Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Принудительное разграничение доступа

Мультипрограммирование в системах пакетной обработки | Назначение | Классификация ОС. | Сетевые Операционные Системы | Проведем классификацию операционных систем | Мультизадачный режим, наоборот, предполагает, что забота о параллельном выполнении и взаимодействии приложений ложится как раз на прикладных программистов. | Супервизор - supervisor | Режимы управления вводом-выводом | Взлом парольной защиты операционной системы UNIX | Выталкивание дольше всего не использовавшейся страницы. LRU (The Least Recently Used) Algorithm . |


Читайте также:
  1. Вопрос 52 При определении ограничения доступа в конструкторе ограничений доступа к данным...
  2. Глазные сигналы доступа, калибровка
  3. Защита персональных данных Клиентов от несанкционированного доступа
  4. Идентификацию пользователя универсальной электронной картой в целях получения им при ее использовании доступа к государственным услугам и услугам иных организаций;
  5. Компоненты Titan для доступа к различным СУБД
  6. Компоненты для доступа к ODBC-источникам
  7. Компоненты прямого доступа к IB Database

При принудительном разграничении доступа компьютерные ресурсы разделяются на группы в соответствии с уровнями секретности и категориями информации, к которым они относятся. В качестве уровней секретности могут быть выделены следующие:

Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные. В военной области каждая категория может соответствовать определенному виду вооружений. Например, все тактико-технические данные о средствах вооружения могут быть разделены по типам этих средств - данные о наземных, морских, а также воздушных средствах вооружения. Механизм категорий позволяет разделить информацию по видам, что способствует лучшей защищенности.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта, называемая еще мандатом, описывает его благонадежность и задает:

Метка объекта определяет степень закрытости и категории содержащейся в нем информации.

Принудительное разграничение доступа к компьютерным ресурсам основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд, подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

Таким образом, при принудительном управлении доступом всем программам компьютерной системы запрещается выполнение следующих действий:

Здесь в качестве области памяти может выступать как область внешней, так и оперативной памяти. Под областью внешней памяти понимается логический диск, каталог, файл или элемент базы данных, которому присвоен один уровень секретности или одна категория. Под областью же оперативной памяти - загруженный в оперативную память файл или элемент базы данных, соответствующий одному уровню секретности или одной категории.

Метку субъекта называют еще мандатом, и говорят, что доступ к объекту разрешается только при наличии у субъекта соответствующего мандата. Поэтому принудительное разграничение доступа называют также мандатным разграничением.

Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично, при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная система могла ее протрактовать, не смотря на возможные различия в уровнях секретности и наборе категорий.

Метки безопасности, ассоциируемые с субъектами, более подвижны, чем метки объектов. Субъект может в течение сеанса работы с системой изменять свою метку, естественно, не выходя за предопределенные для него рамки. Иными словами, он может сознательно занижать свой уровень благонадежности, чтобы уменьшить вероятность непреднамеренной ошибки. Вообще, принцип минимизации привилегий - весьма разумное средство защиты.

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение " разрешить доступ к объекту X еще и для пользователя Y ". Конечно, можно изменить метку безопасности пользователя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.

=================================================================

Ботнет (англ. botnet от ro bot и net work) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

 

================================================================

Перезаписывающие вирусы – вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.

 

==================================================================

  1. Классификация файловых вирусов по способу заражения:
  2. Скриптовые вирусы – написаны на различных скриптовых языках – BATCH, PHP, JS, VBS. Существует как безобидные виды, так и опасные. Опасные могут обладать задачей (при отсутствии антивирусной программы) уничтожить всю информацию на жёстком диске. Данные вирусы могут размещаться как на интернет-сайтах, так и в документах (есть даже сходность с сетевыми червями).
  3. Макро-вирусы – являются программами на языках, встроенных во многие системы обработки данных (текстовые редакторы, электронные таблицы и т. Д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.
  4. Сетевые черви – распространяется в локальных и глобальных компьютерных сетях целиком, не подкачивая по сети свои части. Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения.

Классификация по поражаемым операционным системам и платформам:

  1. DOS вирусы
  2. Microsoft Windows
  3. Unix
  4. Linux

Классификация по технологиям, используемым вирусом:

  1. Полиморфные вирусы – вирусы, использующие технику, позволяющую затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики. Полиморфизм заключается в формировании кода вируса во время исполнения, при этом сама процедура, формирующая код также не должна быть постоянной и видоизменяется при каждом новом заражении.
  2. Стелс-вирусы – вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.).

Классификация по языку, на котором написан вирус:

  1. Ассемблер
  2. Высокоуровневый язык
  3. Скриптовый

Классификация по деструктивным возможностям:

  1. Безвредные вирусы – вирусы никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
  2. Неопасные вирусы – вирусы влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами.
  3. Опасные вирусы – вирусы, которые могут привести к серьезным сбоям в работе компьютера.
  4. Очень опасные вирусы – вирусы в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Прочие «вредные программы»:


Дата добавления: 2015-07-19; просмотров: 83 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Синхронный и асинхронный ввод-вывод| Полиморфные вирусы.

mybiblioteka.su - 2015-2024 год. (0.009 сек.)