Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Основные механизмы реализации моделей доступа

Читайте также:
  1. I. Основные положения
  2. I. Специфика обществознания и основные этапы его развития.
  3. II. Методы несанкционированного доступа.
  4. II. Основные проблемы, вызовы и риски. SWOT-анализ Республики Карелия
  5. II. Основные функции отделения Фонда
  6. II. Цели, задачи и основные направления деятельности Совета
  7. IV. ЗАЩИТНЫЕ МЕХАНИЗМЫ

Дискреционный механизм управления доступом — это способ обработки запросов диспет- чером доступа, основанный на задании правил разграничения доступа в диспетчере только непосредственно матрицей доступа D. Дискреционный механизм предполагает задание в каче- стве учётной информации для субъектов и объектов их идентификаторов (Ci, Oj), а в качестве правил разграничения доступа матрицу доступа D.

При запросе доступа, поступающего в диспетчер от субъекта, диспетчер вначале из запро- са выделяет идентификаторы субъекта и объекта (Ci, Oj), затем диспетчер находит элемент матрицы доступа на основе этих учётных данных и затем осуществляет управление запросом доступа на основании выбранного элемента матрицы доступа.

С учётом того, что при управлении доступом диспетчером анализируется полностью матри- ца доступа дискреционный механизм можно считать универсальным, поскольку на его основе может быть реализована любая из рассмотренных моделей, в том числе и модель полномочного управления.

Мандатный механизм управления доступом (в отличие от дискреционного) позволяет реа-

лизовать только полномочные модели управления доступом. В основе функционирования ман- датного механизм используется т.н. метки безопасности. Метки безопасности позволяют от- ражать полномочия субъектов и объектов в системе. При этом разграничение прав доступа в диспетчере может задаваться не матрицей доступа, а правилами обработки меток, на основании которых диспетчер принимает решение о предоставлении запрашиваемого доступа к ресурсу. При этом в качестве учётной информации субъектов и объектов доступа (кроме идентифи- каторов) в диспетчере доступа каждому субъекту и объекту ставятся в соответствие метки

безопасности из некоторого множества M = {M 1, M 2 ,..., Mk}.

Метки безопасности являются элементами линейно упорядоченного множества M и на-

значаются соответствующим субъектам и объектам доступа. Метки безопасности служат для формального представления их уровня полномочий, именно чем выше полномочие субъекта и объекта, тем меньшее значение метки безопасности Mi им присваивается. Т.е. для элементов множества M справедливо отношение: M 1 < M 2 <... < Mk.

Разграничение доступа диспетчером в этом случае реализуется на основе правил, опре- деляющих отношения линейного порядка на множестве M, где для любой пары элементов множества задаётся один из типов отношений (>, <, =). На практике в качестве множества M обычно рассматривается множество натуральных чисел. Это позволяет достаточно просто выполнять сравнение меток безопасности.

Введём в рассмотрение метки безопасности MCi, MOm. Рассмотренные ранее полномочным модели можно представить с помощью соответствующих правил разграничения, использующих метки MCi, MOm.

Таким образом, при мандатном механизме управлении доступом реализующем полномоч- ные модели, осуществляется обработка запросов диспетчером доступа, который использует формальное сравнение меток безопасности субъектов и объектов доступа в соответствии с за- данными правилами. Мандатный механизм управления доступом позволяет корректно реали- зовать полномочные модели управления доступом при условии что всем субъектам и объектам доступа сопоставлены метки безопасности.

При использовании данного механизма необходимо учитывать следующие особенности:

1. Eсли существует объект, не включенный в схему мандатного управления доступом, то этот объект может являться средством несанкционированного взаимодействия субъектов имеющих различные метки безопасности. Таким образом. для исключения этой ситуации метки безопасности должны устанавливаться на все объекты;

2. Мандатный механизм управления доступом позволяет корректно реализовать полномоч- ные модели при условии что системой защиты реализуется требование к изоляции про- граммных модулей различных пользователей в данном случае можно рассмотреть поня- тие скрытого канала взаимодействия под скрытым каналом понимаются любые непреду- смотренные (нештатные) возможности взаимодействия субъектов доступа с различными полномочиями. Например, передача информации между такими субъектами может осу- ществляться через некоторый буфер обмена.

Если существует возможность передачи информации между процессами запускаемыми с правами пользователей, которым назначены различные метки безопасности, то может реа- лизоваться возможность переноса информации из объекта например более высокого уровня конфиденциальности в объект с более низким уровнем конфиденциальности.

Преимуществом мандатного механизма является относительная простота настройки дис- петчера доступа при реализации полномочных моделей доступа т.е. достаточно в этом случае задать правило доступа соответствующие реализуемой модели и метки безопасности.

Необходимо помнить, что все функции управления доступом могут быть реализованы дис- креционным механизмом. Мандатный механизм можно считать частным случаем дискрецион- ного, предполагающим ранжирование субъектов и объектов по полномочиям.


Дата добавления: 2015-08-09; просмотров: 101 | Нарушение авторских прав


Читайте в этой же книге: Цели защиты информации | Лицензирование и сертификация в области защиты ин- формации | Основные положения и принципы обеспечения информа- ционной безопасности в системах | Утечка информации. Каналы утечки информации и их виды |
<== предыдущая страница | следующая страница ==>
Основные механизмы защиты компьютерных систем| Правила назначения меток безопасности иерархическим объектам доступа

mybiblioteka.su - 2015-2024 год. (0.005 сек.)