Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Архитектура Биология География Другое Иностранные языки Информатика История Культура Литература Математика Медицина Механика Образование Охрана труда Педагогика Политика Право Программирование Психология Религия Социология Спорт Строительство Физика Философия Финансы Химия Экология Экономика Электроника

Субъекты и объекты информационных систем и их классификация

ü что такое субъект, объект, операция,

ü как выполняется классификация субъектов и объектов.

В основе организации доступа в информационных (как и многих других) системах лежит взаимодействие трех основных понятий:

- субъекта;

- объекта;

- операции (действия).

Субъектом является человек или вычислительный процесс, который наделяется определенными правами по воздействию на объекты. Объектом (в информационной безопасности) является единица хранения информации (файл, каталог, запись в базе данных и т.п.) или вычислительный процесс. Характерной особенностью компьютерной обработки данных является виртуальность объекта – его нельзя почувствовать в материальном мире; в случае записи его на носитель переходит только лишь некоторое отображение его истинного виртуального (информационного) состояния.

Вычислительные процессы могут одновременно выступать и как объекты, когда ими управляют люди или другие процессы, и как субъекты, когда уже они в свою очередь управляют файлами и процессами. Двойная функция вычислительных процессов значительно усложняет проверку и доказательство защищенности информации в системе.

Субъекты могут выполнять над объектами определенные операции:

- над файлами, записями и каталогами:

o создание,

o чтение,

o запись,

o добавление,

o модификацию (изменение),

o копирование,

o удаление;

- над вычислительными процессами:

o запуск,

o останов.

Таким образом, операции – это виды действий, которые субъекты могут совершать над объектами.

В системах с неограниченным доступом любой субъект может выполнять любую операцию над любым объектом. Так на заре компьютерных технологий и функционировали вычислительные системы. В ситуации, сложившейся в настоящее время, отсутствие ограничений доступа может привести к невосстановимым потерям. Основной целью любой системы ограничения доступа является введение правил, по которым определяется, какие именно операции может выполнять каждый конкретный субъект над каждым конкретным объектом – права доступа субъекта.

Первым шагом решения этой задачи служит перечисление всех существующих субъектов и объектов и возможных типов операций. После того, как это шаг будет выполнен, можно приступать к созданию матрицы прав доступа непосредственно. Но если в системе более десятка субъектов и более сотни объектов, то определение прав доступа каждого к каждому становится очень трудоемкой задачей. Кроме того, построенная по такому принципу система прав доступа начинает очень быстро устаревать – появляются новые сотрудники, увольняются старые, десятками за день создаются новые файлы и т.д.

Решением этой проблемы стала классификация всех субъектов и объектов, производимая в подавляющем большинстве систем организации доступа. Под классификацией понимается причисление всех субъектов системы к тому или иному классу субъектов, а также причисление всех объектов системы к тому или иному классу объектов. Естественно, первоочередной целью при классификации с точки зрения информационной безопасности является создание классов с однородными (равноправными) представителями в нем. Если это условие будет выполняться, то в дальнейшем можно наделять одинаковыми правами целый класс субъектов по отношению к целому классу объектов, что сократит в несколько раз объем работы и вероятность ошибок в ней.

Обычно классификация объектов и субъектов производится сотрудником, ответственным за информационную безопасность в организации. Если такого сотрудника нет, то классификацию субъектов производит руководство или отдел кадров, а классификацию объектов – системный администратор. В обоих случаях построение классификатора обязательно согласуется с руководством

Классификация субъектов-пользователей чаще всего производится исходя из их функции в организации. Например, минимальный набор классов может состоять из:

- руководства,

- операторов (рядовых сотрудников),

- системных администраторов.

Классификация информационных объектов чаще всего производится исходя из того, какого рода информацию они содержат. Так это могут быть:

- правовые документы;

- бухгалтерские документы;

- бизнес-документация (планы, отчеты, деловые предложения);

- внутренние распоряжения, инструкции, нормативно-справочные материалы.

При правильной организации классификатора субъектов и объектов в организации система прав и полномочий классов должна быть очевидна для любого сотрудника (от рядового специалиста до руководителя организации) и не вызывать ни сомнений, ни конфликтных ситуаций.

Подведем итоги

· субъектом является лицо или процесс, выполняющее над объектом (информацией или процессом) некоторую операцию;

· задача информационной безопасности в обеспечении ограниченных прав действий субъектов над объектами;

· для ускорения и уменьшения ошибок в процессе наделения правами и субъекты и объекты классифицируются в однородные группы и уже в отношении целых групп определяются права доступа.

вопросы для самоконтроля

1. Перечислите возможные субъекты, объекты и операции в информационных системах.

2. Что такое неограниченный доступ и права доступа?

3. Приведите примеры классов субъектов.

4. Приведите примеры классов объектов.

Дата добавления: 2015-11-04; просмотров: 409 | Нарушение авторских прав