2014-02-17
542
| Субъект | Каталог d:\Heap | Программа prty | Принтер |
| Пользователь 1 | cdrw | e | w |
| Пользователь 2 | r | w c 9:00 до 17:00 |
Обозначения: c – создание, d – удаление, r – чтение, w – запись, e – выполнение.
3. Разграничение доступа по уровням секретности и категориям состоит в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категориями. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь обладает правом доступа ко всем данным с уровнем (грифом) секретности не выше, чем он имеет. При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю,
а все ресурсы АС декомпозируют по уровню важности, причем каждому уровню отвечает определенный ранг персонала (например, руководитель, администратор, пользователь).
4. Парольное разграничение задается на основе методов доступа субъектов к объектам по паролю. При этом применяются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы реализуют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
В ГОСТ Р 50739-95 “Средства вычислительной техники. Защита от несанкционированного доступа к информации” и документах Гостехкомиссии [53, 54] определены два вида (принципа) разграничения (управления) доступа (доступом): дискреционное и мандатное.
Дискреционное управление доступом представляет собой разграничение доступа между поименованными субъектами (пользователями) и поименованными объектами (файлы, программы, тома и т.д.). При данном виде разграничения доступа для каждой пары (субъект – объект) должно задаваться явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта к данному ресурсу (объекту) [53]. Такой вид разграничения доступа организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Другими словами, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Мандатное управление доступом реализуется на основе методов разграничения по уровням секретности и категориям.
