Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет информационных технологий, механики и оптики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Uch.Posobie_new.doc
Скачиваний:
48
Добавлен:
09.11.2019
Размер:
2.66 Mб
Скачать
►Содержание►

3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам

Основу определения и классификации задач, которые должны решаться механизмами управления доступом к ресурсам в общем случае, составляет классификация субъектов и объектов (ресурсов) доступа на защищаемом объекте, в предположении, что должен разграничиваться доступ каждого субъекта к каждому объекту (это условие задается формализованными требованиями к системе защиты).

Прежде всего, введем общую классификацию субъектов и объектов доступа, которые потенциально могут присутствовать в защищаемой системе, общая классификация субъектов доступа приведена на рис.3.8, объектов доступа – на рис.3.9.

Субъекты доступа

Пользователи

Процессы

Рис.3.8. Общая классификация субъектов доступа

Горизонтальная связь на рис.3.8 отражает, что субъекты «ПОЛЬЗОВАТЕЛЬ» и «ПРОЦЕСС» не могут рассматриваться абсолютно независимо, т.к. запрос доступа к ресурсу генерирует процесс, запускаемый пользователем.

Объекты доступа

Файловые объекты

Устройства

Каналы связи (виртуальные) ЛВС

Файловые объекты данных

Файловые объекты программ

Рис.3.9. Общая классификация объектов доступа

Очевидно, что представленные на рис.3.8, 3.9 классификации содержат всю возможную совокупность субъектов и объектов доступа защищаемого компьютера.

Теперь введем детальные классификации возможных в системе субъектов и объектов доступа, доступ которых (к которым) должен разграничивать диспетчер доступа – основной элемент механизма защиты, реализующий разграничительную политику доступа к ресурсам. Здесь же определим задачи и механизмы управления доступом, которые должны быть реализованы в системе защиты для обеспечения полноты решения задачи управления доступом к ресурсам защищаемого объекта.

Классификация субъектов доступа.

Классификация пользователей представлена на рис.3.10.

Пользователи системы

Механизмы управления доступом

Реальные

Виртуальные – пользователь «СИСТЕМА»

Управление доступом пользователей к системному диску, к запуску системных процессов

Прикладные пользователи

Пользователи администраторы

Управление доступом пользователей к ресурсам

Рис.3.10. Классификация пользователей

Классификация процессов представлена на рис.3.11.

Процессы системы

Механизмы управления доступом

Санкционированные

Несанкционированные процессы пользователя

Обеспечение замкнутости программной среды

Прикладные (пользовательские)

Управление доступом привилегированных процессов к ресурсам

Привилигерованные (системные)

Управление доступом виртуальных машин к ресурсам (выделение каталогов данных для виртуальных машин)

Идентифицируемые по имени процессы

Скрытые (неидентифицируемые) процессы

(виртуальные машины)

Управление доступом процессов к ресурсам

Рис.2311. Классификация процессов

Классификация объектов доступа.

Классификация файловых объектов данных, с учетом разделяемых в ЛВС представлена на рис.3.12.

Файловые объекты данных (логические диски или тома, каталоги, файлы)

Прикладные

Системные

Разделяемые системой и приложениями

Неразделяемые системой и приложениями

Механизмы управления доступом

  • Управление доступом пользователей и процессов к системному диску;

  • Управление доступом пользователей и процессов к реестру ОС.

Управление доступом к каталогам, неразделяемым системой

Локальные файловые объекты

Сетевые файловые объекты (разделяемые в сети общие папки)

Управление доступом пользователей и процессов к сетевым файловым объектам

Управление доступом пользователей и процессов к локальным файловым объектам

Рис.3.12. Классификация файловых объектов данных

Классификация файловых объектов программ представлена на рис.3.13.

Файловые объекты программ (исполняемые файлы)

Механизмы управления доступом

Пользовательские

Системные

Обеспечение замкнутости программной среды

Управление доступом пользователей и процессов к системному диску, к запуску системных процессов

Рис.3.13. Классификация файловых объектов программ

Классификация устройств, с учетом разделяемых в ЛВС, представлена на рис.2.14.

Устройства

Санкционированные (установленные в ОС)

Несанкционированные (неустановленные в ОС)

Механизмы управления доступом

  • Обеспечение замкнутости программной среды;

  • Управление доступом пользователей и процессов к реестру ОС.

Локальные устройства ввода-вывода

Управление доступом пользователей и процессов к сетевым файловым объектам

Управление доступом пользователей и процессов к локальным файловым объектам

Устройства ввода-вывода с отчуждаемыми носителями

Иные устройства (принтеры и т.д.), в том числе сетевые

Управление доступом пользователей к устройствам

Сетевые устройства ввода-вывода

Рис.2314. Классификация устройств

Классификация каналов связи (виртуальные) ЛВС, в предположении, что защищаемый объект находится в составе ЛВС, представлена на рис.3.15.

Каналы связи (виртуальные) ЛВС

Определяемые информационной технологией

Определяемые адресами

хостов

Управление доступом пользователей к хостам по их адресам и по времени

Определяемой сетевой службой (номером порта)

Определяемой приложением

  • Управление доступом пользователей к процессам;

  • Управление доступом процессов к хостам;

  • Обеспечение замкнутости программной среды.

Механизмы управления доступом

Управление доступом пользователей к хостам по номерам портов

Рис.3.15. Классификация каналов связи (виртуальные) ЛВС

Вывод. В части обеспечения полноты разграничений доступа к ресурсам защищаемого объекта, системой защиты должна быть реализована следующая совокупность механизмов управления доступом к ресурсам, что следует из возможной классификации субъектов и объектов доступа на защищаемом компьютере (работающем автономно, либо в составе ЛВС), при необходимости реализации формализованного требования к системе защиты – должно быть реализовано управление доступом для каждой пары субъект – объект:

  1. Механизм управления доступом пользователей (прикладных пользователей и администратора) к ресурсам;

  2. Механизм управления доступом процессов (прикладных и системных) к ресурсам;

  3. Механизм комбинированного доступа пользователя и процесса к ресурсам.

В качестве ресурсов, к которым должен разграничиваться доступ, должны выступать:

  1. При автономном (не в составе сети) функционировании защищаемого объекта:

  • Логические диски (тома), каталоги, файлы данных;

  • Каталоги, не разделяемые ОС и приложениями (например, TEMP, «Корзина» и др.);

  • Каталоги с исполняемыми файлами, исполняемые файлы (обеспечение замкнутости программной среды);

  • Системный диск (где располагаются каталоги и файлы ОС);

  • Объекты, хранящие настройки ОС, приложений, системы защиты (для ОС Windows – реестр ОС);

  • Устройства;

  • Отчуждаемые внешние накопители (дискеты, CD-ROM диски и т.д.).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности