КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Контроль доступа к ресурсам
|
|
|
|
Основу принципов контроля доступа к ресурсам составляет задание и разграничение прав на основании определенных правил доступа субъектов (пользователей) и объектов. Чаще всего объектами являются файловые системы. При этом любой процесс, запускаемый пользователем, наследует права доступа пользователя, его запустившего. Однако, именно процесс может нести в себе уязвимость несанкционированного доступа к информации. Это может происходить по нескольким причинам. Во-первых, процесс может обладать недекларированными (документально не описанными) свойствами, в частности, это процессы, являющиеся средой исполнения (прежде всего, виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов), во-вторых, процесс может быть скомпрометирован – содержать ошибки, использование которых позволяет осуществить несанкционированный доступ к информации.
Таким образом, может быть обозначена проблема осуществления контроля доступа к ресурсам с учетом доверия к процессам, а также с учетом решаемых задач и особенностей функционирования процесса. Для ее решения предлагается управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс (рисунок 2). Могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
· разграничение прав доступа к объектам процессов вне разграничений пользователей;
· разграничение прав доступа к объектам пользователей, вне разграничений процессов;
· комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей.
|
|
|
Рис. 2. Схема алгоритма анализа прав доступа к ресурсам
Применение данного подхода позволяет устанавливать и анализировать для субъекта "процесс" права доступа к ресурсам как для самостоятельного субъекта доступа, а также осуществлять распределение задач между администратором безопасности и системным администратором. До тех пор, пока активна система защиты информации от несанкционированного доступа, системный администратор сможет выполнять только те функции, которые ему разрешены администратором безопасности.
Важным условием корректности реализации любого механизма, реализующего разграничительную политику доступа к ресурсам, является реализация системой защиты разрешительной разграничительной политики (принцип "Все, что не разрешено (явно не прописано), то запрещено"). Для упрощения настроек механизма, процессы, как субъекты доступа, могут задаваться не только своими полными путями, но и именами папок (тогда заданные разграничения действуют на все процессы, запускаемые из папки, для которой установлены разграничения), либо масками.
Таким образом, данным механизмом защиты могут устанавливаться права доступа на использование сервиса олицетворения для скомпрометированных процессов, для процессов, запускаемых с правами привилегированных пользователей, и системных процессов. В последнем случае появляются новые возможности по управлению функционированием системы. При этом системным процессам можно разграничивать права доступа к ресурсам, что в совокупности предоставляет весьма широкие возможности по реализации дополнительных свойств защиты.
Заключение
Для предотвращения проникновения злоумышленника к информации применяют различные методы защиты, в том числе, регулирование использования всех информационных ресурсов, проведение мероприятий по выявлению каналов утечки, физический поиск, визуальный осмотр и другое. Кроме того, технологии применения кодов и разграничения доступа к ресурсам в современных условиях преследуют цели защиты информации, сокращения трудозатрат и обеспечения быстроты ее обработки, экономии компьютерной памяти, формализованного описания данных на основе их систематизации и классификации.
|
|
|
Список литературы.
1) Щеглов А.Ю. Компьютерная безопасность. Вопросы комплексирования. Системный подход к построению системы защиты информации от несанкционированного доступа. http://www.itsec.ru/articles2/Inf_security/voprosy-kompleksirovaniya (дата обращения: 21.03.2011).
2) Горбенко И.Д., Качко Е.Г., Потий, А.В. Решения и средства защиты информации. М.: «Форум-ИнфраМ», 2004. 528-533 с.
3) Спесивцев А. В. [и др.]. Защита информации в персональных компьютерах. М.: «Радио и связь», 1992. 140-149 с.
|
|
|
|
|
Дата добавления: 2015-05-07; Просмотров: 1223; Нарушение авторских прав?; Мы поможем в написании вашей работы!