- •Принятие решения о доступе
- •Контроль доступа к контекстно-зависимой информации
- •Механизм защиты в бд Microsoft Access.
- •Разновидности прав доступа Microsoft Access.
- •Разделение бд на группы защиты
- •Многоуровневая защита.
- •Назначение полномочий в бд.
- •Типовая процедура контроля доступа:
- •Тактики разрешения доступа
- •Механизмы защиты ос
- •Контроль доступа к данным в ос
- •Многоуровневая модель доступа в ос.
- •Модель разграничения доступа Белла – Лападулы.
- •1) Санкционированность доступа; 2) размер файла; 3) тип файла; 4) расположение на диске.
- •Безопасность сетевых ос
- •Механизмы защиты ос Novell NetWare
- •Защита в сетях (основа лекции 8, 9 за 5-ый семестр)
1) Санкционированность доступа; 2) размер файла; 3) тип файла; 4) расположение на диске.
UNIX распределяет права доступа относительно трех операций над файлами – чтение, запись и выполнение. Выполнение приводит либо к загрузке файла в ОП, либо к выполнению содержащегося в файле команд системного монитора SHELL.
Разрешение на выполнение каталога означает, что в нем разрешен поиск с целью формирования полного имени на пути к файлу. Любой из файлов ОС UNIX имеет определенного владельца и привязан к определенной группе пользователей. Файл наследует принадлежность к группе от процесса, который породил этот файл (и владельца тоже). Владелец и группа пользователей считаются владельцами этого файла. По отношению к конкретному файлу все процессы делятся на 3 категории:1) владелец файла; 2) члены группы владельца файла; 3) прочие. Каждый файл содержит 10 битный код защиты. Он располагается в индексном дескрипторе файла: 1 бит –тип файла, остальные 9 разделены по 3 и определяют права по трем категориям. Внутри по 3 символа, т.к. 3 вида операций (прав): чтение, запись, выполнение. Все значения, которые может принимать ячейка – 0 или 1. Если 0 – не исполняемый, 0 или 1 – можно читать, записывать, выполнять или нет. Пример: 1,110,000,001(rwe). (Сначала определяется категория, затем 3 символа, затем проверка.) Обработка доступа к файлу: определяется категория процесса, выбирается 3 символа, осуществляется проверка. Если доступ не разрешен, то запрет выдается ядром. Процессы с нулевыми идентификаторами имеют доступ к файлу по чтению и записи, соответственно, если имеется разрешение на выполнение файла, то привилегированный файл может выполнить этот файл. Команды изменения владельца файла и распределение привилегий: Change Mode – изменение кода защиты, Change Owner – изменение права на владение файлом, Change Group – изменение принадлежности к той или иной группе пользователей. Данные команды успешно могут выполнять только владельцы файлов или привилегированные пользователи.
Защита хранимых данных
Существует утилита Crypt – шифрует данные поступающие на стандартный ввод и отправляет их на (XYZ, не угадал) стандартный вывод. Шифрование осуществляется по вводимому ключу (это технология с закрытым ключом). Пароли шифруются, находятся в ядре.
Восстановление файловой системы
UNIX поддерживает 3 основных набора утилит копирования (восстановление файловой системы). Утилиты: volcopy/labelit (целиком перезаписывает файловую систему, проверяет с помощью проги labelit соответствие меток требуемых томов), dump/resbor (обеспечивает копирование лишь тех файлов, которые были записаны после определенной даты, вторая прога восстанавливает либо отдельные файлы, либо всю файловую структуру), cpio (создает архив всей файловой системы, т.е. создается один большой файл содержащий всю файловую систему или ее часть). Если происходит повреждение поверхности накопителя, то используется программа FSCK (ну чем не FUCK), FSDB. За сохранность файловой системы, ее адоптации к ПО ответственность несет администратор или суперпользователь.
Усовершенствование механизмов защиты в UNIX
Усложненное управление доступом
1) программа (утилита) cron – позволяет запускать пользовательские программы в определенные промежутки времени. Также может разрешаться установка идентификатора владельца – позволяет получать привилегии владельца файла на время выполнения программы. 2) есть возможность создавать защищенные процедуры, которые присваивает идентификатор владельца файла. 3) институт IEEE.POSIX – дальнейшее совершенствование UNIX – проект защищенной ОС POSIX, в рамках которого разработан интерфейс защиты или управляемого доступа. Интерфейс защиты заключается в следующем: 1) объект на который распространяется управляемый доступ – это файлы всех типов, в том числе программные каналы процесса; 2) файлы выступают в роли объектов, а процессы в роли субъектов; 3) различается доступ к объектам основанный на дискретном выборе и доступ, основанный на полномочиях. Дискретный традиционный, исходя из списков (составляются списки субъектов, доступ которых к объекту разрешен). Последний метод использует соответствие меток (приблизительно соответствует механизму замков и ключей). Вводится метки объектов и субъектов, и определяются доминирующие метки. Обычно создаваемый файл наследует метку от создавшего его процесса, на основании этих меток и осуществляется защита. Для дискретного доступа вводимые средства можно разделить: а) работа со списками доступа при дискретной защите; б) проверка права доступа; в) управление доступом на основе полномочий г) работа привилегированны пользователей. Определяются следующие классы субъектов и объектов: пользователь, группа пользователей, устройство, файловая система, процесс, очередь, машина, администратор, прочие.