Информационная безопасность Модели управления доступом Разграничение доступа Вычислительные комплексы Учебник по информатике Операционная система Linux Базовые технологии локальных сетей

Информационная безопасность

При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним.

Утверждение доказывается от обратного. Если подобное взаимодействие допустимо, то априори отсутствует полномочное упорядочивание объектов, т.е. собственно нивелируется параметрическая шкала оценки субъектов и объектов доступа.

Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа

Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются активные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более низкие полномочия, с субъектами-обладателями более высоких полномочий.

Модель управления доступом формально может быть описана следующим образом:

Матрица доступа Б, описывающая данную модель управления доступом, имеет следующий вид.

где 1 — порядковый номер объекта (номер строки в матрице доступа); | — порядковый номер субъекта (номер столбца в матрице доступа).

Для данной канонической модели управления доступом характерно то, что для доступа к объекту с полномочиями 1, субъект должен иметь полномочия не ниже, чем 1, где 1 = 1,...,к. При этом полномочия линейно упорядочены по возрастанию -- чем меньше номер, тем выше полномочия.

В данной модели применяется метод произвольного управления виртуальными каналами взаимодействия субъектов доступа. В рамках этого метода субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.

Таким образом, под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные выше главной диагонали, а «Д» задают активные симплексные каналы взаимодействия с использованием операции «добавление». Таким образом субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.

Насколько легальны сканеры?

Обычно сканеры создаются и используются специалистами в области сетевой безопасности. Как правило, они распространяются через сеть Internet, чтобы с их помощью системные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практике, вполне законно. Однако рядовые пользователи, не являющиеся системными администраторами, должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить яростное сопротивление со стороны администраторов этих сетей. Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону могут квалифицироваться как несанкционированный доступ к компьютерной информации, или как создание, использование и распространение вредоносных программ, или как нарушение правил эксплуатации компьютеров, компьютерных систем и сетей. И если следствием этих деяний стало уничтожение, блокирование, модификация или копирование информации, хранящейся в электронном виде, то виновные в них лица в соответствии с российским законодательством подлежат уголовному преследованию. А значит, прежде чем начать пользоваться первым попавшимся под руку бесплатным сканером для UNIX-платформ, стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудь файлы с диска тестируемой им хост-машины (например, файл password из каталога /ETC).

В чем различие между сканерами и сетевыми утилитами?

Часто к сканерам ошибочно относят утилиты типа host, rusers, finger, Traceroute, Showmount. Связано это с тем, что, как и сканеры, данные утилиты позволяют собирать полезную статистическую информацию о сетевых службах на удаленном компьютере. Эту информацию можно затем проанализировать на предмет выявления ошибок в их конфигурации.

Действительно, сетевые утилиты выполняют ряд функций, которые характерны для сканеров. Однако в отличие от последних использование этих утилит вызывает меньше подозрений у системных администраторов. Выполнение большинства сетевых утилит на удаленной хост-машине практически не оказывает никакого влияния на ее функционирование. Сканеры же зачастую ведут себя как слон в посудной лавке и оставляют следы, которые трудно не заметить. Кроме того, хороший сканер — явление довольно редкое, а сетевые утилиты всегда под рукой. К недостаткам сетевых утилит можно отнести то, что приходится выполнять вручную слишком большую работу, чтобы добиться того же результата, который при помощи сканера получается автоматически.

Упомянутые выше сетевые утилиты можно встретить в любой операционной системе семейства UNIX. Однако предоставляемые ими возможности для сбора данных об удаленной хост-машине интересуют не только пользователей UNIX. Поэтому неудивительно, что многие из этих утилит были перенесены в другие операционные системы.

Для Windows 95/98 имеются программные пакеты NetScan Tools (http://www.eskimo.cora/ nwps/index.html), Network Toolbox (http://www.jriver. com/netbox.html) и TCP/IP Surveyor (http://www.rocketdownload.com/details/inte/wssrv32nsrc.htm), которые реализуют выполнение сетевых утилит host, rusers, finger, Traceroute, ping, WHOIS (рис. 4.1—4.3). Последний из упомянутых пакетов не только осуществляет сбор информации о сети и подключенных к ней компьютерах, но и представляет собранную таким образом информацию в виде графа, вершинами которого служат найденные в сети маршрутизаторы, серверы и рабочие станции.

Пользователям персональных компьютеров типа Macintosh можно посоветовать обратить внимание на программные пакеты МасТСР Watcher (http://waldo.wi.mit.edu/WWW/toolsMil/Mac/MacTCPJWatcher), QueryIt! (http://tucows.online.ru/mac/adnload/dlqueryitmac.html) и WhatRoute (http://homepages.ihug.co.nz/ bryanc).

Рис. 4.1. Основное рабочее окно программного пакета NetScan Tools

  Рис. 4.2. Основное рабочее окно программного пакета Network Toolbox

  Рис. 4.3. Основное рабочее окно программного пакета TCP/IP Surveyor

Лекции по информатике