Методы и средства управления доступом к информационным и вычислительным ресурсам

В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.
Аутентификация пользователей может основываться на:
· дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
· средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;
· индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.
Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код.
Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.
Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице.
Таблица. Сравнение методов аутентификации

	магнитная карточка	отпечаток пальцев	отпечаток ладони	голос	подпись
Удобство в пользовании	Хорошее	Среднее	Среднее	Отличное	Хорошее
Идентификация нарушения	Средняя	Отличная	Хорошая	Хорошая	Отличная
Идентификация законности абонента	Хорошая	Средняя	Отличная	Отличная	Хорошая
Стоимость одного устройства, дол.
Время распознавания, с
Надежность	Хорошая	Средняя	Отличная	Хорошая	Хорошая

Особенно часто проблемы обеспечения безопасности данных возникают в местах стыка локальных и территориальных сетей . Для их решения в указанных местах размещаются брандмауэры .
Брандмауэр (firewall) - устройство , обеспечивающее контроль доступа в защищаемую локальную сеть . Брандмауэры защищают сеть от несанкциониро-ванного доступа из других сетей путем выполнения сложных функций фильтрации потоков данных в точках соединения сетей. Для этого они просматривают все проходящие через них блоки данных , прерывают подозрительные связи, проверяют полномочия на доступ к ресурсам .
В качестве брандмауэров применяются маршрутизаторы и шлюзы , которые дополняются функциями фильтрации блоков данных и другими возможностями защиты данных .

19. ФУНКЦИОНАЛЬНЫЕ ПРОФИЛИ