Файл: Оглавление введение 2 Основные этапы допуска в компьютерную систему 4.docx

При разграничении доступа по спискам для каждого пользователя задается список ресурсов и прав доступа к ним или для каждого ресурса задается список пользователей их прав доступа к данному ресурсу. Например, для пользователя, идентификатор которого User_1, в базе эталонных данных задается список, определяющий, что он имеет доступ к каталогу User_1 логического диска привода D:, а также к текстовому редактору Office Word 2007.

Процедура разграничения при использовании списков выполняется в следующей последовательности.

По данным, содержащимся в запросе пользователя, выбирается соответствующая строка списка:

либо список ресурсов, к которым данный пользователь имеет доступ и прав доступа к ним;
либо список пользователей, которым разрешен доступ к запрашиваемому ресурсу и прав их доступа.

В выбранной строке проверяется наличие запрашиваемого ресурса или идентификатора пользователя, выдавшего запрос.

Если наличие установлено и тип запрашиваемого доступа соответствует правам пользователя, то ресурс предоставляется в соответствии с правами доступа на него. В противном случае доступ пользователя к запрашиваемому ресурсу блокируется и применяются санкции, предусмотренные за попытку несанкционированного доступа.

Использование матрицы установления полномочий

Разграничение доступа на основе матрицы установления полномочий

является более гибким и удобным в сравнении с разграничением по спискам, так как позволяет всю информацию о пользовательских полномочиях в базе эталонных данных системы защиты хранить и использовать в виде матриц (таблиц), а не в виде разнотипных списков.

В матрице, или как ее еще называют, таблице полномочий строками являются идентификаторы пользователей, имеющих доступ в систему, а столбцами - ресурсы вычислительной системы. Каждая ячейка таблицы для

заданного пользователя и ресурса может содержать следующую информацию:

размер предоставляемого ресурса, например, размер области внешней памяти;
имя компонента предоставляемого ресурса, например, имя каталога или логического диска;
код, определяющий права доступа к ресурсу, например, 01₂ -только чтение, 10₂ - чтение и запись и т.д.;
ссылку на другую информационную структуру, задающую права доступа к ресурсу, например, ссылку на другую матрицу полномочий;
ссылку на программу, регулирующую права доступа к ресурсу. Программа, регулирующая права доступа пользователя к ресурсу,

может регулировать права доступа не только в зависимости от времени, но и в зависимости от предыстории работы пользователя, например, пользователь User_33 может записывать данные в файл F только в том случае, если он уничтожил файл G. Также может учитываться и состояние КС, например, текущий размер свободной части ресурса.

В качестве простейшего примера матрицы полномочий можно привести следующую таблицу:

	Каталог D:\WORK		Каталог D:\BOOK	Каталог D:\TEST
Пользователь User_1	10		01	10
Пользователь User_2	10		10	00
Пользователь User_3	00		10	01
……………………………..		…………………
Пользователь User_N	10		00	00

В данной таблице каждая ячейка содержит двоичный код, задающий права доступа к ресурсу: 01 - только чтение, 10 - чтение и запись, а 00 - запрет доступа.

Упрощенная схема обработки запроса на доступ к ресурсу при использовании матрицы установления полномочий представлена на рисунке 4.

Недостатком метода разграничения доступа на основе матрицы полномочий является то, что для большой КС данная матрица может оказаться слишком громоздкой. Преодолеть данный недостаток можно путем выполнения следующих рекомендаций по сжатию матрицы установления полномочий:

объединение пользователей, имеющих идентичные полномочия в группы;
объединение ресурсов, полномочия на доступ к которым совпадают;
комбинирование метода разграничения доступа на основе матрицы полномочий с методом разграничения по уровням секретности.

Рисунок 4. Схема обработки запроса на доступ к ресурсу при использовании матрицы полномочий

В ОС Linux права доступа к файлу или к каталогу описываются тремя (вообще-то больше, хотя эти три основные и самые важные) восьмеричными цифрами, самая левая из этой тройки – права владельца, средняя – права группы, правая – права всех остальных. Каждая из этих восьмеричных цифр представляет собой битовую маску из трех битов. Эти биты отвечают за права на (слева направо) чтение, запись и исполнение файла или каталога. Если установлена единица – доступ разрешен, если ноль – запрещен. Таким образом, права доступа к файлу, описанные цифрой 644, означают, что владелец может писать и читать файл, группа и остальные пользователи – только читать. С точки зрения функциональных возможностей

чтение означает:

просмотр содержимого файла,
чтение каталога,

запись означает:

добавление или изменение файла,
удаление или перемещение файлов в каталоге,

выполнение файла означает:

запуск программы,
возможность поиска в каталоге в комбинации с правом чтения. Узнать о том, какие права доступа установлены к файлам и каталогам,

можно, используя команду ls.

Разграничение доступа по уровням секретности и категориям

Разграничение доступа по уровням секретности заключается в том, что такие ресурсы вычислительной системы, как логические диски, каталоги, файлы, а также элементы баз данных разделяются

на группы в соответствии с уровнями их секретности. В качестве таких уровней могут быть выделены следующие:

«общий доступ»;
«конфиденциально»;
«секретно»;
«совершенно секретно».

Полномочия каждого пользователя задаются максимальным уровнем секретности информации, доступ к которой ему разрешен. В соответствии с этим, пользователю разрешается доступ только к данным, уровень секретности которых не выше уровня его полномочий.

Разграничение доступа по категориям состоит в том, что все информационные ресурсы вычислительной системы (логические диски, каталоги, файлы, а также элементы баз данных) разделяются на группы в соответствии с категориями содержащихся в них данных. Например, все тактико-технические данные о средствах вооружения могут быть разделены по типам этих средств - данные о наземных, морских, а также воздушных средствах вооружения.

Полномочия каждого пользователя задаются категориями информации, доступ к которой ему разрешен. В соответствии с этим, пользователю разрешается доступ только к данным, категории которых совпадают с категориями, заданными в его полномочиях.

Важной особенностью разграничения доступа по уровням секретности и категориям, называемым еще мандатным способом разграничения, является то, что всем программам КС должно быть запрещено выполнение следующих действий:

переписывание информации из областей памяти с более высоким уровнем секретности в области памяти с более низким;
переписывание данных из областей памяти, соответствующих одной категории, в области памяти, соответствующие другой.

Смотрите также файлы

Обучающийся Горбовская Ольга Николаевна Преподаватель Чащинова Анна Вадимовна Практическое занятие.rtf

Муниципальное общеобразовательное учреждение беломестненская средняя общеобразовательная школа белгородского района белгородской области.docx

Кодеин в смеси с другими лекарственными веществами выписывается на.rtf

Башкирский государственный университет.doc

Программа наблюдения инструментарий наблюдения статистический формуляр.docx

Файл: Оглавление введение 2 Основные этапы допуска в компьютерную систему 4.docx

Разграничение доступа по спискам

Использование матрицы установления полномочий

Рисунок 4. Схема обработки запроса на доступ к ресурсу при использовании матрицы полномочий

Разграничение доступа по уровням секретности и категориям

Смотрите также файлы

Информация

Списки файлов

Дополнительно