- •Введение
- •Введение в основы защиты информации
- •1.1. Основные направления защиты информации
- •1.2. Информация как предмет защиты
- •1.3. Основные угрозы компьютерной безопасности
- •1.5. Способы мошенничества в информационных системах
- •2. Классификация методов и средств защиты информации
- •2.1. Методы защиты информации
- •2.2. Классификация средств защиты информации
- •2.3. Организационные средства защиты информации
- •2.4. Законодательные средства защиты информации
- •2.5. Физические средства защиты данных
- •2.6. Аппаратные и программные средства защиты информации
- •Программно-аппаратные средства защиты
- •2.7. Требования к комплексным системам защиты информации
- •Стандарты безопасности кс
- •3. Криптографические методы и средства защиты данных
- •3.1. Общие определения
- •3.2. Общие сведения о криптографических системах
- •3.3. Методы шифрования
- •Алфавиты исходного и шифротекста
- •Шифрование с помощью ключа «Ключ»
- •Шифрование с автоключом при использовании открытого текста
- •Шифрования с автоключом при использовании
- •Используем следующую замену:
- •4. Современные симметричные и асимметричные криптосистемы
- •4.1. Стандарт шифрования данных (des)
- •Функция расширения е
- •4.2. Основные режимы работы алгоритма des
- •4.3. Криптографическая система гост 28147-89
- •4. Последовательность битов блока открытого текста
- •С обратной связью
- •В результате получают блоки открытых данных
- •4.4. Асимметричные криптографические системы
- •4.5. Криптосистема шифрования данных rsа
- •Получает
- •Получает
- •4.6. Криптосистемы Диффи-Хеллмана и Эль-Гамаля
- •4.7. Электронная цифровая подпись и ее применение
- •5. Защита информации в ос
- •5.1. Дискреционное управление доступом к объектам компьютерных систем
- •5.2. Мандатное управление доступом к объектам компьютерных систем
- •5.3. Классы защищенности
- •5.4. Подсистема безопасности защищенных версий
- •5.5. Разграничение доступа субъектов к объектам кс
- •6. Алгоритмы аутентификации пользователей
- •6.1. Способы аутентификации пользователей в кс
- •6.2. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •6.3. Аутентификация пользователей по их биометрическим характеристикам
- •6.4. Способы аутентификации, основанные на особенностях клавиатурного почерка и росписи мышью пользователей
- •6.5. Двухфакторная аутентификация
- •7.2. Межсетевой экран и политика сетевой безопасности
- •7.3. Основные компоненты межсетевых экранов
- •7.4. Основные схемы сетевой защиты на базе межсетевых экранов
- •7.5. Защищенные сетевые протоколы
- •8.2. Методы обнаружения и удаления вирусов
- •Методы защиты от программных закладок
- •8.4. Принципы построения систем защиты от копирования
- •8.5. Методы защиты от копирования
- •Заключение
- •Библиографический список
- •Оглавление
- •Учебное издание
- •394026 Воронеж, Московский просп., 14
5.2. Мандатное управление доступом к объектам компьютерных систем
Мандатное управление доступом (Mandatory Access Control, MAC) к объектам КС во многом лишено отмеченных недостатков. Характерные признаки мандатного управления доступом.
1. Все субъекты и объекты КС должны быть однозначно идентифицированы.
2. Должен существовать линейно упорядоченный набор меток конфиденциальности и соответствующих им степеней допуска (нулевая метка или степень соответствует открытому объекту и степени допуска к работе только с открытыми объектами).
3. Каждому объекту КС должна быть присвоена метка конфиденциальности.
4. Каждому субъекту КС должна быть присвоена степень допуска.
5. В процессе своего существования каждый субъект должен иметь свой уровень конфиденциальности, равный максимуму из меток конфиденциальности объектов, к которым данный субъект получил доступ.
6. В КС должен существовать привилегированный пользователь, имеющий полномочия на удаление любого объекта системы.
7. Понизить метку конфиденциальности объекта может только субъект, имеющий доступ к данному объекту и обладающий специальной привилегией.
8. Право чтения информации из объекта получает только тот субъект, чья степень допуска не больше метки конфиденциальности данного объекта (правило «не читать выше»).
9. Право на запись информации в объект получает только тот субъект, чей уровень конфиденциальности не меньше метки конфиденциальности данного объекта (правило «не записывать ниже»).
Основной целью мандатного управления доступом к объектам КС является предотвращение утечки информации из объектов с высокой меткой конфиденциальности в объекты с низкой меткой конфиденциальности (противодействие созданию каналов передачи информации «сверху вниз»).
Достоинства мандатного управления доступом.
1. Более высокая надежность работы самой КС, так как при разграничении доступа к объектам контролируется и состояние самой системы, а не только соблюдение установленных правил.
2. Большая простота определения правил разграничения доступом по сравнению с дискреционным управлением (эти правила более ясны для разработчиков и пользователей КС).
Недостатки мандатного управления доступом к объектам КС.
1. Сложность программной реализации, которая увеличивает вероятность внесения ошибок и появления каналов утечки конфиденциальной информации.
2. Снижение эффективности работы КС, так как проверка прав доступа субъекта к объекту выполняется не только при открытии объекта в процессе субъекта, но и перед выполнением любой операции чтения из объекта или записи в объект.
3. Создание дополнительных неудобств в работе пользователей КС, связанных с невозможностью изменения информации в неконфиденциальном объекте, если тот же самый процесс использует информацию из конфиденциального объекта (его уровень конфиденциальности больше нуля).
5.3. Классы защищенности
В руководящих документах Гостехкомиссии России определены девять классов защищенности АС от несанкционированного доступа, объединенных в три группы (наиболее защищенным является первый класс):
однопользовательские АС с информацией, размещенной на носителях одного уровня конфиденциальности (класс 3Б и 3А);
многопользовательские АС с одинаковыми полномочиями пользователей и информацией на носителях разного уровня конфиденциальности (классы 2Б и 2А);
многопользовательские АС с разными полномочиями пользователей и информацией разного уровня конфиденциальности (в порядке возрастания защищенности от класса 1Д до класса 1А).
В руководящих документах Гостехкомиссии России для АС класса защищенности 1Г и ниже должно быть обеспечено дискреционное управление доступом к объектам КС, а для КС класса 1В, 1Б, 1А – мандатное управление доступом к объектам КС.