Тема 3.2 Организация разноуровневого доступа в аис Организация логического доступа

Каждый пользователь в организации имеет свои уникальные требования, удовлетворение которых необходимо для того, чтобы он мог выполнять свою работу. Многие из этих требований связаны с информационными ресурсами и организацией доступа к ним. Типична ситуация, когда информация, необходимая для работы одного пользователя, не должна быть доступна другим сотрудникам.

Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи могут выполнять над (информацией, принтерами, сканерами, факсами, сетевыми ресурсами и т.п.). Логическое управлении доступом, в отличие от физического, реализуется программными средствами.

Логическое управление доступом — это основной механизм многопользовательских систем, призванный обеспечить доступность, конфиденциальность и целостность объектов. Одна из основных задач логического управления доступом состоит в том, чтобы для каждой пары "пользователь-объект" определить допустимые действия и контролировать выполнение установленного порядка.

Такого рода отношения можно представить в виде таблицы — матрицы доступа.

Логическое управление доступом — одна из самых сложных тем в области информационной безопасности. Само понятие объекта (так же как и понятие видов доступа) меняется от сервиса к сервису. Для операционной системы объектами доступа являются файлы, устройства и процессы. Для файлов и устройств обычно рассматриваются права на чтение, запись, исполнение (для программных файлов), иногда на удаление, изменение и добавление. Также отдельным правом может быть возможность передачи полномочий доступа.

Списки доступа — это основное и наиболее гибкое средство управления логическим доступом, используемое в современных информационных системах. С их помощью легко определить права доступа для каждого объекта с точностью до пользователя.

При наличии большого числа пользователей списки доступа в классическом виде становятся сложными для эффективного администрирования. В таких случаях применяется объединение пользователей в группы.

Для каждой группы пользователей определяются собственные права доступа к объектам.

Пользователь может одновременно находиться в нескольких группах, при этом права доступа складываются.

Предположим, что Группа 1 имеет доступ к папке Алиса, а Группа 2 – к папке Боб. Тогда Пользователь 2, состоящий сразу в обеих группах, будет иметь доступ как к папке Алиса, так и к папке Боб.

Правила, на основе которых строятся матрицы доступа, и организуется управление логическим доступом в целом, являются частью Политики Информационной Безопасности.

Что такое Chmod (777, 755, 666), синтаксис

Chmod является наименованием программы в linux, которая позволяет назначить права доступа объектам.

chmod — программа для изменения прав доступа к файлам и директориям. Название происходит от программы ОС Unix chmod, которая, собственно, изменяет права доступа к файлам, директориям и символическим ссылкам

В Windows фактически для всех файлов устанавливаются максимальные права доступа (Chmod),

Создавая файл, пользователь автоматически получает самые широкие права на делание с этим файлом чего угодно, его группа - несколько меньшие права, а все остальные - совсем ничтожные. В Unix есть только три основных права - читать файл или просматривать каталог («Read»), изменять файл или папку, записывая в неё что-нибудь, или вообще её удалять («Write»). Последнее право - право на запуск файла («eXecute»).

Существует три группы пользователей, права которых нас будут интересовать: владелец файла, группа и остальные пользователи.

Синтаксис Chmod для папок и файлов

Режим chmod может обозначаться в числовом или символьном формате. Например: 755, rwxrxrx, 644 и т.д.

Как вы уже поняли, символы r, w и x обозначают, соответственно, read, write и execute.

Права доступа (Chmod) к файлам подразделяются на:

r — право на чтение данных.

w — право на изменение содержимого (запись – только изменение содержимого, но не удаление).

x — право на исполнение файла.

Остановимся чуть подробнее на праве исполнения файла. Дело в том, что в linux (Unix), любой файл может быть исполнен. Является ли он исполнительным — определяется не по его расширению (понятие расширение отсутствует в файловой системе Unix), а по правам доступа Chmod. Если у какого-либо файла установлено право “X” (chmod x), то это означает, что его можно запустить на выполнение.

Теперь о правах доступа (Chmod) к папке (директории):

r — право на чтение директории (можно прочитать содержимое директории, т.е. получить список объектов, находящихся в ней)

w — право на изменение содержимого директории (можно создавать и удалять объекты в этой директории, причем если вы имеете право на запись, то удалять вы сможете даже те файлы, которые вам не принадлежат)

x — право, которое позволяет вам войти в директорию (это право всегда проверяется в первую очередь, и даже если вы имеете все нужные права на объект, который закопан глубоко в цепочке директорий, но не имеете права “X” для доступа хотя бы к одной директории на пути к этому файлу, то к нему вы так и не пробьетесь)

Синтаксис Chmod для групп пользователей

Сами права доступа (Chmod) подразделяются на три категории, в зависимости от того, кто обращается к объекту:

«user» — u (непосредственно владелец файла)

«group» — g (член той же группы, к которой принадлежит владелец)

«world» — o (все остальные)