Физика атомного реактора Сопротивление материалов Математика решение задач Информатика Атомная энергетика безопасность Электротехника и электроника

Построение авторизации механизм парольной защиты средствах защиты ОС процедура идентификации ввод идентификатора и пароля биометрические характеристики модель защиты права доступа диспетчер доступа каноническая модель метки безопасности

Функции мониторинга безопасности ИС выполняют средства анализа защищенности и средства обнаружения атак (см. гл. 14). Средства анализа защищенности исследуют настройки элементов защиты ОС на рабочих станциях и серверах, БД. Они исследуют топологию сети, ищут незащищенные или неправильные сетевые соединения, анализируют настройки МЭ.

Механизмы реализации дискреционной и мандатной моделей управления доступом

Итак, выше нами были определены канонические модели управления доступом, канонические в том смысле, что обеспечивают корректное решение задачи управления доступом и имеют общий вид для соответствующих условий решения задачи.

Показано, что отличие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методов управления им.

Теперь рассмотрим возможные способы реализации моделей диспетчером доступа. Для этого определим механизмы, реализуемые диспетчером доступа, а также используемую диспетчером учетную информацию субъектов и объектов доступа.

Очевидно, что различные механизмы, реализующие одну и ту же модель управления доступом, по свой сути идентичны. Их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа. Механизм управления доступом, реализуемый диспетчером доступа, это лишь способ обработки запросов доступа в соответствии с реализуемой моделью управления доступом.

Механизмы реализации дискреционной модели доступа

На сегодняшний день на практике используются понятия дискреционного и мандатного механизмов управления доступом [1, 2, 4, 8, 13].

Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа Б.

Таким образом, дискреционный механизм управления доступом предполагает задание в качестве учетной информации субъектов и объектов их идентификаторов (например, имя пользователя и имя файлового объекта), а в качестве правил разграничения доступа — матрицы доступа Б. При запросе доступа, поступающего в диспетчер доступа от субъекта, диспетчер из запроса получает идентификаторы субъекта и объекта. Затем он находит элемент матрицы доступа на основе учетных данных субъекта и объекта, осуществляет управление запросом доступа на основании выбранного элемента матрицы доступа.

С учетом того, что при управлении доступом диспетчером анализируется собственно матрица доступа, дискреционный механизм управления доступом является универсальным в том смысле, что им может быть реализована любая из рассмотренных выше модель управления доступом, в том числе и модель полномочного управления.

Ранее были представлены канонические модели управления доступом, задающие корректные разграничения в общем случае. Общность определяется тем, что однотипный канал взаимодействия субъектов доступа создается одновременно для всех субъектов. В частном случае подобный канал может устанавливаться не для всех субъектов. При этом разграничение диспетчером доступа должно осуществляться на основе частной матрицы доступа, получаемой из соответствующей канонической матрицы путем запрещения каналов взаимодействия. Пример частной матрицы доступа для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексным каналов представлен ниже.

Аудиторский отчет является основным результатом проведения аудита. Отчет должен содержать описание целей проведения аудита, характеристику обследуемой ИС, результаты анализа данных аудита, выводы, содержащие оценку уровня защищенности АС или соответствия ее требованиям стандартов, и рекомендации по устранению существующих недостатков и совершенствованию системы защиты.

Авторизация парольный вход Права доступа Экспертные системы и экспертный анализ