Подсистема управления доступом

Подсистема управления доступом предназначена для защиты ПЭВМ от посторонних пользователей, управления доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.

Под посторонними пользователями понимаются все лица, не зарегистрированные в системе (не имеющие зарегистрированного в конкретной ПЭВМ персонального идентификатора). Защита от посторонних пользователей обеспечивается процедурами идентификации (сравнение предъявленного идентификатора с перечнем зарегистрированных на ПЭВМ) и аутентификации (подтверждение подлинности), которая обычно осуществляется путем ввода пароля определенной длины. Для идентификации пользователей в комплексах защиты от НСД наиболее часто используются персональные идентификаторы типа Touch Memory (Ibutton) DS 199X, смарт-карты, USB eToken.

В комплексах защиты от НСД могут быть реализованы два принципа управления доступом к защищаемым ресурсам: дискреционный и мандатный.

Дискреционный принцип управления доступом. Каждому зарегистрированному пользователю устанавливаются права доступа по принципу присвоения заданных характеристик доступа каждой паре «субъект-объект», которые прописываются в ПРД. При запросе пользователя на доступ обеспечивается однозначное трактование установленных ПРД и в зависимости от уровня полномочий пользователя разрешается или запрещается запрошенный тип доступа.

Данный вариант управления доступом позволяет для любого пользователя системы создать изолированную программную среду (ИПС), т.е. ограничить его возможности по запуску программ, указав в качестве разрешенных к запуску только те программы, которые действительно необходимы для выполнения пользователем своих служебных обязанностей. Таким образом, программы, не входящие в этот список, пользователь запустить не сможет. Подобную защиту обеспечивают все ПАСЗИ («SecretNet», «Аккоорд», СтражNT)

Зачастую дискреционной управление доступом организовано встроенными средствами операционной системы.

Мандатный принцип управления доступом. Принцип управления доступом к ресурсам ПЭВМ (аппаратным и программным), основанный на сопоставлении уровня конфиденциальности, при­сваиваемого каждому ресурсу, и полномочиях конкретного зарегистрированного пользователя по доступу к ресурсам ПЭВМ с заданным уровнем конфиденциальности.

Для организации мандатного управления доступом, для каждого пользователя системы устанавливается некоторый уровень допуска к конфиденциальной информации, а каждому ресурсу (каталоги, файлы, аппаратные средства) присваивается так называемая метка конфиденциальности.

При этом разграничение доступа к конфиденциальным каталогам и файлам осуществляется путем сравнения уровня допуска пользователя и метки конфиденциальности ресурса и принятии решения о предоставлении или не предоставлении доступа к ресурсу.

На будущее:подобную защиту можно реализовать в Linux без использования ПА-копслексов (пакет AppArmor, работы по дистрибутиву SELinux).

Дата добавления: 2014-01-07; Просмотров: 2083; Нарушение авторских прав?; Мы поможем в написании вашей работы!