КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Модель ЗИ
|
|
|
|
Взглянем на известную модифицированную модель Белла и Ла-Падула. В нее входят:
Субъекты — пользователи;
Объекты — защищаемые ресурсы (диски, каталоги и т. п.);
Диспетчер Доступа (ДД);
Матрица Прав Доступа (МПД);
Служба Аутентификации (СА);
Матрица Паролей (МП).
В любой компьютерной системе существует понятие идентификации — присвоения объекту или субъекту уникального имени-идентификатора, по которому его можно отличить от других объектов или субъектов:
Для объектов идентификатором является путь (напр. имя диска, путь к каталогу, путь к файлу). Путь зачастую задается субъектами (напр. имена каталогов и файлов).
Для субъектов идентификатором является т. н. логин (имя субъекта). Список субъектов контролирует системный администратор,[8] он же назначает права доступа субъектов системы к ее объектам (модифицирует МПД). В некоторых реализациях систем ЗИ субъект (обычный пользователь) в зависимости от принадлежности к той или иной группе пользователей (напр. группа администраторов в ОС семейства Microsoft Windows NT) может сам создавать новых субъектов и модифицировать МПД. В других — субъект таких действий выполнять не может.
Как правило, вначале рабочего сеанса с системой происходит аутентификация (установление подлинности) — проверка того, является ли субъект действительно тем, за кого себя выдает. Для аутентификации широко используются:
Пароли — система запрашивает логин и пароль субъекта, которые передаются Службе Аутентификации. СА в свою очередь сверяет введенные данные с данными в Матрице Паролей. Если субъект с введенным логином существует и введенный пароль совпадает с паролем в МП — выполняется вход в систему, иначе — отклоняется(подробнее смотри «Пароли и параметры их стойкости»);
|
|
|
Биометрические системы контроля — анализ клавиатурного почерка, считывание отпечатков пальцев, верификация голоса, сканирование сетчатки глаза, считывание геометрии рук, распознавание подписи и т. п.;
Электронные и физические ключи, магнитные карты и т. п.
Основное действие, происходящее при любом обращении субъекта к объекту: определение полномочий — установка в какой мере проверяемому субъекту дано право обращаться к защищаемому объекту. В общем случае это выглядит так: некий субъект (пользователь) обращается к объекту (напр. хочет просмотреть содержимое католога). При обращении, управление передается Диспетчеру Доступа, а также информация о субъекте, объекте и затребованном действии (чтение, запись, просмотр и т. п.). ДД обращается в МПД и определяет права доступа субъекта по отношению к объекту. Если права на затребованное действие имеются — действие выполняется, иначе — оное отклоняется.
Т.е. как таковая работа с абстрактной КС может выглядеть так:
1. Идентификация пользователя. Происходит в первый раз работы с системой.
2. Аутентификация. Происходит в начале каждого рабочего сеанса с системой.
3. Цикл нижеприведенных действий выполняется постоянно при любом обращении к любому объекту системы в течении рабочего сеанса:
а. Определение полномочий.
б. Регистрация результата в журнале событий. (смотри «Регистрация событий в системе»).
4. Выход из системы. Происходит в конце каждого рабочего сеанса с системой.
Пароли и параметры их стойкости
Пароль — строка символов, введенных с клавиатуры. Самый простой, удобный и дешевый метод аутентификации. Однако в этом случае возникает проблема * возможного угадывания или кражи паролей.
Эффективность пароля принято оценивать т. н. ожидаемым безопасным временем раскрытия его методом перебора. [9] Это время рассчитывают по формуле:
|
|
|
Tб =1/2 N * t = 1/2 AS * E/R,
где N — число возможных паролей, t — время ввода одного набора, A — число символов алфавита конечного пароля, S — длина пароля, E — количество символов, требуемое для ввода пароля с учетом служебных клавиш Enter…Shift, R — скорость ввода символов.
Т.о. можна вывести основные параметры стойкости паролей:
Длина пароля. Чем длиннее пароль — тем сложнее и дольше его взломать. В этом случае возрастает количество возможных комбинаций пароля. Длина пароля должна быть не менее 16 символов для относительно надежной защиты от метода перебора.
Количество символов в алфавите. Аналогичный эффект вышеприведенному.
|
|
|
|
|
Дата добавления: 2014-12-26; Просмотров: 426; Нарушение авторских прав?; Мы поможем в написании вашей работы!