Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Допущенным в КС субъектам должны предоставляться различные права по доступу к информационному ресурсу и по возможным действиям с ним. Например, доступ к каталогам, файлам, принтерам, доступ к системным функциям: доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т.д. Эти права могут задаваться по-разному. В основном их можно разбить на два класса: произвольный доступ и мандатный доступ.
Произвольный доступ реализуется в операционной системе общего назначения. Задаются определенные операции над определенным ресурсом одному пользователю или группе пользователей, явно указанным своими идентификаторами. При этом пользователь может передавать свои полномочия некоторому процессу и если этим же процессом управляет другой пользователем, то в итоге права одного пользователя становятся доступными другому. Основой произвольного доступа является матрица прав доступа, строки которой соответствуют субъектам (пользователи, процессы и т.д.), а столбцы – объектам (файлы, каталоги и т.д.). В ячейках матрицы содержатся права доступа субъектов к объектам. Пример матрицы прав доступа приведен в табл. 1., где R- права доступа пользователя по чтению, W- права доступа пользователя по записи; C- управление доступом для других пользователей.
Табл. 3.1.
Пользователи/Файлы | F1 | F2 | F3 | F4 | F5 | |
Петров | R | W | W | RW | ||
Иванов | RW | R | R | |||
Сидоров | RW | R | ||||
Федоров | C | C | C | C | C |
В зависимости от способа представления матрицы прав доступа в ОС различают несколько способов реализации. Наиболее распространенным являются списки прав доступа, биты доступа, парольная защита.
Списки прав доступа.С каждым объектом ассоциируется список пользователей с указанием их прав доступа к объекту. При принятии решения о доступе соответствующий объект проверяется на наличие прав, ассоциированных с идентификатором пользователя, запрашивающего доступ.
Биты доступавместо списка пользователей с объектом связываются биты доступа. Например, в ОС UNIX организованы три категории пользователей. Каждой группе разрешены определенные действия. Каждый пользователь получает определенный бит (номер), который определяет к какой группе он относится и какими полномочиями наделен.
При реализации мандатного доступа в ся информация делится по уровням конфиденциальности, а все пользователи также делятся на группы по уровням допуска к информации различного уровня конфиденциальности. При этом пользователи не имеют возможности изменять уровень доступности информации. Нормативное управление доступом основано на модели Белла-ЛаПадула, которая описывает правила документооборота, принятые в правительственных учреждениях США. Основным наблюдением, сделанным Беллом и ЛаПадулой, является то, что в официальном документообороте, всем субъектам и объектам присваивается уровень (метка) безопасности. Для предотвращения утечки информации к неуполномоченным субъектам субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности; субъектам не позволяется размещать информацию или записывать ее в объекты с более низким уровнем безопасности. Мандатный доступ является более строгим, исключает волюнтаризм со стороны пользователей. Реализуется в ОС специального назначения.
Дата публикования: 2014-11-03; Прочитано: 785 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!