Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Средства ОС для защиты информации. Права доступа, идентификация, аутентификация, авторизация.

Читайте также:
  1. A. М-Холиноблокирующие средства
  2. Copyright © 1994-2008. «Дзеркало тижня» Всi права захищенi.
  3. III. Права участников Гильдии.
  4. III. Предоставление транспортных средств и контейнеров, предъявление и прием груза для перевозки, погрузка грузов в транспортные средства и контейнеры
  5. IX. Меры безопасности при пользовании ледовыми переправами
  6. q]3:1: Объективная сторона какого состава преступления предусматривает приобретение права на имущество?
  7. XV. ЦЕРКОВЬ И СВЕТСКИЕ СРЕДСТВА МАССОВОЙ ИНФОРМАЦИИ

Для рефератов:

1. Биометрические средства аутентификации.

Существует три компонента защиты информации [6, с.47–48]:

1. оборона;

2. сдерживание;

3. обнаружение.

Оборонительная стратегия не позволяет злоумышленникам проникать внутрь защищаемого пространства. Средства обороны включают в себя устройства контроля доступа (межсетевые экраны, списки доступа маршрутизаторов, статические маршрутизаторы, фильтры вирусов и спама) и средства контроля изменений. Они обеспечивают защиту от программных уязвимостей, ошибок в коде, вредоносных сценариев, нарушений политики и этических норм, случайного повреждения данных и т.д. Этот тип контроля предотвращает нежелательную сетевую активность и организует работу в сети в соответствии с требованиями бизнеса.

Стратегия сдерживания не дает нанести ущерб бизнесу и позволяет организации сконцентрироваться на поддержании должного уровня производительности. В средства сдерживания входят сообщения электронной почты, которые напоминают о политиках приемлемого использования и безопасности и содержат списки посещенных в рабочее время веб-сайтов, программы соединения и осведомления сотрудников о нормах этики, правилах работы, информацию и приемлемом использовании компьютеров компании и последствиях нарушения установленных правил, а также подписываемые сотрудниками соглашения об условиях политики безопасности. Они гарантируют соблюдение корпоративной политики безопасности и обеспечивают осведомленность всех пользователей о правилах работы в компании и последствиях их нарушения.

Стратегия обнаружения сообщает ответственным лицам о нарушении политики безопасности. К средствам обнаружения относятся протоколы аудита и файлы журналов, системные и сетевые средства обнаружения вторжений, отчеты, содержащие ежедневные сведения о посещенных веб-сайтах, успешных и заблокированных атаках и проч., а также презентации программ безопасности с оценкой их эффективности для руководящего состава.

Рассмотрим более подробно средства ОС для защиты информации.

ОС предоставляет специальные средства защиты информации от несанкционированного доступа: назначение ролей и ограничение прав доступа, идентификация, аутентификация и авторизация пользователей.

1. Назначение прав доступа.

Существует несколько моделей предоставления прав доступа к файлам и другим объектам.

1.1. Наиболее простая модель используется в системах семейства Unix.

В этих системах каждый файл или каталог имеют идентификаторы хозяина и группы. Определено три набора прав доступа: для хозяина, группы (т.е., для пользователей, входящих вгруппу, к которой принадлежит файл) и всех остальных. Пользователь может принадлежать к нескольким группам одновременно, файл всегда принадлежит только одной группе. Бывают три права: чтения, записи и исполнения. Для каталога право исполнения означает право на поиск файлов в этом каталоге. Права на удаление или переименование файла не существует; вообще, в Unix не определено операции удаления файла как таковой, а существует лишь операция удаления имени unlink. Для удаления или изменения имени достаточно иметь право записи в каталог, в котором это имя содержится.

1.2. Многие современные системы, не входящие в семейство Unix, а также и некоторые версии Unix, например, HP/UX или SCO UnixWare 2.x, используют более сложную и гибкую систему управления доступом, основанную на списках управления доступом (Access Control Lists - ACL). С каждым защищаемым объектом, кроме идентификатора его хозяина, связан список записей. Каждая запись состоит из идентификатора пользователя или группы и списка прав для этого пользователя или группы. Понятие группы в таких системах не играет такой большой роли, как в Unix, а служит лишь для сокращения ACL, позволяя задать права для многих пользователей одним элементом списка. Многие системы, использующие эту модель, например Novell Netware, даже не ассоциируют с файлом идентификатора группы.

1.3. Учетная запись пользователя Windows представляет собой набор данных, определяющих, к каким папкам и файлам пользователь имеет доступ, какие изменения могут вноситься пользователем в работу компьютера, а также персональные настройки пользователя, такие как фон рабочего стола и экранная заставка. Применение учетных записей позволяет нескольким пользователям работать на одном компьютере с использованием собственных файлов и параметров. Для доступа к учетной записи используется имя пользователя и пароль.

Существуют три типа учетных записей. Каждый тип дает пользователю разные возможности управления компьютером.

Обычные учетные записи пользователей предназначены для повседневной работы.

Учетные записи администратора предоставляют полный контроль над компьютером и применяются только в необходимых случаях.

Учетные записи гостя предназначены для временного доступа к компьютеру.

2.Идентификация (от лат. identificare – отождествлять) установление соответствия реального объекта, товара представленной на него документации, его названию во избежание подмены одного объекта другим [Источник: Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б.. Современный экономический словарь. — 2-е изд., испр. М.: ИНФРА-М. 479 с.. 1999 ].

3.Аутентификация – процесс проверки подлинности данных о пользователе [6, с.164]. Чаще используется двухфакторная аутентификация, базирующаяся на как минимум двух факторах из нижеприведенных:

– то, что вы имеете;

– то, что вы собой представляете;

– то, что вы знаете.

Системы аутентификации [Брэгг, с.164–192]:

1. системы, использующие комбинации имен пользователей и паролей (в том числе одноразовых);

2. системы, использующие сертификаты и маркеры доступа.

Сертификат – это набор данных, определяющих какую-либо сущность (пользователя, компьютер, службу или устройство) в привязке к открытому ключу ключевой пары открытый/секретный ключ. Обычный сертификат содержит информацию о сущности и указывает цели, с которыми может использоваться сертификат, а также расположение дополнительной информации о месте выпуска сертификата. Сертификат подписан цифровой подписью выпустившего его центра сертификации.

3. биометрические средства.

Биометрические средства аутентификации являют собой самую надежную реализацию двухфакторной аутентификации – то, что вы имеете, является неотъемлемой частью вашего организма. Биометрические средства включают в себя модули распознавания и идентификации по лицу, радужной оболочке глаза, сетчатке глаза, отпечаткам пальцев, геометрии руки, голосу, движению губ и нажатию клавиш. В настоящее время биометрические системы используются для обеспечения аутентификации при доступе к компьютерам и зданиям, и даже применяются в оружии, определяя, кто собирается из него выстрелить. В каждом из случаев, алгоритм сравнения может быть индивидуальным, но в каждом методе биометрической аутентификации распознается часть тела человека, являющаяся уникальной, и сравнивается с сохраненным в базе данных «снимком» легитимного пользователя. Если наблюдается совпадение, лицо успешно проходит аутентификацию. Данный процесс базируется на двух моментах:

- можно с уверенностью утверждать, что каждая проверяемая часть человеческого тела является уникальной;

- система может быть настроена на требование достаточного объема информации для установления уникальной личности и избежания ошибочного отказа в доступе, в то время как фиксируемой информации не будет слишком мало для возможности ошибочного предоставления доступа.

Все используемые в данное время биометрические средства аутентификации представляют характеристики, являющиеся уникальными для людей. Относительная точность каждой системы определяется числом ошибочных отказов и фактов ошибочного предоставления доступа.

4. Авторизация [Брэгг, с.186–192].

Процесс авторизации является обратным по отношению к процессу аутентификации.

В процессе аутентификации устанавливается личность пользователя, а при авторизации – действия, которые этот пользователь может осуществлять.

Процесс авторизации, как правило, рассматривается как метод получения права доступа к ресурсам (файлам, папкам), предусматривает наличие пакета привилегий, которыми может обладать пользователь в рамках системы или сети, а также указывает имеет ли пользователь доступ к системе или сети.

Типы систем авторизации:

права пользователей (см. выше);

авторизация по ролям (каждый сотрудник выполняет свои должностные обязанности, согласно которым он наделен привилегиями (т.е. правами на выполнение каких-либо действий) и разрешениями (предоставление доступа к ресурсам и указание того, какие действия можно выполнять относительно них));

списки контроля доступа (предполагается, что в рамках определенной работы – доступа к файлам, сетевым ресурсам – могут быть разрешены только некоторые из всех возможных действия, которые и помещаются в списки, по которым производится авторизация);

авторизация по правилам (требует разработки правил – от простых до сложных, – указывающих, какие действия может выполнять на системе конкретный пользователь; такой метод удобен для использования в достаточно простых системах, но неприемлем для сложных систем, так как предполагает сложности при администрировании).

Технологии обмена данными между приложениями в Windows. Drag-and-drop, с использованием буфера обмена, DDЕ, OLE. Особенности реализации, преимущества и недостатки. Составной электронный документ.

Технологии обмена данными между приложениями в Windows – позволяют использовать один и тот же фрагмент документа или объект при создании нескольких различных документов, их связывания, в том числе динамического:

1. использование буфера обмена – использование команды из меню Правка: Вырезать, Вставить. Вставляемый фрагмент/объект не имеет связи с исходным документов, то есть изменения, происходящие в оригинале документа, не отображаются в новом документе.

Отображение буфера обмена: В меню Правка выберите команду Буфер обмена Office. В области задач Буфер обмена нажмите кнопку Параметры. Задайте нужные параметры:

Параметр Описание
Автоматическое отображение буфера обмена Office Автоматическое отображение буфера обмена Microsoft Office при копировании элементов.
Открывать буфер обмена Office при двойном нажатии CTRL+C При двойном нажатии сочетания клавиш CTRL+C автоматически отображается буфер обмена Office.
Собирать данные без отображения буфера обмена Office Автоматическое копирование элементов в буфер обмена Microsoft Office без отображения буфера обмена Microsoft Office.
Показать значок буфера обмена Office на панели задач Отображение значка буфера обмена Office в системной области панели задач, когда буфер обмена Microsoft Office активен.
Показывать состояние около панели задач при копировании Вывод сообщений о добавлении элементов в буфер обмена Microsoft Office.

2. технология динамического обмена данными DDE (Dynamic Data Exchange) – фрагмент или объект помещается в буфер обмена и вставляется в связываемый файл с помощью команды Правка/Специальная вставка. Такой подход позволяет установить связь между фрагментами исходного и нового документа, причем изменения в одном из документов будут автоматически происходить и в другом документе;

3. технология связывания и внедрения объектов OLE (Object Linking and Embedding) – предполагает возможность вызова (иначе – привязку) одного приложения из другого, например, в текстовом документе можно по двойному щелчку вызвать графический редактор изображений; а также возможность встраивания объектов, созданных в одном приложении, в другой;

4. технология drag-and-drop (перетащить и бросить) – альтернатива использованию буфера обмена, обладающая возможностью визуализации процесса перемещения объекта. Реализована в рамках технологии OLE.

С помощью указанных технологий можно создавать составные электронные документы, то есть документы, созданные в одном приложении, но использующие объекты, создаваемые в других приложениях. Причем такие документы могут иметь динамическую связь.


Дата добавления: 2015-10-21; просмотров: 480 | Нарушение авторских прав


Читайте в этой же книге: Семейства процессоров. | Конвергенция компьютерных сетей. | Сервисы Internet. Виды сервисов в Internet, их назначение и особенности. | Перспективные технологии поиска в сети Интернет. | Тема 4. Системное программное обеспечение КИТ. Операционные системы | Модели на основе инженерного подхода | Модели, учитывающие специфику разработки ПО. | Современные модели | ОС семейства DOS | Сетевой сервис и сетевые службы |
<== предыдущая страница | следующая страница ==>
Основные объекты Windows (файл, папка, документ, ярлык, приложение).| Понятие вируса, классификация вирусов.

mybiblioteka.su - 2015-2024 год. (0.008 сек.)