Авторизация парольный вход Права доступа

Физика
Лабораторные работы
Курс электрических цепей
Полупроводниковая электроника
Курс лекций и задач
Потенциал электpостатического поля
Пpимеpы использования теоpемы Гаусса
Закон Ома
Закон Ампеpа
Феppомагнетизм
Электротехника и электроника
Резонанс напряжений
Методы расчета сложных цепей
Трехфазные цепи
Цепи со взаимной индуктивностью
Несинусоидальные токи
Математика
Вычислительная математика
Векторная алгебра
Графика
Начертательная геометрия
Сборочные чертежи
Инженерная графика
Построение лекальных кривых
Геометрические построения
Позиционные задачи
Информатика
Электронная коммутация
Модернизация компьютера
Архитектура компьютера
Маршрутизация
Экспертные системы
Компьютерная безопасность
Требования к защите компьютерной информации
Проектирование системы защиты
Авторизация
Категорирование прав доступа
Диспетчер доступа
Антивирусная защита
Атомная энергетика
Атомные батареи
Физика атомного реактора
Атомные электростанции
Испытания атомного оружия
Воспоминания участников
атомного проекта

Авторизация в контексте количества и вида зарегистрированных пользователей Кого следует воспринимать в качестве потенциального злоумышленника В системе зарегистрирован один пользователь В общем случае в системе может быть зарегистрирован один либо несколько пользователей. Случай, когда в системе зарегистрирован только один пользователь, характеризуется тем, что данный пользователь является и прикладным пользователем, и администратором безопасности. Здесь источником потенциальной угрозы является только сторонний сотрудник предприятия, а вся задача защиты сводится к контролю доступа в компьютер (либо в систему), т.е. к парольной защите. Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей Основу классификации задач, решаемых механизмами парольной защиты, составляет назначение защищаемого объекта (компьютера). Именно в соответствии с назначением объекта определяется перечень защищаемых ресурсов и источников угроз (потенциальных злоумышленников) Рассмотрим возможные классификации механизмов идентификации и аутентификации, полученные на основе анализа применения механизмов парольной защиты в ОС (прежде всего семейства Windows), приложениях и современных добавочных средствах защиты ОС. По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования и с целью блокировки. С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь. С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения. Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера — клавиатуры, устройств ввода (например, дисковод — с дискеты), так и с использованием специализированных устройств аутентификации — всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д. Рассмотрим представленные угрозы. Наиболее очевидными явными угрозами являются физические — хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съем пароля при вводе (с клавиатуры, либо с монитора). Основные механизмы ввода пароля. Усиление парольной защиты за счет усовершенствования механизма ввода пароля Для противодействия хищению злоумышленником носителя информации с паролем могут рассматриваться следующие альтернативные способы защиты

Основное достоинство биометрических систем контроля доступа

В двух словах остановимся на рассмотрении новых свойств парольной защиты, реализуемых на основе контроля биометрических характеристик пользователя. Основные способы усиления парольной защиты, используемые в современных ОС и приложениях Применение способов усиления пароля, посредством задания дополнительных требований к параметрам пароля Требования к добавочным механизмам в рамках усиления парольной защиты Необходимые механизмы добавочной защиты, направленные на усиление парольной защиты Рассмотрим возможное техническое решение по комбинированию механизмов добавочной и встроенной парольной защиты входа в систему Альтернативный известный вариант реализации двухуровневой парольной защиты состоит в реализации добавочного механизма не на уровне входа в ОС, а перед загрузкой системы (средствами расширения BIOS). Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам -- объектам Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы — домены. Рассмотрим так называемую матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике.

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом Дополнительные требования к защите секретной информации в контексте использования дискреционной и мандатной моделей управления доступом Понятия «владелец» и «собственник» информации Следует отметить, что на практике существует некоторое противоречие в определении дискреционного управления доступом и требований, формулируемых к его реализации. Так, определение дискреционного управления доступом предполагает: Разграничение доступа между поименованными субъектами и поименованными объектами. Последующие исследования будем проводить с учетом того, что пользователь не является «владельцем» информации, им обрабатываемой. Для механизмов управления доступом к ресурсам данный подход связан с понятиями корректности и полноты реализации разграничительной политики доступа к ресурсам. Немаловажным является вопрос классификации субъектов и объектов доступа. Именно на основе этой классификации определяются задачи, которые должны решаться механизмами управления доступом. При этом разграничивается доступ каждого субъекта к каждому объекту. Так же как и субъекты доступа, в рамках представленной общей классификации могут быть более детально классифицированы и объекты доступа. С учетом сказанного можем сделать вывод о необходимости управления доступом для каждой пары «субъект — объект». Без этого не может быть обеспечена полнота разграничительной п олитики доступа к ресурсам защищаемого объекта.

Угрозы преодоления разграничительной политики доступа к ресурсам. Противодействие угрозам современными ОС Практический анализ современных ОС в контексте принятой классификации угроз преодоления разграничительной политики доступа Структура диспетчера доступа. Требования к механизмам управления доступом к ресурсам Следуя формализованным требованиям к механизмам управления доступом к ресурсам, могут быть сформулированы требования к диспетчеру доступа Каноническая модель управления доступом. Условие корректности механизма управления доступом Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия каналов обмена информацией. Однако такая возможность должна предусматриваться Модель управления доступом с взаимодействием субъектов доступа посредством выделенного канала Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием только существующих объектов доступа без включения в систему дополнительных объектов. Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов Выше были рассмотрены различные модели управления доступом. С учетом сказанного, можем сделать следующие выводы относительно различия и общности альтернативных моделей:

В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и множеств объектов (групп объектов). При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним. Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами-обладателями Очевидно, что различные механизмы, реализующие одну и ту же модель управления доступом, по свой сути идентичны. Их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа

Примеры решения типовых задач математика, физика, электротехника