Болтушкин Л.С., группа 712-2, лабораторная 1
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
ДИСКРЕЦИОННЫЙ И МАНДАТНЫЙ МЕХАНИЗМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА К ФАЙЛОВЫМ ОБЪЕКТАМ В ОПЕРАЦИОННОЙ СИСТЕМЕ ASTRA LINUX
Отчет по лабораторной работе №1
по дисциплине «Программно-аппаратные средства защиты информации»
Выполнил:
Студент гр. 712-2
_______ Л.С. Болтушкин
_______ 2026
Руководитель
Преподаватель кафедры КИБЭВС
_______ С.А. Пашкевич
_______ 2026
Введение
Целью данной лабораторной работы является изучение и приобретение навыков обеспечения информационной безопасности автоматизированных систем с помощью механизмов дискреционного и мандатного управления доступом, реализованных в ОС «Astra Linux Special Edition».
1 ХОД РАБОТЫ
1 Дискреционное разграничение доступа
Была запущена виртуальная машина Astra Linux и после загрузки ОС выполнен вход под высоким уровнем целостности (рисунок 1.1).
Рисунок 1.1 – Авторизация под локальной учетной записью
Для применения дискреционных правил разграничения доступа были созданы пользователи с именами «user1» и «user2» (рисунок 1.2).
Рисунок 1.2 – Создание локальных учетных записей
Далее для настройки прав доступа пользователей к общему каталогу была создана общая директория через терминал и добавлен пользователь «user1» в данную группу (рисунок 1.3).
Рисунок 1.3 – Ввод команд для создания общей папки и добавления пользователя
Аналогичным образом в данную группу был добавлен пользователь «astra-admin» и выданы максимальные права, для использования общей директории (рисунок 1.4).
Рисунок 1.4 – Разрешение общей папки
Помимо задания прав доступа к объектам в консоли можно задавать права с помощью графического интерфейса утилиты «Менеджер файлов». В папке «share» была создана новая папка с именем «Конфиденциально» и установлены дискреционные права доступа (рисунок 1.5).
Рисунок 1.5 – Предоставление прав для пользователей к папке
На рисунке 1.6 представлено создание текстового документа.
Рисунок 1.6 – Создание документа
К субъектам доступа данного документа были добавленные созданные локальные пользователи – user1 и user2 (рисунок 1.7).
Рисунок 1.7 – Добавление субъектов
Далее данным пользователям выданы определенные права доступа (рисунок 1.8).
Рисунок 1.8 – Предоставление прав для пользователей
Все изменения были сохранены и совершен выход из учетной записи astra-admin, после чего выполнен вход в user1 для проверки созданных прав пользователей. В недавно созданном документе внесены изменения (рисунок 1.9).
Рисунок 1.9 – Внесение изменений в документ
При попытке сохранения система выдала ошибку, так как пользователю были выданы права только на чтение (рисунок 1.10).
Рисунок 1.10 – Ошибка доступа
Была совершена авторизация под учетной записью user2, где также внесены правки в документ «Приказ», но теперь при сохранении всё прошло успешно, так как пользователь user2 имеет право на изменение документа (рисунок 1.11).
Рисунок 1.11 – Внесение изменений в документ
Теперь дискреционные атрибуты документы были изменены в консоли, проверка внесенных изменений представлена на рисунке 1.12.
Рисунок 1.12 – Проверка изменений атрибутов
2 Мандатное разграничение доступа
На рисунке 2.1 заданы 2 мандатных категории доступа, переименовав уже имеющиеся в «ПДн» - персональные данные и «Бух» - бухгалтерские документы.
Рисунок 2.1 – Настройка мандатных категорий
Далее изменены названия иерархических уровней в разделе «Уровни конфиденциальности» на «Общедоступно», «Секретно» и «Совершенно секретно» (рисунок 2.2).
Рисунок 2.2 – Настройка мандатных уровней конфиденциальности
Пользователю user1 настроены возможные уровни конфиденциальности и задана категория ПДн без минимального уровня (рисунок 2.3).
Рисунок 2.3 – Настройка мандатного разграничения доступа
Совершен вход под учетной записью user1 и под уровнем конфиденциальности убрана категория ПДн (рисунок 2.4).
Рисунок 2.4 – Авторизация под уровнем конфиденциальности «Секретно»
После входа в систему в панели задач в правом нижнем углу отображается текущий уровень конфиденциальности. Если уровень допуска пользователя выше, чем уровень конфиденциальности файла или каталога, не допускается передача информации на «нижние» уровни, т.е. утечка информации с потерей конфиденциальности.
Открыта папка «/share/Конфиденциально» и совершена попытка создания нового документа в данной папке, создание новых документов запрещено, поскольку уровень конфиденциальности папки «Общедоступно» меньше текущего уровня конфиденциальности сессии пользователя (рисунок 2.5).
Рисунок 2.5 – Ошибка при создании файла
При попытке создать текстовый документ на рабочем столе, он будет создан, так как для каждого уровня конфиденциальности создается собственный рабочий стол пользователя (рисунок 2.6).
Рисунок 2.6 – Создание документа на рабочем столе
Далее совершен вход в систему с учетной записью user1 под уровнем общедоступно с меткой ПДн и как можно заметить, то на рабочем столе уже отсутствует созданный раннее документ, так как сменился уровень конфиденциальности сессии (рисунок 2.7).
Рисунок 2.7 – Рабочий стол под уровнем конфиденциальности «Общедоступно»
Был создан еще раз текстовый документ на рабочем столе и открыты свойства документа, где просмотрены все метки, присвоенные ему (рисунок 2.8).
Рисунок 2.8 – Мандатные метки созданного документа
Также настройка параметров мандатного управления доступом и мандатного контроля целостности возможен через терминал.
На рисунке 2.9 можно заметить 2 команды – первая выводит уровни доступа в системе, вторая неиерархические категории в системе.
Рисунок 2.9 – Уровни доступа и неиерархические категории в системе
Далее просмотрены параметры текущей сессии МД и КЦ, переименован уровень конфиденциальности и присвоены всевозможные привилегии пользователю user1 (рисунок 2.10).
Рисунок 2.10 – Просмотр параметров текущей сессии, переименование уровня конфиденциальности и присвоение привилегий пользователю
На рисунке 2.11 используется команда для сброса всевозможных привилегий для пользователя user1.
Рисунок 2.11 – Использование команды «usercaps» с флагом -z
Далее пользователю user1 был установлен минимальный уровень конфиденциальности «Общий» и максимальный «Секретный», минимальную и максимальную категорию «Бух» (рисунок 2.12).
Рисунок 2.12 – Изменение мандатных уровней и категорий пользователя
3 Индивидуальное задание
Первым шагом была создана учетная запись, состоящая из ФИО и с помощью консоли заданы минимальный и максимальный уровни конфиденциальности (рисунки 3.1 – 3.2).
Рисунок 3.1 – Создание индивидуальной учетной записи
Рисунок 3.2 – Изменение уровней конфиденциальности
Далее созданы 2 документа от пользователя «user1» в папке «Конфиденциально» и добавлены права доступа к созданным документам, одному документу выдано разрешение на чтение, второму и чтение, и запись (рисунки 3.3 – 3.4).
Рисунок 3.3 – Созданный файл «file1» и его атрибуты
Рисунок 3.4 – Созданный файл «file2» и его атрибуты
Далее был изменен владелец второго файла на user2 через терминал (рисунок 3.5).
Рисунок 3.5 – Изменение владельца документа
На рисунке 3.6 представлена проверка успешной смены владельца.
Рисунок 3.6 – Проверка измененных атрибутов
Далее была создана папка в каталоге «Конфиденциально» и заданы права доступа к данной папке, а также с помощью консоли изменены уровни конфиденциальности и категории созданному пользователю (рисунки 3.7 – 3.8).
Рисунок 3.6 – Изменение атрибутов созданной папки
Рисунок 3.8 – Изменение уровней конфиденциальности и категорий
Заключение
В ходе выполнения данной лабораторной работы были приобретены навыки обеспечения информационной безопасности автоматизированных систем с помощью механизмов дискреционного и мандатного управления доступом, реализованных в ОС «Astra Linux Special Edition».
Томск 2026