"Розмежування доступу зареєстрованих користувачів до ресурсів автоматизованих систем" by Илона Кабко

"Розмежування доступу зареєстрованих користувачів до ресурсів автоматизованих систем" by Илона Кабко https://padlet.com/ilonakabko/cyw0dfv2hmbp Ця дошка створена з метою ознайомлення з даною темою. en-us 2019-02-18 10:25:24 UTC 2024-09-25 10:56:05 UTC hello@padlet.com https://padlet-assets.s3.amazonaws.com/icons/Diskette.png Розмежування доступу — сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі Правил розмежування доступу можливості надання доступу. ilonakabko https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334558950 При розгляді взаємодії двох об'єктів комп’ютерної системи, що виступають як приймальники або джерела інформації, слід виділити пасивний об'єкт, над яким виконується операція, і активний об'єкт, який виконує або ініціює цю операцію.

Моделі розмежування доступу

]]> 2019-02-24 12:25:04 UTC https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334558950 Матрична модель - це метод розмежування доступу до об'єктів, заснований на обліку ідентифікатора суб'єкта або групи, в яку входить суб'єкт. Довільність управління полягає в тому, що деякий особа може на свій розсуд надавати іншим суб'єктам або відбирати у них права доступу до об'єкта.Поведінка цієї моделі описується простими правилами: ilonakabko https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334559599

користувачу дозволений доступ в систему, якщо він входить в безліч відомих системі користувачів

користувачу дозволений доступ до консолі (термінал або ПК, який виступає в ролі пристрої введення команд для ЕОМ, віддаленої ЕОМ, локальної мережі і т. п.), якщо він входить в підмножина користувачів, закріплених за даною консоллю

користувачу дозволений доступ до файлу, якщо:

користувач входить в підмножина допущених до файлу користувачів

режим доступу завдання користувача включає режим доступу до файлу

рівень конфіденційності користувача не нижче рівня конфіденційності файлу

Ставлення "суб'єкти-об'єкти" можна представити у вигляді матриці доступу, в рядках якої перераховані суб'єкти, а в осередках, розташованих на перетині рядків і стовпців, записані дозволені види доступу і додаткові умови (наприклад, час і місце дії).

Фрагмент матриці, може виглядати, наприклад, так:

p- (passpermission) дозвіл на передачу прав іншим користувачам

r- (read) читання

w- (write) запис

x- (eXecute) виконання

a- (add) додавання

]]> 2019-02-24 12:32:59 UTC https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334559599 Засоби охорони об'єктаОб'єкт, на якому ведеться робота з конфіденційною інформацією, має ієрархію рубежів захисту (територія - будівля - приміщення - носій інформації - програма - конфіденційна інформація). Система охорони об'єкта створюється з метою запобігання несанкціонованого проникнення на територію і в приміщення об'єкта сторонніх осіб, обслуговуючого персоналу і користувачів. У загальному випадку вона включає в себе наступні основні компоненти [1]:• інженерні конструкції, призначені для створення перешкод до проникнення зловмисників (бетонні і цегляні огорожі, надійні двері, решітки на вікнах та ін.);• охоронну сигналізацію, призначену для виявлення спроб проникнення на територію, що охороняється;• кошти безперервного спостереження, що реалізуються зазвичай за допомогою телевізійних систем відеоконтролю;• організацію і контролю доступу на територію об'єкта і інші засоби. Широке поширення набув атрибутивний спосіб ідентифікації людей, при якому ідентифікаторами служать пароль, пропуск, жетон, ключ і пластикова карта і т.п. В особливо важливих випадках використовується біометричний спосіб (капілярні візерунки пальців людини, візерунки сітківки очей, форма кисті руки, особливості мови, форма і розміри особи, динаміка підпису, ритм роботи на клавіатурі). ilonakabko https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334560407 2019-02-24 12:42:45 UTC https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334560407 Забезпечують засоби для системи розмежування доступу виконують ідентифікацію та аутентифікацію суб'єктів; реєстрацію дій суб'єкта і його процесу; зміна повноважень суб'єктів і включення нових суб'єктів і об'єктів доступу; тестування всіх функцій захисту інформації спеціальними програмними засобами та ряд інших функцій. ilonakabko https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334560722

Захист інформації від витоку технічними каналами здійснюється проведенням організаційних і технічних заходів .

Організаційні заходи.

• залучення до робіт з будівництва, реконструкції об'єктів технічних засобів переробки інформації (ТЗПІ), монтажу апаратури організацій, що мають ліцензію на діяльність в області захисту інформації;
• встановлення контрольованої зони навколо об'єкту ТСПИ, а також організація контролю і обмеження доступу на об'єкти ТЗПІ і в виділені приміщення;
• введення обмежень (територіальних, частотних, енергетичних, просторових і часових) на режими використання технічних засобів, які підлягають захисту;
• відключення від ліній зв'язку на період закритих заходів таких технічних засобів, як електроакустичні перетворювачі і т.д.

Технічні заходи щодо захисту інформації передбачають застосування спеціальних технічних рішень і засобів, спрямованих на закриття каналів витоку інформації, наприклад, шляхом ослаблення рівня інформаційних сигналів або зменшенням відносини сигнал / шум в місцях можливого розміщення джерел. Приймаються технічні заходи з використанням:

пасивних засобів, до яких відносяться:
- установка на об'єктах ТЗПІ і в виділених приміщеннях технічних засобів і систем обмеження і контролю доступу;
- локалізація випромінювань шляхом екранування ТЗПІ і їх сполучних ліній;
- заземлення ТЗПІ і екранів їх з'єднувальних ліній;
- звукоізоляція виділених приміщень;
- встановлення автономних або стабілізованих джерел електроживлення ТЗПІ;
- установка в колах електроживлення ТЗПІ, а також в лініях освітлювальної та розеточной мереж виділених приміщень помехоподавляющих фільтрів;
• активних засобів, до яких відносяться:
- просторове електромагнітне зашумлення, створення акустичних і вібраційних перешкод з використанням генераторів шуму;
- зашумлення ліній електроживлення та ін .;
• виявлення портативних електронних пристроїв перехоплення інформації (закладних пристроїв) з використанням пасивних і активних засобів.

]]> 2019-02-24 12:46:27 UTC https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334560722 Ідентифікацію й аутентифікацію можна вважати основою програмно-технічних засобів безпеки, оскільки інші сервіси розраховані на обслуговування іменованих суб'єктів. Ідентифікація й аутентифікація – це перша лінія оборони, "прохідна" інформаційного простору організації.Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка дійсності". ilonakabko https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334561295

Сучасні засоби ідентифікації/аутентифікації повинні підтримувати концепцію єдиного входу в мережу. Єдиний вхід у мережу - це, у першу чергу, вимога зручності дтя користувачів. Якщо в корпоративній мережі багато інформаційних сервісів, що допускають незалежний обіг, то багаторазова ідентифікація/аутентифікація стає занадто обтяжною. На жаль, поки не можна сказати, що єдиний вхід у мережу став нормою, що домінантні рішення поки не сформувалися.

Таким чином, необхідно шукати компроміс між надійністю, доступністю за ціною й зручністю використання й адміністрування засобів ідентифікації й аутентифікації.

Цікаво відзначити, що сервіс ідентифікації/аутентифікації може стати об'єктом атак на доступність. Якщо система сконфігурована так, що після певного числа невдалих спроб пристрій уведення ідентифікаційної інформації (таке, наприклад, як термінал) блокується, то зловмисник може припинити роботу легального користувача буквально декількома натисканнями клавіш.

]]> 2019-02-24 12:51:41 UTC https://padlet.com/ilonakabko/cyw0dfv2hmbp/wish/334561295