этапы допуска в компьютерную систему. Оглавление введение 2 Основные этапы допуска в компьютерную систему 4
 Скачать 279.13 Kb.
|
Рисунок 4. Схема обработки запроса на доступ к ресурсу при использовании матрицы полномочийВ ОС Linux права доступа к файлу или к каталогу описываются тремя (вообще-то больше, хотя эти три основные и самые важные) восьмеричными цифрами, самая левая из этой тройки – права владельца, средняя – права группы, правая – права всех остальных. Каждая из этих восьмеричных цифр представляет собой битовую маску из трех битов. Эти биты отвечают за права на (слева направо) чтение, запись и исполнение файла или каталога. Если установлена единица – доступ разрешен, если ноль – запрещен. Таким образом, права доступа к файлу, описанные цифрой 644, означают, что владелец может писать и читать файл, группа и остальные пользователи – только читать. С точки зрения функциональных возможностей чтение означает: просмотр содержимого файла, чтение каталога, запись означает: добавление или изменение файла, удаление или перемещение файлов в каталоге, выполнение файла означает: запуск программы, возможность поиска в каталоге в комбинации с правом чтения. Узнать о том, какие права доступа установлены к файлам и каталогам, можно, используя команду ls. Разграничение доступа по уровням секретности и категориямРазграничение доступа по уровням секретности заключается в том, что такие ресурсы вычислительной системы, как логические диски, каталоги, файлы, а также элементы баз данных разделяются на группы в соответствии с уровнями их секретности. В качестве таких уровней могут быть выделены следующие: «общий доступ»; «конфиденциально»; «секретно»; «совершенно секретно». Полномочия каждого пользователя задаются максимальным уровнем секретности информации, доступ к которой ему разрешен. В соответствии с этим, пользователю разрешается доступ только к данным, уровень секретности которых не выше уровня его полномочий. Разграничение доступа по категориям состоит в том, что все информационные ресурсы вычислительной системы (логические диски, каталоги, файлы, а также элементы баз данных) разделяются на группы в соответствии с категориями содержащихся в них данных. Например, все тактико-технические данные о средствах вооружения могут быть разделены по типам этих средств - данные о наземных, морских, а также воздушных средствах вооружения. Полномочия каждого пользователя задаются категориями информации, доступ к которой ему разрешен. В соответствии с этим, пользователю разрешается доступ только к данным, категории которых совпадают с категориями, заданными в его полномочиях. Важной особенностью разграничения доступа по уровням секретности и категориям, называемым еще мандатным способом разграничения, является то, что всем программам КС должно быть запрещено выполнение следующих действий: переписывание информации из областей памяти с более высоким уровнем секретности в области памяти с более низким; переписывание данных из областей памяти, соответствующих одной категории, в области памяти, соответствующие другой. Здесь в качестве области памяти может выступать как область внешней, так и оперативной памяти. Под областью внешней памяти понимается логический диск, каталог, файл или элемент базы данных, которому присвоен один уровень секретности или одна категория. Под областью же оперативной памяти - загруженный в оперативную память файл или элемент базы данных, соответствующий одному уровню секретности или одной категории. Достигнуть требуемой гибкости и детализации при разграничении доступа пользователей к информационным ресурсам крупной КС можно только при совместном использовании способов разграничения доступа по уровням секретности и категориям. |