Файл: Методические указания к контрольной работе Рекомендовано к изданию Редакционноиздательским советом.doc

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 07.11.2023

Просмотров: 69

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Чаще всего используют подход, основанный на передаче перед формированием последовательности одноразовых ключей случайного числа R от сервера к клиенту. Это случайное число, наряду с секретным паролем K ложится в основу пары K||R, которая используется в качестве базы для генерации последовательности. После исчерпания одноразовых паролей для числа R, сервер передает клиенту новое случайное число и процесс повторяется.

Контрольные вопросы

1 Какова роль аутентификации в кибербезопасности?

2 Что представляет собой фактор аутентификации?

3 Какие в настоящее время используются факторы аутентификации?

4 Какие существуют типы методов аутентификации

5 На использовании каких криптографических методов могут быть основаны протоколы строгой аутентификации

6 Какие методы аутентификации относят к строгой аутентификации?

7 Какие действия выполняются при использовании взаимной аутентификации на основе сертификатов?

8 Приведите схему протоколов аутентификации, основанных на использовании однонаправленных ключевых хэш-функций.

2 Задание № 2 «Программная реализация разграничения доступа»


    1. Цель и задание


Цель работы: ознакомиться с проблемами реализации моделей разграничения доступа в компьютерных системах на примере дискреционно-ролевой модели.

Задание на контрольную работу

  1. Проанализировав предметную область сформировать данные о пользователях и объектов компьютерной системы соответственно Вашей ВКР (ограничиться только информационными и программными объектами, аппаратную часть не анализируем). Определить перечень ролей и всех возможных прав доступа, составить таблицу соответствия ролей и множества прав доступа на объекты и функции КС. См. пример 2.

  2. Реализовать программный модуль авторизации.

    1. Необходимо выбрать идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя).

Например, множество из трёх идентификаторов пользователей {Ivan, Sergey, Boris}. Один из данных идентификаторов должен соответствовать администратору компьютерной системы (пользователю, обладающему полными правами доступа ко всем объектам).

    1. Назначить роль каждому пользователю в форме таблицы:



Пользователь

Идентификатор

Роль

1. Иванов Иван Александрович

Ivan

Администратор

2. Петров Сергей Сергеевич

Sergey

Гость

3. Никонов Борис Иванович

Boris

Бухгалтер




  1. Реализовать программный модуль, создающий матрицу доступа пользователей к объектам компьютерной системы. Реализация данного модуля подразумевает следующее:

3.1 Реализовать программное заполнение матрицы доступа, содержащей роли и объекты, соответственно Вашей ВКР.

3.2 При заполнении матрицы доступа необходимо учитывать, что один из пользователей должен являться администратором системы (допустим, Ivan). Для него права доступа ко всем объектам должны быть выставлены как полные.

3.3 Права остальных пользователей для доступа к объектам компьютерной системы должны заполняться случайным образом с помощью датчика случайных чисел. При заполнении матрицы доступа необходимо учитывать, что пользователь может иметь несколько прав доступа к некоторому объекту компьютерной системы, иметь полные права, либо совсем не иметь прав.

  1. Реализовать программный модуль, демонстрирующий работу в дискреционной модели политики безопасности.

Данный модуль должен выполнять следующие функции:

4.1 При запуске модуля должен запрашиваться идентификатор пользователя (проводится аутентификация пользователя), при успешной идентификации пользователя должен осуществляться вход в систему, при неуспешной – выводиться соответствующее сообщение.

4.2 При входе в систему после успешной аутентификации пользователя на экране вывести его роль и список всех объектов системы с указанием перечня всех доступных прав доступа аутентифицированного пользователя к данным объектам.

Вывод можно осуществить, например, следующим образом:

User: Boris

Ваша роль администратор

Идентификация прошла успешно, добро пожаловать в систему

Перечень Ваших прав:

Объект1: Чтение

Объект2: Запрет

Объект3: Чтение, Запись

Объект4: Полные права

Жду ваших указаний >

4.3 После вывода на экран перечня назначенных прав доступа пользователя к объектам компьютерной системы, необходимо организовать ожидание указаний пользователя на осуществление действий над объектами в компьютерной системе. После получения команды от пользователя, на экран необходимо вывести сообщение об успешности либо не успешности операции. При выполнении операции передачи прав (grant) должна модифицироваться матрица доступа.

Программа должна поддерживать операцию выхода из системы (quit), после которой запрашивается идентификатор следующего пользователя.



Диалог можно организовать, например, так:
Жду ваших указаний > read

Над каким объектом производится операция? 1

Операция прошла успешно

Жду ваших указаний > write

Над каким объектом производится операция? 2

Отказ в выполнении операции. У Вас нет прав для ее осуществления

Жду ваших указаний > grant

Право на какой объект передается? 3

Отказ в выполнении операции. У Вас нет прав для ее осуществления

Жду ваших указаний > grant

Право на какой объект передается? 4

Какое право передается? read

Какому пользователю передается право? Ivan

Операция прошла успешно

Жду ваших указаний > quit

Работа пользователя Boris завершена. До свидания.

User:

5 Выполнить тестирование разработанной программы, продемонстрировав реализованную модель дискреционно-ролевой политики безопасности.

6 Оформить отчет по лабораторной работе.

    1. Краткие теоретические сведения

2.2.1 Понятие разграничения доступа
Под политикой безопасности понимают набор норм, правил и практических приемов, регулирующих управление, защиту и распределение ценной информации. Политика безопасности задает механизмы управления доступа к объекту, определяет как разрешенные, так и запрещенные доступы.

Политика безопасности реализуется посредством админи­стративно-организа­ционных мер, физических и программно-технических средств и определяет архи­тектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.

Политика безопасности определяется способом управления доступом, который задаёт порядок доступа к объектам системы. Различают три основных вида политики безопасности: избирательную, полномочную и ролевую.

Избирательная политика безопасности основана на изби­рательном способе управления доступом. Избирательное (или дискреционное) управление доступом характеризуется заданным администратором множеством разрешенных отноше­ний доступа (например, в виде троек объект – субъект – тип доступа). Обычно для описания свойств избирательного управления доступом при­меняют математиче­скую модель на основе матрицы доступа.

Матрица доступа представляет собой матрицу, в которой столбец соответствует объекту системы, а строка – субъекту. На пересечении столбца и строки матрицы указывается тип разре­шенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т.п. Матрица доступа является самым простым подходом к моделированию систем управления доступом. Однако она служит основой для сложных мо­делей, более адекватно описывающих реальные ав­томатизированные системы обработки информации (АСОИ).


Избирательная политика безопасности широко применяется в АСОИ коммерческого сектора, так как её реализация соответствует требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемле­мую стоимость.

Полномочная политика безопасности основана на полно­мочном (мандатном) способе управления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определен­ных на множестве атрибутов безопасности субъектов и объектов, например, в за­висимости от метки конфиденциальности информации и уровня допуска пользо­вателя. Полномочное управление доступом подразумевает, что:

1) все субъекты и объекты системы однозначно идентифицирова­ны;

2) каждому объекту системы присвоена метка конфиденциаль­ности инфор­мации, определяющая ценность содержащейся в нем информации;

3) каждому субъекту системы присвоен определенный уровень допуска, оп­ределяющий максимальное значение метки конфи­денциальности информации объектов, к которым субъект имеет доступ.

Чем важнее объект, тем выше его метка конфиденциаль­ности. Поэтому наи­более защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.

Основное назначение полномочной политики безопасности – регу­лирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвраще­ние утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние.

При выборе и реализации политики безопасности в компьютерной системе, как правило, работают следующие шаги:

1. В информационную структуру вносится структура ценностей (определя­ется ценность информации) и проводится анализ угроз и рисков для информации и информационного обмена.

2. Определяются правила использования для любого информационного про­цесса, права доступа к элементам информации с учетом данной оценки ценностей.

Реализация политики безопасности должна быть четко продумана. Результа­том ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики.

Дискреционно-ролевая модель доступа.

Пусть О – множество объектов, U – множество пользователей, S – множество действий пользователей над объектами.


Задать таблицу назначения пользователям U ролей Ro.

Тогда дискреционная политика определяет отображение O→Ro (объектов на роли). В соответствии с данным отображением, каждый объект OjO объявляется собственностью соответствующей роли Ro k Ro, который может выполнять над ними определенную совокупность действий SiS, в которую могут входить несколько элементарных действий (чтение, запись, модификация и т.д.). Пользователь, являющийся собственником объекта, иногда имеет право передавать часть или все права другим пользователям (обладание администраторскими правами).

Указанные права доступа пользователей-субъектов на основе роли к объектам компьютерной системы записываются в виде так называемой матрицы доступа. На пересечении i-й строки и j-ого столбца данной матрицы располагается элемент Sij – множество разрешенных действий j-ой роли над i-м объектом.

Пример 1. Пусть имеем множество из трёх ролей {Администратор, Гость, Бухгалтер} и множество из четырёх объектов {Файл_1, Файл_2, CD-RW, Дисковод}. Множество возможных действий включает следующие: {Чтение, Запись, Передача прав другому пользователю}. Действие «Полные права» разрешает выполнение всех трёх действий, действие «Запрет» запрещает выполнение всех перечисленных действий. В данном случае, матрица доступа, описывающая дискреционно-ролевую политику безопасности, может выглядеть следующим образом.

Таблица 1 Пример матрицы доступа

Объект /

Субъект

Файл параметры модели.doc

Файл параметры эксперимента.doc

Функция кластерного анализа данных

Таблица User базы данных

1. Администратор

Полные

права

Полные права

Полные

права

Полные права

2. Гость

Запрет

Чтение

Чтение

Запрет

3. Бухгалтер

Чтение,

пе­редача прав

Чтение,

за­пись

Полные

права

Запрет


Например, Бухгалтер имеет права на чтение и запись в Файл параметры эксперимента.doc. Передавать же свои права другому пользователю он не может.

Пользователь с назначенной Ролью, обладающей правами передачи своих прав доступа к объекту другому пользователю, может сделать это. При этом, пользователь, передающий права, может указать непосредственно, какие из своих прав он передает другому.