1 Теоретические аспекты механизмов защиты операционных систем 4
Download 42.77 Kb.
|
Analiz suctchestvyushih metodov zascthity OS (1)
2.4 Разграничение доступаПосле успешной регистрации система должна осуществлять авторизацию (authorization) - предоставление субъекту прав на доступ к объекту. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые были определены администратором, а также осуществляют контроль возможности выполнения пользователем различных системных функций. Система контроля базируется на общей модели, называемой матрицей доступа. Различают дискреционный (избирательный) способ управления доступом, полномочный (мандатный) и ролевой способ управление доступом. При избирательном разграничении доступа определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство ОС реализуют именно избирательное разграничение доступа (discretionary access control). Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов. Модель ролевого управления доступом (RBAC – Role-based Access Control) использует централизованно администрируемый набор контролей, предназначенных для определения порядка взаимодействия субъекта с объектом. Этот тип модели разрешает доступ к ресурсам, основываясь на роли пользователя в компании. Это называют недискреционным подходом, поскольку назначение пользователю роли является неизбежным. Cистема контроля доступа состоит из участника безопасности (пользователи, группы пользователей, службы, компьютеры), маркера доступа, объектов доступа, дескрипторов безопасности и алгоритма проверки прав. Теперь поговорим подробнее об элементах системы. Субъектами доступа выступают пользователи (однозначно определенные своей учетной записью в каталоге с соответствующим Security Identifier (SID) пользователя), привилегии (возможность выполнять ту или иную операцию на компьютере, индивидуально для каждого пользователя) и права (запреты и разрешения на выполнение тех или иных действий с объектом, с привязкой к объекту). Download 42.77 Kb. Do'stlaringiz bilan baham: 
|