- •Введение
- •Введение в основы защиты информации
- •1.1. Основные направления защиты информации
- •1.2. Информация как предмет защиты
- •1.3. Основные угрозы компьютерной безопасности
- •1.5. Способы мошенничества в информационных системах
- •2. Классификация методов и средств защиты информации
- •2.1. Методы защиты информации
- •2.2. Классификация средств защиты информации
- •2.3. Организационные средства защиты информации
- •2.4. Законодательные средства защиты информации
- •2.5. Физические средства защиты данных
- •2.6. Аппаратные и программные средства защиты информации
- •Программно-аппаратные средства защиты
- •2.7. Требования к комплексным системам защиты информации
- •Стандарты безопасности кс
- •3. Криптографические методы и средства защиты данных
- •3.1. Общие определения
- •3.2. Общие сведения о криптографических системах
- •3.3. Методы шифрования
- •Алфавиты исходного и шифротекста
- •Шифрование с помощью ключа «Ключ»
- •Шифрование с автоключом при использовании открытого текста
- •Шифрования с автоключом при использовании
- •Используем следующую замену:
- •4. Современные симметричные и асимметричные криптосистемы
- •4.1. Стандарт шифрования данных (des)
- •Функция расширения е
- •4.2. Основные режимы работы алгоритма des
- •4.3. Криптографическая система гост 28147-89
- •4. Последовательность битов блока открытого текста
- •С обратной связью
- •В результате получают блоки открытых данных
- •4.4. Асимметричные криптографические системы
- •4.5. Криптосистема шифрования данных rsа
- •Получает
- •Получает
- •4.6. Криптосистемы Диффи-Хеллмана и Эль-Гамаля
- •4.7. Электронная цифровая подпись и ее применение
- •5. Защита информации в ос
- •5.1. Дискреционное управление доступом к объектам компьютерных систем
- •5.2. Мандатное управление доступом к объектам компьютерных систем
- •5.3. Классы защищенности
- •5.4. Подсистема безопасности защищенных версий
- •5.5. Разграничение доступа субъектов к объектам кс
- •6. Алгоритмы аутентификации пользователей
- •6.1. Способы аутентификации пользователей в кс
- •6.2. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •6.3. Аутентификация пользователей по их биометрическим характеристикам
- •6.4. Способы аутентификации, основанные на особенностях клавиатурного почерка и росписи мышью пользователей
- •6.5. Двухфакторная аутентификация
- •7.2. Межсетевой экран и политика сетевой безопасности
- •7.3. Основные компоненты межсетевых экранов
- •7.4. Основные схемы сетевой защиты на базе межсетевых экранов
- •7.5. Защищенные сетевые протоколы
- •8.2. Методы обнаружения и удаления вирусов
- •Методы защиты от программных закладок
- •8.4. Принципы построения систем защиты от копирования
- •8.5. Методы защиты от копирования
- •Заключение
- •Библиографический список
- •Оглавление
- •Учебное издание
- •394026 Воронеж, Московский просп., 14
5. Защита информации в ос
5.1. Дискреционное управление доступом к объектам компьютерных систем
Все элементы КС разделяются на множество субъектов и объектов. Понятие субъекта отличается от понятия пользователя КС. Пользователь КС – это физическое лицо, обладающее некоторой идентифицирующей его информацией. Возможны псевдопользователи, например, сама система. Пользователь управляет работой субъекта с помощью его интерфейсных элементов (команд меню, кнопок и т.п.).
Дискреционное управление доступом (Discretionary Access Control, DAC) к объектам КС предполагает выполнение следующих требований:
все субъекты и объекты КС должны быть однозначно идентифицированы;
для любого объекта КС должен быть определен пользователь-владелец;
владелец объекта должен обладать правом определения прав доступа к объекту со стороны любых субъектов КС;
в КС должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).
Последнее свойство определяет невозможность существования в КС потенциально недоступных объектов, владелец которых отсутствует.
Дискреционное управление доступом к объектам КС реализуется обычно в виде матрицы доступа, строки которой соответствуют субъектам КС, а столбцы – ее объектам. Элементы матрицы доступа определяют права доступа субъектов к объектам. В целях сокращения затрат памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого из них создается список всех объектов, к которым разрешен доступ со стороны данного субъекта) или в виде списков контроля доступа (для каждого объекта КС создается список всех субъектов, которым разрешен доступ к данному объекту).
К достоинствам дискреционного управления доступом к объектам КС относятся относительно простая реализация (проверка прав доступа субъекта к объекту производится в момент открытия этого объекта в процессе субъекта) и хорошая изученность (в наиболее распространенных ОС универсального назначения применяется разграничение доступа на основе дискреционного управления).
Недостатки дискреционного управления доступом к объектам КС.
1. Статичность разграничения доступа – права доступа к уже открытому субъектом объекту в дальнейшем не изменяются, независимо от изменения состояния КС.
2. При использовании дискреционного управления доступом к объектам КС не существует возможности проверки, не приведет ли разрешение доступа к объекту для некоторого субъекта к нарушению безопасности информации в КС (например, владелец файла с конфиденциальной информацией, дав разрешение на его чтение другому пользователю, делает этого пользователя фактически владельцем защищаемой информации). Иначе говоря, дискреционное управление доступом к объектам КС не обеспечивает защиты от утечки конфиденциальной информации.
3. Дискреционное управление доступом к объектам КС не позволяет обеспечить надежную защиту от проникновения в КС вредоносных программ. Что может произойти при передаче прав доступа к объекту.
4. Автоматическое назначение прав доступа субъектам (из-за большого числа объектов в КС в качестве субъектов доступа остаются только пользователи КС, а значение элемента матрицы доступа вычисляется с помощью функции, определяющей права доступа порожденного пользователем субъекта к данному объекту КС).