- •Защита информации: аутентификация и разграничение доступа
- •Оглавление
- •Тема 1. Парольная защита документов Офиса 11
- •Тема 2. Разграничение доступа в Windows 44
- •Введение. Аутентификация (установление подлинности) и установление полномочий
- •Методы и принципы парольной защиты
- •Физические методы аутентификации
- •Установление полномочий
- •Матрица установления полномочий
- •Уровни полномочий
- •Тема 1. Парольная защита документов Офиса Лабораторная работа №1. Защита паролем документов Word Запрос пароля при открытии или изменении файла
- •Установка или снятие защиты документа, содержащего примечания и записи исправления
- •Защита полей электронной формы от изменений
- •Разрешение вопросов, связанных с паролями
- •Лабораторная работа №2. Защита паролем документов Excel Защита листа или книги паролем
- •Защита элементов книги и файлов
- •Снятие защиты и паролей
- •Лабораторная работа №3. Парольная защита баз данных в Microsoft Access Создание, изменение или удаление паролей
- •Настройка параметров запуска
- •Создание или изменение пароля учетной записи пользователя в базе данных Microsoft Access
- •Снятие пароля учетной записи пользователя
- •Защита на уровне пользователей
- •Общие сведения о защите на уровне пользователей
- •Тема 2. Разграничение доступа в Windows Лабораторная работа № 4. Парольная защита и разграничение доступа в Windows xp Защита паролем компьютера в ждущем и спящем режимах
- •Общие сведения об управлении доступом
- •Пароли и учетные записи пользователей
- •Библиографический список
- •Защита информации: аутентификация и разграничение доступа
- •620002, Екатеринбург, ул.Мира, 19
Установление полномочий
Иногда после осуществления процедуры установления подлинности могут быть проверены полномочия запросов, вводимых данным пользователем, терминалом или другим ресурсом.
Если дается разрешение на выполнение затребованного действия, то говорят, что объект, осуществляющий запрос, имеет полномочия по отношению к данному элементу данных. Элементом данных может быть файл, запись, поле, отношение или некоторая другая структура. Будет ли дано разрешение на доступ, зависит от нескольких факторов: прав пользователя на доступ, прав терминала на доступ, требуемого действия, самого элемента данных, значения элемента данных и ряда других.
Система обеспечения безопасности компьютерной системы поддерживает профили полномочий каждого пользователя, терминала, процедуры или другого ресурса, который осуществляет доступ к элементам данных. Эти профили устанавливаются в системе с помощью специальной привилегированной программы и их можно представить в виде матрицы установления полномочий.
Матрица установления полномочий
Матрица установления полномочий представляет собой двумерную таблицу, каждый элемент Aij определяет права i-го ресурса по отношению к j-му ресурсу. Пример матрицы установления полномочий приведен в табл. 1.
Таблица 1
Пример матрицы установления полномочий
Терминал |
Элемент данных |
|||||
ФИО |
Адрес |
Рег. номер |
Квалификация |
Оклад |
Личное транспортное средство |
|
Отдел кадров |
11 |
11 |
11 |
11 |
11 |
11 |
Касса |
01 |
00 |
01 |
00 |
11 |
00 |
Отдел снабжения |
00 |
00 |
00 |
00 |
00 |
00 |
Исследовательский отдел |
00 |
00 |
01 |
00 |
00 |
00 |
Стоянка автомобилей |
00 |
00 |
00 |
00 |
00 |
11 |
Здесь «01» означает право читать элемент данных; «10» – записывать; «11» – читать и записывать; «00» – доступ запрещен.
Элементы матрицы установления полномочий обычно содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу данных. Однако, если это требуется, элементы матрицы могут содержать указатели на процедуры. Эти процедуры исполняются при каждой попытке доступа с данного терминала к заданному элементу данных и могут принимать те решения о доступе, которые зависят от информации, представленной не столь очевидно, как в простой матрице доступа, приведенной выше. Приведем следующие примеры.
Разрешение о доступе основывается на истории доступов других ресурсов. Пользователь А может записывать данные в файл F только в том случае, если он не читал файл G.
Решение о доступе основывается на динамическом состоянии системы. Пользователь В может открыть файл H только в то время, когда база данных, в которой размещен файл, открыта.
Решение о доступе принимается на основе предписанного использования ресурса.
Решение о доступе основывается на текущем значении ресурса.
Решение о доступе основывается на значении определенных системных переменных (например, времени дня или даты).
Матрица установления полномочий является в действительности «сердцем» системы обеспечения безопасности. За счет включения большего или меньшего количества информации в матрицу можно варьировать сложность контрольных проверок.
Обычно матрица установления полномочий хранится как отдельный зашифрованный файл, и его строки помещаются в оперативную память только в случае необходимости. В качестве строк матрицы установления полномочий могут фигурировать пользователи или группы пользователей, а также программы или подсистемы. Колонками могут быть типы запросов.