Сервисы информационной безопасности

    Сервисы информационной безопасности – это основные комплексы защитных средств, предназначенные для поддержки безопасности системы. К этим сервисам относятся аутентификация, авторизация и аудит.

    Соответствующие английские написания этих терминов имеют вид: authentication, authorization, audit, и начинаются с букв Au, обозначающих химический элемент ”золото” в периодической таблице Менделеева. Поэтому сервисы аутентификации, авторизации и аудита называют золотыми правилами информационной безопасности. Дадим краткое определение этих терминов.

Аутентификация.

    Аутентификация – это процедура проверки идентификатора пользователя. При входе в информационную систему пользователь должен идентифицировать себя, т.е. отождествить себя с одним  из зарегистрированных в системе пользователей. Для этого в самой распространенной системе парольной аутентификации пользователь вводит свои логин и пароль.

    Логин является идентификатором пользователя. Наличие пользователя с таким идентификатором проверяется по базе данных зарегистрированных пользователей. Однако, идентификаторы пользователей не являются секретными данными, поэтому кто-угодно может оказаться под предъявляемым логином. Значит, необходимо проверить тождественность идентификатора субъекту, пытающемуся войти в систему. Для этого и служит пароль, который и является тем секретом, который должен знать только сам пользователь и система аутентификации, проверяющая легальность пользователя.

Авторизация.

    Авторизация – это процедура разделения пользователей на группы с разными правами доступа.

    Зарегистрированный пользователь, входящий в систему, не обязательно получит полные права на доступ к системе. Для того, чтобы точно определить кому какие права на и на какие объекты передать используется авторизация. В результате выполнения этой процедуры некоторые пользователи получат полный доступ к системе, некоторые - только право на чтение, а некоторые - ограниченные права по доступу к специализированному набору сервисов.

    Например, представим себе работу деканата учебного заведения по регистрации текущих оценок студентов. Есть разные группы пользователей, получающие доступ к оценкам:

1. Сами студенты и их родители могут читать данные, относящиеся к группе, в которой студент занимается.

2. Преподаватель по предмету может читать и изменять оценки по своему предмету, но только в определенные временные интервалы.

3. Замдекана проверяет оценки, введенные преподавателем, и фиксирует их в окончательной таблице данных, после чего изменение становится невозможным или возможным с разрешения декана факультета.

    Авторизация – непременный атрибут всех систем управления базами данных, в которых эта процедура может тщательно прописана для каждого объекта базы данных: схемы таблицы, данных в таблице, отдельных элементов, запросов (статистики), форм, отчетов, макросов и программных процедур.

Аудит.

    Аудит – это процедура записи действий всех пользователей по доступу к защищаемым данным.

    Если какой-то пользователь неправомерно использует доступ к системе для расширения своих полномочий или пытается нарушить нормальное функционирование системы путем, например, подбора паролей, выполнения SQL-инъекций или других незаконных действий, то аудит позволить определить виновного и передать данные администратору системы. В большинстве случаев правильно настроенная ИС сама автоматически определит попытки взлома и блокирует нападавшего.