На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Классификация субъектов и объектов доступа

Общая классификация субъектов и объектов доступа
Немаловажным является вопрос классификации субъектов и объектов доступа. Именно на основе этой классификации определяются задачи, которые должны решаться механизмами управления доступом. При этом разграничивается доступ каждого субъекта к каждому объекту.
Прежде всего, введем общую классификацию субъектов и объектов дос­тупа, которые потенциально могут присутствовать в защищаемой систе­ме. Общая классификация субъектов доступа приведена 1, а общая классификация объектов доступа — 2.
Горизонтальная связь к. запрос доступа к ресурсу генерирует процесс, запускаемый пользователем.
Очевидно, что представленные
Теперь введем детальные классификации возможных в системе субъек­тов и объектов доступа, доступ которых (к которым) должен разграни­чивать диспетчер доступа. Здесь же определим механизмы управления доступом, решающие задачи разграничения прав доступа.
Детальная классификация субъектов доступа
Как отмечалось, субъектами доступа к ресурсам компьютера являются пользователи и процессы. При этом каждый из этих субъектов, в свою оче­редь, может быть классифицирован. Классификация пользователей пред­ставлена 3. Классификация процессов представлена 4.
Детальная классификация объектов доступа
Так же как и субъекты доступа, в рамках представленной общей классифи­кации могут быть более детально классифицированы и объекты доступа.
Классификация файловых объектов данных, с учетом разделяемых в ЛВС представлена 5. Классификация файловых объектов программ представлена 6. Классификация устройств, с учетом разделяе­мых в ЛВС представлена 7.
Классификация каналов связи (виртуальные) ЛВС, в предположении, что защищаемый объект находится в составе ЛВС, представлена 8.
Требования к механизмам управления доступом
С учетом сказанного можем сделать вывод о необходимости управления доступом для каждой пары «субъект — объект». Без этого не может быть обеспечена полнота разграничительной политики доступа к ресурсам за­щищаемого объекта. При этом должна быть реализована следующая со­вокупность механизмов:
Механизм управления доступом пользователей (прикладных пользо­вателей и администратора) к ресурсам.
2. Механизм управления доступом процессов (прикладных и систем­ных) к ресурсам.
3. Механизм комбинированного доступа пользователя и процесса к ресурсам.
В качестве ресурсов, к которым должен разграничиваться доступ, долж­ны выступать:
При автономном (не в составе сети) функционировании защищае­мого объекта:
• логические диски (тома), каталоги, файлы данных;
• каталоги, не разделяемые ОС и приложениями (например, TEMP, «Корзина» и др.);
• каталоги с исполняемыми файлами, исполняемые файлы (обес­печение замкнутости программной среды);
• системный диск (где располагаются каталоги и файлы ОС);
• объекты, хранящие настройки ОС, приложений, системы защиты (для ОС Windows — реестр ОС);
• устройства;
• отчуждаемые внешние накопители (дискеты, CD-ROM диски и т.д.).
2. При функционировании защищаемого объекта в составе ЛВС по­мимо вышеуказанных должны дополнительно рассматриваться сле­дующие ресурсы:
• разделяемые в сети файловые объекты;
• разделяемые в сети устройства;
• хосты;
• сетевые информационные технологии (сетевые приложения и
службы).
С учетом формализованных требований к системе защиты при реализа­ции системы защиты конфиденциальной информации основу данных
механизмов должен составлять дискреционный принцип разграничения
прав доступа. При реализации системы защиты секретной информации
основу данных механизмов должен составлять мандатный принцип раз­граничения прав доступа, а дискреционный принцип в этом случае реа­лизуется в качестве дополнения к мандатному.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика