Мандатное и дискретное управление доступом
В ГОСТе Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:
· дискретное управление доступом;
· мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по "Оранжевой книге США"), а мандатное управление реализует принудительное управление доступом.
Выводы по теме
1. Определение полномочий (совокупность прав) субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.
2. Существуют следующие методы разграничения доступа:
· разграничение доступа по спискам;
· использование матрицы установления полномочий;
· разграничение доступа по уровням секретности и категориям;
· парольное разграничение доступа.
3. При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
4. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы.
5. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.
6. Парольное разграничение основано на использовании пароля доступа субъектов к объектам.
7. В ГОСТе Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа: дискретное управление доступом и мандатное управление доступом.
8. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами.
9. Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
Вопросы для самоконтроля
1. Перечислите известные методы разграничения доступа.
2. В чем заключается разграничение доступа по спискам?
3. Как используется матрица разграничения доступа?
4. Опишите механизм разграничения доступа по уровням секретности и категориям.
5. Какие методы управления доступа предусмотрены в руководящих документах Гостехкомиссии?
6. Поясните механизм дискретного управления доступом?
7. Сравните дискретное и мандатное управление доступом.
Дата добавления: 2016-07-22; просмотров: 9515;