Разработка схемы дискреционного контроля доступа

Размещено на http://www.allbest.ru/

ОГЛАВЛЕНИЕ

Введение

1. Модели защиты информации

2. Практическое задание

2.1 Описание кафедры

2.2 Выявление субъектов и объектов

2.3 Построение матрицы доступа

2.4 Списки доступа

Заключение

Список литературы

ВВЕДЕНИЕ

Избирательное управление доступом (англ. discretionary access control, DAC) -- управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также используются названия «дискреционное управление доступом», «контролируемое управление доступом» или «разграничительное управление доступом».

Комплекс средств защиты (КСЗ) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т. е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа (ПРД).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

Дополнительно по классу защищенности 5 должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

Дополнительно по классу защищенности 4 КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т. е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т. д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.

Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

1. МОДЕЛИ ЗАЩИТЫ ИНФОРМАЦИИ

Существует множество моделей защиты информации. Но все они являются модификациями трёх основных: дискреционной, мандатной и ролевой.

Дискреционная модель обеспечивает произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей - субъектов, которые осуществляют доступ к информации, пассивных сущностей - объектов, содержащих защищаемую информацию и конечного множества прав доступа, означающих полномочия на выполнение соответствующих действий. Принято считать, что все субъекты одновременно являются и объектами (обратное неверно). Поведение системы характеризуется текущим состоянием, текущее состояние характеризуется тройкой множеств: субъектов, объектов и матрицы прав доступа, описывающей текущие права доступа субъектов к объектам.

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, назначается специальная метка, получившая название уровень безопасности. Все уровни безопасности упорядочиваются по доминированию. Контроль доступа основывается на двух правилах:

1. Субъект имеет право читать только те документы, уровень безопасности которых ниже или равен уровню субъекта.

2. Субъект имеет право заносить информацию только в документы, уровень которых выше или равен уровню субъекта.

Ролевая модель представляет собой существенно усовершенствованную дискреционную модель, однако её нельзя отнести ни к дискреционным, ни к мандатным моделям, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. В ролевой модели классическое понятие субъект замещается понятиями пользователь и роль (Рис.1).

Рис. 1. Ролевая модель управления доступом

защита информация модель проектирование

2. ПРАКТИЧЕСКАЯ ЗАДАНИЕ

В ИС кафедры АСУ разработать схему дискреционного контроля доступа. Выявить типы пользователей (субъекты), основные виды информации (объекты) и построить матрицу доступа, списки доступа.

2.1 Описание кафедры

В университете имеется кафедра АСУ (автоматизированных систем управления). Кафедра состоит из 4 кабинетов, предназначенных для обучения студентов. В каждом таком кабинете имеется 20 компьютеров для студентов и 1 для преподавателя. Имеется преподавательская, в которой находится 4 компьютера, предназначенных для преподавателей и 1 компьютер, предназначенный для заведующего кафедрой. На кафедре есть серверное помещение, в котором находится сервер и коммутатор. Все компьютеры соединены в локальную сеть и имеют доступ к Интернету. На сервере имеются следующие виртуальные сервера: файловый сервер, почтовый сервер, контроллер домена. Каждый пользователь информационной системы (ИС) имеет свою доменную учетную запись, свою папку на сетевом диске, свой локальный почтовый ящик. Преподаватели могут работать как с компьютеров, расположенных в учебных аудиториях, так и с компьютеров, расположенных в преподавательской. Студенты доступ в преподавательскую не имеют.

2.2 Выявление субъектов и объектов

Данные, хранящиеся в ИС:

· данные об успеваемости студентов (нужны преподавателям, студентам, заведующему кафедры)

· учебные материалы преподавателей (нужны в основном преподавателям, реже - студентам)

· списки студентов, содержащие их персональные данные (ПДн) (нужны преподавателям и заведующему кафедры)

· данные отчетности преподавателей (нужны преподавателям и заведующему)

· данные студентов, относящиеся к учебе (нужны студентам, иногда - преподавателям)

· данные отчетности заведующего кафедры (нужны только зав. кафедры)

Субъекты:

· студенты

· преподаватели

· заведующий кафедры

2.3 Построение матрицы доступа

Построим матрицу доступа для данных об успеваемости студентов:

При этом каждый студент может смотреть только данные о своей успеваемости.

Построим матрицу доступа для учебных материалов преподавателей:

Студенты имеют доступ только к данным своего преподавателя, преподаватель имеет доступ только к своим данным.

Построим матрицу доступа к спискам студентов:

Преподаватели имеют доступ только к данным своих групп.

Построим матрицу доступа к данным отчетности преподавателей:

Преподаватели имеют доступ только к своим данным.

Построим матрицу доступа к данным студентов, относящейся к учебе:

Студенты имеют доступ только к своим данным.

Построим матрицу доступа к данным отчетности заведующего кафедры:

Построим сводную матрицу доступа, в которой первый знак будет обозначать наличие прав на чтение, второй - на изменение, третий - на удаление:

2.4 Списки доступа

Список доступа к данным об успеваемости:

- студенты

- преподаватели

- зав. кафедры

Список доступа к учебным материалам:

- студенты

- преподаватели

Список доступа к списку студентов:

- преподаватели

- зав. кафедры

Список доступа к данным отчетности преподавателей:

- преподаватели

- зав. кафедры

Список доступа к данным студентов:

- студенты

- преподаватели

Список доступа к данным отчетности заведующего кафедры:

- зав. Кафедры

ЗАКЛЮЧЕНИЕ

В ходе выполнения работы была разработана схема дискреционного контроля доступа для ИС кафедры АСУ.

Разработанная схема контроля доступа включает в себя:

- Описание кафедры;

- Выявленные типы пользователей (субъекты);

- основные виды информации (объекты);

- матрицу доступа к данным;

- списки доступа к данным;

СПИСОК ЛИТЕРАТУРЫ

1. Анисимова И.Н., Стельмашонок Е.В. Защита информации. Учебное пособие. - 2002.

2. Анисимова И.Н. Защита информации. Методические указания по выполнению лаб. работ для студентов всех специальностей. - 2001.

3. Анисимова И.Н. Защита информации. Метод. указания по изучению дисциплины и контрольные задания для студентов заочной формы обучения. Специальность 521400. - 2001.

4. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-Санкт-Петербург, 2000. - 384 с.

5. Ярочкин В.И. Безопасность информационных систем (Безопасность предпринимательства). - М.: Ось-89, 1996. - 318 с.

Размещено на Allbest.ru