Информационная безопасность

Примеры решения задач
контрольной работы
Электротехника
Общая электротехника
Примеры решения задач
Физика
Методичка
Лекции и конспекты
Лабораторные работы
Телевидение лабораторные
Расширенный конспект лекций
по курсу «Физика»
Примеры решения задач по физике
Измерительные системы
Лекции по термодинамике
Двигатели внутреннего сгорания
Механика, термодинамика
Атомная энергетика
Атомные электрические станции
Описание реакторной установки
Реакторы типа РБМК-1000
Физические принципы атомной энергетики
Черчение
Инженерная графика
Сопромат
Выполнение курсовой работы по сопромату
Машиностроительное черчение
Архитектурные стили
Французский стиль в русской архитектуре
Искусство борокко
Готика Франции
Эпоха Возрождения
Романский стиль
Художественная роспись тканей
Ручная роспись тканей
Роспись тканей в Японии
Декоративное искусство Японии
Японские мотивы в тканях модерна
Холодный батик
Математика
Дифференциальные уравнения
Ряды
Интегралы
Примеры вычисления интегралов
Элементарная математика
Высшая математика -
лекции , примеры решения задач
Информатика
Информационная безопасность
Модели управления доступом
Разграничение доступа
Вычислительные комплексы
Учебник по информатике
Общие принципы построения
вычислительных сетей
Основы передачи дискретных данных
Базовые технологии локальных сетей
Построение локальных сетей по
стандартам физического
и канального уровней
Сетевой уровень
Глобальные сети
Средства анализа и управления сетями
Почтовые программы
Примеры скриптов на JavaScript
Примеры программирования на Java
Иллюстрированный самоучитель по Java

Угрозы преодоления разграничительной политики доступа к ресурсам

Противодействие угрозам современными ОС Практический анализ современных ОС в контексте принятой классификации угроз преодоления разграничительной политики доступа

Структура диспетчера доступа. Требования к механизмам управления доступом к ресурсам

Следуя формализованным требованиям к механизмам управления доступом к ресурсам, могут быть сформулированы требования к диспетчеру доступа

Каноническая модель управления доступом. Условие корректности механизма управления доступом

Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия каналов обмена информацией.

Однако такая возможность должна предусматриваться Модель управления доступом с взаимодействием субъектов доступа посредством выделенного канала

Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием только существующих объектов доступа без включения в систему дополнительных объектов.

Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов Выше были рассмотрены различные модели управления доступом.

С учетом сказанного, можем сделать следующие выводы относительно различия и общности альтернативных моделей:

В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и множеств объектов (групп объектов).

При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним.

Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами-обладателями

Очевидно, что различные механизмы, реализующие одну и ту же модель управления доступом, по свой сути идентичны. Их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа

В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом

Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа

Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности.

Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом.

Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа

Ввиду максимальной интуитивной понятности наиболее используемым на сегодняшний день механизмом задания меток безопасности является задание меток на основе уровня конфиденциальности информации и уровня прав доступа (допуска). При этом метки безопасности принято называть метками конфиденциальности.

Правила назначения меток безопасности иерархическим объектам доступа

Реализация данного подхода позволяет сформулировать следующие общие правила назначения меток безопасности иерархическим объектам доступа.

Обоснование корректности механизма мандатного управления доступом к иерархическим объектам

Примеры назначения меток безопасности

Настройка мандатного механизма управления доступом с иерархической структурой объектов доступа отличается от настройки мандатного механизма управления доступом с неиерархической структурой

Теперь проведем анализ возможности корректной реализации моделей управления доступом встроенными в ОС механизмами защиты. Мандатный механизм современными универсальными ОС не реализуется в принципе (данная возможность может быть обеспечена исключительно средствами добавочной защиты)

Теперь остановимся на рассмотрении возможностей по реализации приведенных моделей встроенными в ОС средствами. Общим здесь будет то, что «владельцем» любого создаваемого файла должен являться «администратор безопасности».

Выше мы рассматривали возможность реализации канонической модели, характеризуемой полным разграничением доступа. Теперь рассмотрим, какие типы каналов взаимодействия субъектов доступа могут быть реализованы для ОС семейства UNIX.

Особенность реализации мандатного механизма управления доступом состоит в том, что все субъекты и объекты доступа должны быть помеченными (им должна быть назначена метка безопасности)

Управление доступом к устройствам и отчуждаемым накопителям (дискетам, CD-R0M-дискам)

Определим способы разметки (назначения меток безопасности) ресурсов. Размечаться могут как собственно устройства (например, дисковод), так и накопители, размещаемые в устройстве (например, дискета).

Разметка накопителя для возможности сохранения на нем объектов только одного уровня. На накопителе (например, дискете, размещаемой в дисководе А:) санкционированным пользователем создается новый объект — каталог (или файл). Объект помечается, то есть ему присваивается имя.

В разделяемых сетевых ресурсах — устройствах и файловых объектах (общих папках), как в объектах файловой системы, могут быть реализованы все рассмотренные выше возможности, т.е. дискреционный и мандатный механизмы разграничения прав доступа.

Альтернативный подход состоит в реализации управления доступом к разделяемым ресурсам на компьютере, с которого осуществляется доступ.

Субъект доступа «ПРОЦЕСС» и его учет при разграничении доступа Выше рассматривались классические схемы управления доступом к ресурсам, реализуемые на основе дискреционного и мандатного механизмов управления доступом. В качестве субъекта доступа для них понимается «ПОЛЬЗОВАТЕЛЬ».

При этом доступ к объектам, в соответсвии с заданными правилами, разграничивается именно для пользователей. Итак, в общем случае следует различать два вида субъекта доступа - «пользователь» и «процесс». Обозначения используемых на схеме функциональных блоков

Машиностроительное черчение, инженерная графика, начертательная геометрия. Выполнение контрольной