Hozirgi kunda turli miqyosdagi axborot tizimlari (IS) davlat, biznes va fuqarolik jamiyatining asosiy infratuzilmasining ajralmas qismiga aylandi. Tobora koʻproq himoyalangan maʼlumotlar IS-ga oʻtkazilmoqda. Zamonaviy axborot texnologiyalari nafaqat biznesni tashkil etish, davlat va jamoat ishlarini olib borish uchun yangi imkoniyatlar yaratibgina qolmay, balki axborot himoyasiga bo'lgan xavfsizlikning sezilarli ehtiyojlarini ham yaratadi.
Ma'lumki, IP-ma'lumotlardan noto'g'ri foydalanishning 25% dan ortig'i ichki foydalanuvchilar, sheriklar va IP-ga to'g'ridan-to'g'ri kirish imkoniyatiga ega bo'lgan xizmat ko'rsatuvchi provayderlar tomonidan amalga oshiriladi. Ularning 70% gacha qismi huquq va imtiyozlarni ruxsatsiz olish, IP-foydalanuvchilarning hisob ma'lumotlarini o'g'irlash va uzatish holatlari bo'lib, bu IP-foydalanuvchilarni farqlash va tasdiqlash texnologiyalarining nomukammalligi tufayli mumkin bo'ladi. Kirish nazorati va foydalanuvchilarni ro'yxatdan o'tkazishni yaxshilash IP-ni rivojlantirish uchun ustuvor vazifalardan biridir.
IShIDda foydalanuvchilarni ro'yxatdan o'tkazishning asosiy qoidalari - "Siz kimsiz?" savoliga javob olish va autentifikatsiya - "siz o'zingizni aniq kim deb aytasiz" degan dalildir. Hujumchi tomonidan IS-ga ruxsatsiz kirish, birinchi navbatda, autentifikatsiya tartibining buzilishi bilan bog'liq.
Shaxsni tasdiqlash va identifikatsiyalash
Identifikatsiyalash va autentifikatsiyalash dasturiy ta'minot va apparat xavfsizligi vositalarining asosi deb hisoblanishi mumkin, chunki boshqa xizmatlar nomlangan aktyorlarga xizmat ko'rsatish uchun mo'ljallangan. Identifikatsiya va autentifikatsiya – bu himoyaning birinchi chizig'i, tashkilotning axborot maydonining "o'tish"i.
Identifikatsiya aktyorga (foydalanuvchiga, muayyan foydalanuvchi nomidan harakat qiluvchi jarayonga yoki boshqa asbob-uskunalar va dasturiy ta'minot komponentiga) o'zini tanishtirish (uning nomini taqdim etish) imkonini beradi. Autentifikatsiya orqali boshqa tomon mavzu haqiqatan ham oʻzlarini kim deb aytishlariga ishonch hosil qiladi. «Tasdiq» soʻzi baʼzan «tasdiq» sinonimi sifatida ishlatiladi.
Autentifikatsiya bir tomonlama (odatda mijoz serverga haqiqiyligini isbotlaydi) va ikki tomonlama (o'zaro) bo'lishi mumkin. Bir tomonlama autentifikatsiyaga misol sifatida foydalanuvchiga kirish tartibi.
Tarmoq muhitida, shaxsni/autentifikatsiyalash taraflari geografik jihatdan tarqaladigan joyda, so'ralgan xizmatning ikkita asosiy jihati bor:
1. Tasdiqlovchi bo'lib xizmat qiladigan narsa (ya'ni sub'ektning shaxsini tasdiqlash uchun ishlatiladi)
2. identifikatsiya/autentifikatsiya ma'lumotlar almashinuvi qanday tashkil etiladi (va himoyalangan).
Subʼekt quyidagi subʼektlardan kamida bittasini taqdim etish orqali oʻzining haqiqiyligini isbotlashi mumkin:
. Ular bilgan narsa (parol, shaxsiy identifikatsiya raqami, kriptografik kalit va boshqalar)
2. o'ziga tegishli bo'lgan narsa (shaxsiy karta yoki shunga o'xshash maqsadlar uchun boshqa qurilma);
. o'zining bir qismi bo'lgan narsa (ovoz, barmoq izlari va boshqalar, ya'ni uning biometrik xususiyatlari).
Tasdiqlash qadamlari:
Foydalanuvchini kompyuter bilan autentifikatsiyalash jarayonini ikki bosqichga ajratish mumkin:
· Tayyorlov - foydalanuvchi tizimda ro'yxatdan o'tganda amalga oshiriladi. Bu foydalanuvchidan parol yoki barmoq izi kabi shaxsni tasdiqlovchi ma'lumotlarning namunasi so'ralganda, bu tizim tomonidan autentifikatsiya qilish standarti sifatida ko'rib chiqiladi;
· Standart - autentifikatsiya ma'lumotlari namunasi foydalanuvchidan yana so'rilib, tizimda saqlanayotgan standart bilan solishtiriladi. Agar namuna berilgan aniqlik bilan referatga o'xshash bo'lsa, foydalanuvchi inobatga olinadi, aks holda foydalanuvchi begona hisoblanib, bu, masalan, kompyuterga kirishni inkor etishga olib keladi.
Foydalanuvchini autentifikatsiya qilish uchun kompyuterda foydalanuvchi nomlari jadvali va ularga mos namunalar saqlanishi shart:
Eng oddiy holatda referat oddiygina aniq matnda saqlangan parol bo'lishi mumkin. Biroq, bunday saqlash faqat tizimning noloyiq foydalanuvchilaridan himoya qiladi - tizim administratori jadvalda saqlangan barcha foydalanuvchi parollarini olish va keyinchalik har qanday foydalanuvchi nomidan kirish imkoniyatiga ega bo'ladi (masalan, boshqa foydalanuvchiga yoziladigan ba'zi zararli harakatlarni bajarish uchun). Bundan tashqari, foydalanuvchilarning aksariyati barcha holatlar uchun 1-3 parollaridan foydalanishi ma'lum haqiqatdir. Shu sababli, hujumchi tomonidan o'rganilgan parolni uning egasi ro'yxatdan o'tgan boshqa tizim yoki dasturlarga nisbatan qo'llash mumkin. Ko'pincha referat - bu autentifikatsiya ma'lumotlarini ba'zi ishlov berish natijasidir, ya'ni Ei = f(Ai), bu erda Ai autentifikatsiya ma'lumoti, f(...) esa, masalan, hash funksiyasi (kriptografik usullar yordamida ma'lumotlar checksumini hisoblash - hash). Hashing ko'pincha tarmoqlararo aloqa protokollarida qo'llaniladi, shuningdek elektron raqamli imzodan foydalanish uchun ham zarurdir.
Kadrlarni saqlashning boshqa variantlari ham mavjud, masalan, quyidagilar:
Ei = f(IDi, Ai)
Ushbu parametr avvalgisidan yaxshiroqdir, chunki agar ikkita foydalanuvchi bir xil parollarga ega bo'lsa, ularning shablonlari boshqacha ko'rinadi. Biroq, bu holda, har qanday tasodifiy ketma-ketlik foydalanuvchi nomlari o'rniga ishlaydi, autentifikatsiya jarayonida namunalarni keyingi hisoblash uchun faqat bir jadvalda saqlanishi kerak bo'ladi.
Nima bo'lganda ham, autentifikatsiya ma'lumotlaridan standartni hisoblash funksiyasi bir tomonlama bo'lishi kerak, ya'ni hisoblash oson, lekin hisoblash qarama-qarshi yo'nalishda uringanda hisoblash muammosini keltirib chiqarish kerak.
Ochiq tarmoq muhitida shaxsni/shaxsni tasdiqlovchi taraflar oʻrtasida ishonchli yoʻl mavjud emas; Bu shuni anglatadiki, umuman olganda, mavzu bo'yicha uzatiladigan ma'lumotlar olingan va autentifikatsiya uchun ishlatiladigan ma'lumotlarga mos kelishi mumkin emas. Passiv va faol tarmoq eshitilishidan, ya'ni ma'lumotlarni to'sib qo'yish, o'zgartirish va / yoki ijro etishdan himoyalanishni ta'minlash kerak. Parollarning oddiy matnda uzatilishi aniq qoniqarsiz; Parol shifrlash ham vaziyatga yordam bermaydi, chunki u qayta ko'rishdan himoya qilmaydi. Ko'proq zo'r autentifikatsiya protokollari kerak.
Ishonchli identifikatsiya nafaqat tarmoq tahdidlari tufayli, balki turli sabablarga ko'ra ham qiyin. Birinchidan, deyarli barcha autentifikatsiya sub'ektlarini o'rganish, o'g'irlash yoki talon-taroj qilish mumkin. Ikkinchidan, autentifikatsiyaning ishonchliligi, bir tomondan, foydalanuvchi va tizim administratorining qulayligi o'rtasida ziddiyat mavjud, ikkinchi tomondan. Masalan, xavfsizlik sabablariga ko'ra, foydalanuvchidan autentifikatsiya ma'lumotlarini ma'lum bir chastota bilan qayta kiritishni so'rash kerak (chunki uning o'rniga boshqa odam o'tirishi mumkin), bu nafaqat muammoli, balki kimdir ma'lumotlar kiritishini ayg'oqchilik qilishi ehtimolini oshiradi. Uchinchidan, himoya vositalari qanchalik ishonchli bo'lsa, shuncha qimmat.
Zamonaviy identifikatsiya/autentifikatsiya vositalari yagona kirish tushunchasini qo'llab-quvvatlashi kerak. Tarmoqqa yagona kirish, birinchi navbatda, foydalanuvchilarga qulaylik talabidir. Agar korporativ tarmoqda mustaqil kirish imkonini beruvchi ko'plab axborot xizmatlari mavjud bo'lsa, u holda bir nechta identifikatsiya/autentifikatsiya juda og'ir bo'lib qoladi. Afsuski, tarmoqqa yagona kirish normaga aylangani, dominant yechimlar hali shakllanmagan, deb hali aytib boʻlmaydi.
Shuning uchun ishonchlilik, arzonlik va foydalanish qulayligi va shaxsni identifikatsiya qilish va autentifikatsiya qilish vositalarini boshqarish o'rtasida savdo-sotiq bo'lishi kerak.
|