ABC systemu zabezpieczeń

Aby osiągnąć pierwszy z celów stawianych przed systemami zabezpieczania informacji — czyli ochronę danych i infrastruktury — należy opracować ekonomiczną strategię ograniczania dostępu do nich tylko dla upoważnionych użytkowników. Elementy takiej strategii stanowią swoiste ABC, na które składają się: kontrola dostępu, uwierzytelnienie i administracja.

Istnieje wiele rodzajów kontroli uwierzytelnień i dostępu do danych. Różnią się one co do zakresu i funkcji, począwszy od prostych systemów rozpoznawania użytkowników na podstawie identyfikatorów i haseł, zaimplementowanych bezpośrednio w aplikacji, weryfikowanych na poziomie systemu operacyjnego lub rejestrowania się w sieci, po bardziej złożone systemy z szyfrowaniem opartym na kluczach, które działają niezależnie od aplikacji. Ochrona za pomocą identyfikatorów i haseł może zostać wzmocniona przez dodanie identyfikatorów sprzętowych współpracujących z komputerami- klientami, i (lub) metody biometrycznej identyfikacji osób, wykorzystującej analizę linii papilarnych, wzoru tęczówki oka, układu dłoni lub innych części ciała.

Zadaniem tego typu kontroli jest, ogólnie mówiąc: (1) zidentyfikowanie osoby chcą-cej skorzystać z chronionych danych i infrastruktury w oparciu o to, co posiada dana osoba (klucz), co wie (hasło) lub kim jest (tęczówka), oraz (2) zapewnienie takiego zakresu dostępu, który odpowiada uprawnieniom nadanym wcześniej danej osobie.

Trzecia litera skrótu ABC odnosi się do sposobu gromadzenia informacji wykorzy-stywanych w procesie uwierzytelniania i kontroli dostępu, zarządzania nimi i ich kon-serwowania. Większość spośród metod administrowania bezpieczeństwem aplikacji wymaga od użytkownika rejestracji lub inaczej „zapisania się” przed udostępnieniem mu danych lub elementów infrastruktury. Stosowane są w tym celu odpowiednie programy lub bazy danych do zarządzania bezpieczeństwem. Zarejestrowanemu użytkownikowi można przydzielić uprawnienia do korzystania z niektórych zasobów, aplikacji i elementów infrastruktury (serwerów, pamięci masowej lub sieci). System administrowania zabezpieczeniami może również ograniczyć okres, w którym użytkownik uzyskuje dostęp, do określonych dni w tygodniu lub nawet godzin w ciągu dnia.

Administracja metodami uwierzytelniania i kontroli dostępu (patrz rysunek 10.1) jest często najkosztowniejszym elementem systemu zabezpieczania danych i infrastruktury, gdyż wymaga największego nakładu pracy. Oto niektóre zadania administracyjne:

– Gromadzenie i weryfikacja informacji identyfikacyjnych.

– Kojarzenie elementów systemu uwierzytelnień z aplikacjami lub elementami infrastruktury.

– Konfigurowanie aplikacji lub elementów infrastruktury do współpracy z informacjami identyfikacyjnymi oraz ustalanie zakresu dostępu.

– Przydzielanie i kontrola haseł, kluczy szyfrujących i innych elementów systemu uwierzytelnień.

– Stała aktualizacja powyższych elementów, aby odzwierciedlały zmiany zachodzące w systemie.

Nawał pracy związany z administrowaniem zabezpieczeniami sprawia, że działania te są piętą achillesową dla administratorów serwerów. W związku z rosnącym znaczeniem bezpieczeństwa pamięci masowej, administracja zabezpieczeniami ma szansę stać się najważniejszym problemem, który musi być uwzględniany w ramach administrowania pamięcią masową.

Kolejnym elementem na drodze ku uzyskaniu równowagi jest zwrócenie szczególnej uwagi na wymagania stawiane systemowi administracyjnemu już na etapie oceny technologii zapewniających ochronę infrastruktury pamięci masowej. Nie wprowadza się już obecnie technologii komplikujących proces administrowania. Rozpatrzmy przykład Ipsec.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>