Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Методы и Средства Защиты Информации
Файл:
Опорный конспект.docx
Скачиваний:
161
Добавлен:
17.06.2016
Размер:
587.55 Кб
Скачать
►Содержание►

Матричная модель доступа

Задача логического управления доступом состоит в том, чтобы:

  1. для каждой пары "субъект-объект" устанавливается перечень прав субъекта по отношению к объекту, например множество допустимых операций, представленных на рис.

  2. осуществляет контроль выполнение установленного порядка

Чтение( R)

Запись (W, A)

Выполнение (X)

Передача прав доступа другим пользователям

Запись с изменением содержимого файла (W)

Дописывание в файл (A)

Перечень правил, устанавливающих типы доступа субъектов к объектам оформляются в виде так называемых таблиц управления доступом –матриц доступа. В столбцах матрицы перечислены объекты, строках– субъекты, а в клетках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, так:

Табл. Фрагмент матрицы доступа

Объект Oj

Субъект (Si)

Реферат

lsass.exe

Х

rwx

--x

Y

---

--x

Дискреционный доступ (произвольное управление доступом)

Дискреционный доступ– метод доступа, позволяющий устанавливать правила доступа владельцем объекта (т.е. правом предоставления своих объектов другим пользователям). Подавляющее большинство ОС и СУБД реализуют дискреционный доступ.

Для описания матрицы доступа применяются [13] по отношению к объекту:

  • индивидуальные разрешения– определяет явное указание прав доступа между индивидуальными пользователями и ресурсами, что позволяет максимально детализовать установления прав доступа;

  • групповые разрешения–определяются между множеством пользователей, сгруппированных по определенному признаку и/или ресурсами (множеством упорядоченных файлов и каталогов). Групповые разрешения позволяют снизить расходы на хранение настроек разграничения доступа и упростить администрирование поскольку их легче контролировать при частых изменений прав доступа.

По отношению к атрибутам объекта:

  • Прямые разрешения доступа– присвоение объекту атрибутов разграничения доступа производится пользователем при его создании. Однако данный подход приводит к обременению пользователей обязанностями по выставлению прав доступа к своим объектам.

  • Наследуемые разрешения атрибуты разграничения доступа наследуются от владельца и обеспечивают автоматическую защиту создаваемых объектов по умолчанию.

Для формализованного описания правил разграничения используют списки управления доступом ACL (access control list), содержащие правила доступа к объекту, включая индивидуальные, групповые, прямые, наследуемые.

Недостатки:

1. Трудность администрирования матрицы доступа при большом количестве разнородных элементов.

2. Ко многим объектам возможен доступ с помощью разных сервисов (например к СУБД можно получить доступ путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой.).

3. Списки управления доступом ACL связаны с объектами доступа локально и копирование, передача по сети и т. д., не приведет к автоматическому восстановлению исходных параметров разграничения доступа.

4. Сложность организации работы с данными имеющими грифы секретности.

Соседние файлы в предмете Методы и Средства Защиты Информации
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности