Информационная безопасность Права доступа

Примеры решения задач
контрольной работы
Электротехника
Общая электротехника
Примеры решения задач
Физика
Методичка
Лекции и конспекты
Лабораторные работы
Телевидение лабораторные
Расширенный конспект лекций
по курсу «Физика»
Примеры решения задач по физике
Измерительные системы
Лекции по термодинамике
Двигатели внутреннего сгорания
Механика, термодинамика
Атомная энергетика
Атомные электрические станции
Описание реакторной установки
Реакторы типа РБМК-1000
Физические принципы атомной энергетики
Черчение
Инженерная графика
Сопромат
Выполнение курсовой работы по сопромату
Машиностроительное черчение
Архитектурные стили
Французский стиль в русской архитектуре
Искусство борокко
Готика Франции
Эпоха Возрождения
Романский стиль
Художественная роспись тканей
Ручная роспись тканей
Роспись тканей в Японии
Декоративное искусство Японии
Японские мотивы в тканях модерна
Холодный батик
Математика
Дифференциальные уравнения
Ряды
Интегралы
Примеры вычисления интегралов
Элементарная математика
Высшая математика -
лекции , примеры решения задач
Информатика
Информационная безопасность
Модели управления доступом
Разграничение доступа
Вычислительные комплексы
Учебник по информатике
Общие принципы построения
вычислительных сетей
Основы передачи дискретных данных
Базовые технологии локальных сетей
Построение локальных сетей по
стандартам физического
и канального уровней
Сетевой уровень
Глобальные сети
Средства анализа и управления сетями
Почтовые программы
Примеры скриптов на JavaScript
Примеры программирования на Java
Иллюстрированный самоучитель по Java

Разграничение доступа к системному диску

Для ОС Windows NT/2000, в которых различают пользовательские и системные процессы встроенными в ОС средствами, а также для ОС UNIX, где системные процессы запускаются с правами «root», рассматриваемая проблема имеет иное трактование.

Введем в схему управления доступом субъект доступа «процесс». Разделим процессы на системные и пользовательские.

При этом для системных процессов установим режим эксклюзивной проверки прав доступа (вне анализа прав доступа пользователей). Этим процессам разрешим в простейшем случае полный доступ только к системному диску («на запись» и «на чтение») и запретим доступ к каталогам пользователей. Отметим, что в общем случае доступ «на запись» к системному диску может потребоваться разрешить не только системным процессам, но и некоторым процессам приложений. Например, если в системе реализуется добавочная система защиты, которая располагается на системном диске, то ее процессам потребуется обращаться к системному диску «на запись».

Запрещать доступ к системному диску «на запись» следует не только с целью обеспечения корректности реализации управления доступом (отсутствуют несанкционированные каналы взаимодействия субъектов доступа), но и с целью предотвращения модификации файловых объектов ОС.

Без защиты ОС от модификации пользователями вообще нельзя говорить о какой-либо защите информации на компьютере. Все сказанное выше по поводу разграничения доступа к системному диску относится и к настроечному реестру ОС. При этом объектами доступа здесь являются ветви и ключи реестра (по аналогии с файловыми объектами). В данных объектах находятся настройки как собственно ОС, так и установленных на защищаемом компьютере приложений. Соответственно, доступ «на запись» пользователям к реестру ОС должен быть запрещен

. Ввод новых данных в систему при мандатном управлении доступом

Механизмы принудительного использования оригинальных приложений

Реализация активного симплексного канала взаимодействия субъектов доступа

Программа-проводник для реализации активного симплексного канала при назначении меток каталогам Локализация прав доступа стандартных приложений к ресурсам

Включение в схему управления доступом субъекта «ПРОЦЕСС» предоставляет широкие возможности по локализации прав доступа стандартных приложений к ресурсам, что, прежде всего, позволяет эффективно противодействовать скрытым угрозам.

Локализация прав доступа к ресурсам стандартных приложений со встроенными средствами защиты информации

Управление доступом, посредством назначения меток безопасности субъектам доступа «ПРОЦЕСС». Мандатный механизм управления доступом процессов к ресурсам защищаемого объекта

Возможности управления доступом на основе меток безопасности, назначаемых приложениям (процессам), рассмотрим на примере мандатного управленпя доступом к виртуальным каналам внешней сети.

Рассмотрим мандатный механизм управления доступом к виртуальным каналам сети связи в общем случае. При этом под виртуальным каналом связи будем понимать канал связи между двумя оконечными устройствами сети (защищаемыми компьютерами)

Допустим теперь, что защищаемый компьютер требуется подключить к сети Intranet (корпоративный виртуальный канал связи). При этом, как и в предыдущей задаче, на компьютере осуществляется обработка информации различных уровней конфиденциальности.

Пример практического использования Следует отметить, что в случае назначения метки безопасности процессам возникает проблема, которая отсутствует для ОС семейства Windows (в силу своих особенностей).

Связана эта проблема с тем, что в системе одновременно могут быть запущены несколько процессов с различными правами доступа к ресурсам (с различными метками безопасности) Особое место среди файловых объектов занимают исполняемые файлы (программы), доступ субъектов к которым также может разграничиваться.

Именно исполняемые файлы изначально порождают процессы. Поэтому в качестве разграничения доступа к процессам (как к объектам доступа) прежде всего следует разграничить доступ к исполняемым файлам.

Каноническая модель управления доступом к исполняемым файлам

Диспетчер доступа реализует механизм управления доступом к исполняемым файлам корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.

Каноническая полномочная модель управления доступом к исполняемым файлам

Механизм обеспечения замкнутости программной среды и его роль в системе защиты

Если вернуться к рассмотрению существующей статистики угроз, то можем сделать вывод, что подавляющая их часть требовала от пользователя запуска программного средства, реализующего данные угрозы.

Реализация механизма обеспечения замкнутости программной среды

Обеспечить замкнутость программной среды можно не непосредственно заданием списков разрешенных к запуску процессов, а областью дискового пространства (каталогом), откуда пользователю можно запускать процессы.

Работает система обеспечения замкнутости программной среды следующим образом.

Расширение возможностей механизма защиты обеспечения замкнутости программной среды состоит в том, чтобы и в качестве субъекта доступа, и в качестве объекта доступа рассматривать «ПРОЦЕСС»

Возможный подход к решению рассматриваемой проблемы заключается в технологии переадресации запросов доступа к объектам файловой системы (каталогам), не разделяемым системой между пользователями

Практическая реализация Как отмечали ранее, диспетчер доступа содержит в своем составе набор механизмов управления доступом к ресурсам защищаемого объекта.

Возникает проблема построения детальной модели диспетчера доступа в предположении, что корректно реализованы механизмы управления доступом, входящие в состав диспетчера.

Файловые объекты данных.

Машиностроительное черчение, инженерная графика, начертательная геометрия. Выполнение контрольной