымен байланысты қолданушының идентификация және аутентификация тапсырмасы бөлінген жүйеде программаның инфрақұрылымына тәуелді бизнес процестер. Қолданушылар арасындағы әр түрлі байланыстың класификациясы бар. Ақпаратты қорғауда толықтай және идентификациясы мен аутентификациясы бар тапсырмаларды әр түрлі тәсілдермен шешу. Мекеме қызметкерлері үшін аутентификация арнайы бөлінген қосымшаларға қолжетімділік үшін қажет. Ол әр түрлі қосымшалардың интеграциясын қамтамасыз етуі керек және сол уақытта қауіпсіздікке бірнеше талаптар қоюы керек. Идентификация мен аутентификация қолданушылар мен сатып алушыларға қосымша қорғанысты қамтамасыз ете отырып, алдын ала сұратылған қосымшаларға қолжетімділікті қамтамасыз етеді. Бизнес серіктестер үшін бөлінген аймақта идентификация және аутентификация серіктестік қатынастың талаптарын және жаудың шабуылдарынан қорғанысты қамтамасыз етуі керек. Идентификация және аутентификация талаптарына көптеген сипаттаулар әр сладан айтылған. Ол ақпараттық технологиялардың дамуына және электронды бизнестің дамуымен тікелей байланысты. (1 сурет).

1 сурет екіжақты сатушылар мен сатып алушылар арасындағы қатынастың нұқаулары
сурет

Парольді аутентификация
Парольдәк аутентификацияның негізгі мәртебесі қарапайымдылық және үйреністік. Парольдер операциондыө жүйелерге және сервистерге бұрынан орнатылған. Егер парольдерді дұрыс қолданатын болса, ол көптеген мекемелерге жоғарғы деңгейдегі қауіпсіздікті қамтамасыз етеді. Бірақ оларды басқаларымен салыстырғанда, шынайылыққа тексерудің ең әлсіз жолы деп санайды.
Пароль есте қалу үшін оны қарапайым түрде жасайды. (досының аты, сорттық команданың аты және т.б). Бірақ, оңай парольдерді тез тауып алуға болады. Егер қолданушының қандай іске құмар екенін білсе, онда парольді табу тіптен оңай болмақ. Классикалық тарихта советтік тыңшы Рихард Зорге бәріне белілі, оның карамба деген сөзінен аса құпиялы сейф ашылатын болған.
Кейде парольдер бастапқы кезден ақ бәріне белгілі болады. Себебі олардың мәні стандартты болады. Олар құжатта көрсетілуі мүмкін және бір рет орнатылғаннан кейін оны ешкіім қайта ауыстырмайды.
Парольдерді қойғаннан кейін тек бір ғана қолданушы білу керек, егер парольді екі адам білсе ол құпия болып саналмайды.
Парольдерді дөрекі күш тәсілімен тауып алуға болады, онда сөздік қолданылады. Егер парольдер файлды шифрленген болса, біраө ол оқылса, оны жеке компьютерге көшіріп алып, оған сәйкес пароль табуға болады. Ол үшін толық жиынтықты программалау керек. (онда шифрлеу алгоритмі белгілі болады).
Онымен қоса, келесі амалдар парольдік қауіпсіздік деңгейін жоғарылату үшін айтарлықтай ықпалын тигізеді:
Техникалық шектеулеріне байланысты (пароль өте қысқа болмау керек, ол әріптерден, сандардан,пунктуация белгілерінен және т.б тұруы керек);
Парольдердің белгілі мерзімге дейін қойылуы, оларды уақытына сәйкес ауыстырып тұру;
Парольдер файлына қолжетімділікті шектеу;
Жүйеге енген кезде парольді қате жазьау, себебі ол жүйені кілтке түсіруі мүмкін;
Қолданушыларды оқыту;
Парольдердің прогрраммалық генераторын қолдану ( мұндай программа есте сақталатын программаларды ғана анықтауы мүмкін );
Тізбектелген амалдарды парольдермен қоса басқа да аутентификациялар қолданылса да, әрқашан қолдану керек,
Бір рет қолданылатын парольдер
Жоғарыда қарастырылған парольдерді көп рет қолданатын парольдер деп айтса болады, егер оларды қаскүнем тауып алатын болса, ол кәдімгі қолданушы ретінде жұмыс жасауы мүмкін. Желіден пассивті тың тыңдауға қарсы ең күшті құрал болып бір рет қолданылатын парольдер саналады.
Олардың ең танымал программалық генераторы Bellcore компаниясының SKEY жүйесі болып табылады. Бұл жүйенің негізгі ойы келесідей.Бір бағыты f функциясы болсын, бұл функция қолданушыға да, аутентификация серверіне де белгілі болсын. Тек қолданушыға ғана белгілі K құпия кілт болсын.
Қолданушының бастапқы администрациялау деңгейінде f функциясы K кілтке n рет қолданылсын, осыдан кейін нәтижесі серверде сақталсын. Осыдан кейін қолданушыны шынайылыққа тексеру процедурасы келесі түрде болады:
Сервер қолданбалы жүйеге (n-1) санын жібереді;
Қолданушы f функциясын K құпия кілтке (n-1) рет қолдансын және нәтижесін желі арқылы аутентификация серверіне жіберсін;
Сервер f функциясын қолданушыдан алған нәтижеге қолдансын және оны бастапқы мәндермен салыстырсын. Сәйкес келген жағдайда шынайылыққа тексергенде оң нәтижелі болғаны және сервер оны орнатады, сервер оны есте сақтап қалады және оның есебінен бір бірлікке кемітеді (n).
Негізіне бұның іске ауы кішкене қиынырақ (есептеуіштен басқа сервер f функциясымен қолданатын мәнді жібереді). F функциясы қайтымсыз болғандықтан,парольді ұрлау, аутентификация серверіне қолжетімділік алу сияқты құпия кілтті білуге рұқсат етпейді және келесі бір рет қолданатын парольді айтпайды.
Сенімді аутентификация үшін келесі жол кішкене уақыт аралығында жаңа парольді генерациялау болып табылады. (мысалы, әр минут сайын), ол арнайы интеллектуалды карталар немесе программалр қолданылуы мүмкін.
(практикалық тұрғыдан мұндай парольдерді бір рет қолданатын парольдер деп атауға болады). Аутентификация серверіне парольдер генерациясының алгоритмі белгілі болуы керек және олармен бірге параметрлері ассоциацияланған болуы керек. Онымен қоса клиент пен сервердің уақыты синхронизацияланған болуы тиіс.
Kerberos аутентификация сервері
Kerberos бұл программалық өнім, ол 1980жылдың ортасына таман Массачусеткелі технологиялық институтында құрылған. Одан бері оған шартты түрде бірталай өзгерістер енгізілді. Kerberos клиенттік компоненттері көптеген операциондық жүйеге орнатылған.
Kerberos келесі тапсырмаларды шешуге арналған. Ашық желі ар, оның негізгі түйіні ретінде субъект қолданушыларға бағытталған және де киенттік, серверлік программалық жүйелер бар. Әр субъекттің жеке құпия кілті бар. С субъектісі өзінің шынайы екенін S субъектісіне дәлелдеу үшін ол өзін таныстырып қана қоймай, құпия кілт туралы мәлімет беру керек. С жай ғана S ке өзінің құпия кілтін ... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Серверге арналған аутентификация
Word редакторын графикамен байланыстыру (суреттер, схемалар салу) туралы
Криптографиялық қорғау
Баспасөзді қорғаудың маңыздылығы
Баспасөз компанияларында қолданатын қауіпсіздік түрлері
Ақпаратты қорғаудың әдістері.
Қолданушының идентификация және аутентификация жүйелерімен танысу (әдеби шолу)
Ақпараттық қауіпсіздік жайында
Ақпараттық қауіпсіздікті құру, қауіпсіздікті қамтамасыз ету әдістері
АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
Пәндер