Лабораторная работа "Матрица доступа"

Инструкционная карта к лабораторной работе

Тема:

Разграничение прав доступа к различным ресурсам в операционных систем семейства Windows

Цель:

ОС семейства Windows, при необходимости возможно использование виртуальной машины на основе ПС Virtual Box

Программное обеспечение:

ОС семейства Windows, при необходимости возможно использование виртуальной машины на основе ПС VMware

Теоретические основы.

Тема логического управления доступом – одна из сложнейших в области информационной безопасности. Дело в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Современные операционные системы могут поддерживать и другие объекты. для систем управления реляционными базами данных объект – это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа.

Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов. Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой (разобравшись предварительно в структуре хранения объектов базы данных.

Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

– идентификатор субъекта ;

– атрибуты субъекта;

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления – гибкость.. К сожалению, у "произвольного" подхода есть ряд недостатков. Рассосредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные администраторы.

При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования.. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить и это решение ролевой доступ.

Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величи. Ролевое управление доступом оперирует следующими основными понятиями:

– пользователь (человек, интеллектуальный автономный агент и т.п.);

– сеанс работы пользователя;

–роль (обычно определяется в соответствии с организационной структурой);

–объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);

– операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.; для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными);

– право доступа (разрешение выполнять определенные операции над определенными объектами).

№ задания

Содержание задания

Определить свой вариант (согласно порядковому номеру в журнале).

Написать программы в соответствии с вариантом, перенести в тетрадь и нарисовать

Методические указания

1. Создаем список субъектов доступа, см пример построения матрицы доступа к приложению «Управление соревнованиями» в таблице 1.

Таблица 1. Список субъектов

1. Определяем средства информационных ресурсов, пример в таблице 2.

Таблица 2. Средства информационных ресурсов

1. Определяем список возможных прав доступа, пример в таблице 2.

Таблица 3. Список прав доступа

1. Устанавливаем права доступа субъектов и информационным ресурсам, пример в таблице 4

Таблица 4. Установление права доступа субъектов доступа к средствам, информационным ресурсам.

Варианты заданий

№ варианта

Задания

Секретарь центра цифрового образования (Windows 7)

Администратор сетевого ресурса аптечной сети (Windows 7, 8)

Архивариус системы учета материальных ценностей мини маркета (Windows 8)

Продавец кассир (Windows 7, 8)

Финансовый аналитик (Windows 7, 8)

Менеджер эвентов (Линукс)

Администратор аренды автомобилей (Windows 7)

Диспетчер такси ( Линукс)

Директор кадрового агентства (Windows 7, 8)

Менеджер агентства недвижимости (Windows 8)

Администратор материального фонда библиотеки (Windows 7, 8)

Менеджер по логистике (Windows 10)

Администратор тематического форума (Линукс)

Директор агентства недвижимости (Windows 7, 8)

Кадровик в системе 1С (Windows 10)

Администратор он лине магазина (Windows 8,10)

Системный аналитик (Windows 7 сервер)

Администратор лечебной клиники(Windows 7, 8)

Кладовщик(Windows 8)

Учет улова на траулере (Линукс)

Контрольные вопросы

Что такое идентификатор субъекта ;

Опишите атрибуты субъекта;

Зачем необходимо разграничивать роли?

Что такое доступ?

Опишите режимы доступа?

Несанкционированный доступ это что?

Причины позникновения ролевого разделения?

Уровни разделения доступа

Информационные объекты доступа.

Литература по теме/ссылки на информационные ресурсы

https://scicenter.online/tehnologii-meditsine-informatsionnyie-scicenter/raspredelenie-prav-dostupa-136195.html

https://moodle.kstu.ru/pluginfile.php/328973/mod_resource/content/1/%D0%9B%D0%B5%D0%BA%D1%86%D0%B8%D1%8F%20%E2%84%96%202.pdf

https://www.anti-malware.ru/node/13626

*Порядок и содержание отчета: титульный лист, тема , цель, задание, ход работы, результаты работы по заданию, выводы