Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Реализация моделей доступа механизмами добавочной и встроенной защиты.
По способу реализации системы зашиты компьютерной информации от НСД принято подразделять на встроенные и добавочные. Под встроенной понимается система защиты, механизмы которой встроены в соответствующее функциональное ПО (системное и прикладное), являются его неотъемлемой частью и реализуют дополнительную для данного ПО функцию — обеспечение защиты компьютерной информации. Под добавочной понимается система защиты, основное функциональное назначение которой является решение задач защиты информации. Используется добавочная система совместно с функциональным ПО и имеет своей целью усиление защитных свойств встроенных в ПО механизмов. Изначально средства добавочной зашиты появились для незащищенных ОС, не обладающих втроенными механизмами зашиты. Сначала это были системы для ОС семейства DOS, затем для ОС семейства Windows 9х. К ним могут быть отнесены системы зашиты: "Secret Net 4.0", "Dallas Lock 4.1". «Аккорд-АМДЗ» и другие. Общие положения по реализации управления доступом 1. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа. Под мандатным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объектов доступа в соответствии с заданными правилами. Субъект доступа «ПРОЦЕСС» и его учет при разграничении доступа Основные положения 1. Ввиду того, что в схеме управления доступом присутствуют два субъекта доступа «ПОЛЬЗОВАТЕЛЬ» и «ПРОЦЕСС», с целью корректного решения задачи управления доступом к ресурсам следует осуществлять разграничения для обоих этих субъектов доступа. 2. Необходимо учитывать, что процесс может запускаться и не с правами текущего пользователя, то есть в системе существуют привилегированные (системные) процессы. В связи с этим для корректной реализации управления доступом должны предусматриваться следующие схемы разграничений для субъектов доступа: • Разграничение прав доступа к объектам процессов вне разграничений пользователей. • Разграничение прав доступа к объектам пользователей вне разграничений процессов. • Комбинированное разграничение прав доступа — разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей) Субъект доступа ≪процесс≫ является вторичным по отношению к субъекту доступа ≪пользователь≫. В отличие от субъекта ≪пользователь≫ он может либо присутствовать, либо отсутствовать в схеме разграничения прав доступа. Следуя определению канонической модели, можем сделать вывод, что включение в схему управления субъекта доступа «процесс» позволяет в системе локализовать объекты доступа (например, области дисковой памяти, устройства и т.д.) для отдельных приложений и иных групп процессов. Верно и обратное: можно локализовать процессы (приложения) для отдельных объектов доступа (данных). Диспетчер доступа. Разграничение доступа осуществляется центральным элементом системы зашиты - диспетчером доступа. Диспетчер доступа идентифицирует субъекты, объекты и параметры запрашиваемого доступа субъектом к объекту. Диспетчер доступа предоставляет запрашиваемый доступ или запрещает его. Идентифицирующую информацию субъектов и объектов доступа принято называть учетной информацией. Правила, на основании которых диспетчер доступа принимает решение о предоставлении (либо отказе) субъекту доступа к объекту, называют правилами (или политикой) разграничения доступа. Требования, предъявляемые к диспетчеру доступа - диспетчер доступа должен обеспечивать корректность и однозначность реализации разграничительной политики доступа к ресурсам; - диспетчер доступа должен выполнять требования к полноте реализации разграничительной политики доступа, то есть управление доступом должно быть применимо к каждому объекту и каждому субъекту; - диспетчер доступа должен обнаруживать как явные, так и скрытые действия субъекта при доступе к объекту, т.е. противодействовать как явным, так и скрытым угрозам НСД к ресурсам. Под «явными» подразумеваются действия, осуществляемые с использованием санкционированных системных средств, а под «скрытыми» — иные действия, в том числе с использованием собственных программ субъекта; - диспетчер доступа должен обеспечивать реализацию централизованной схемы администрирования; -диспетчер доступа должен содержать в своем составе средства управления, ограничивающие распространение прав на доступ. При практической реализации схемы управления доступом важнейшими вопросами являются: 1. Обоснование корректности реализуемого диспетчером доступа механизма управления доступом и полноты механизмов, реализуемых диспетчером доступа. Без возможности обоснования корректности механизма управления доступом к ресурсам невозможно говорить об эффективности системы зашиты. 2. Разработка подходов к противодействию «скрытым» каналам не-санкционированного доступа к ресурсам (в обход диспетчера доступа, при условии корректной реализации им механизма управления доступом к ресурсам). |
||
Последнее изменение этой страницы: 2018-04-12; просмотров: 436. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |