Физика атома и ядра Физические законы механики Лекции по физике теория газов Электромагнетизм Оптика Физика атома Физика ядра Радиоактивность Постоянный ток Механика основные законы Электродинамика Магнетизм, электрический ток
Авторизация Биометрические системы контроля доступа Права доступа Угрозы преодоления разграничительной политики доступа к ресурсам
Даже в компьютерах установка специализированного шифровального оборудования создает меньше проблем, чем модернизация системного программного обеспечения с целью добавления в него функций шифрования данных. В идеале шифрование должно осуществляться незаметно для пользователя. Чтобы добиться этого при помощи программных средств, средства шифрования должны быть упрятаны глубоко в недра операционной системы. С готовой и отлаженной операционной системой проделать это безболезненно не так-то просто. Но даже любой непрофессионал сможет подсоединить шифровальный блок к персональному компьютеру, с одной стороны, и к внешнему модему, с другой.

Каноническая модель на основе произвольного управления виртуальными каналами взаимодействия субъектов

В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и множеств объектов (групп объектов). Описывается эта модель матрицей доступа Б, имеющей следующий вид.

Модель управления доступом формально может быть описана следующим образом:

» элемент (Бу) матрицы Бу = Зп/Чт, если 1 = ^

* иначе Бу = Д.

В данной модели каждому субъекту (группе субъектов) доступа предоставляется активный симплексный канал взаимодействия со всеми остальными субъектами доступа (с субъектами других групп) с использованием операции «добавление».

Под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» задают полный доступ субъектов к объектам, остальные элементы «Д» задают активные симплексные каналы взаимодействия с использованием операции «добавление».

Принудительное управление виртуальными каналами и полномочное управление доступом

Основу принудительного управления виртуальными каналами взаимодействия субъектов доступа составляет введение некоторой параметрической шкалы оценки субъектов и объектов доступа. При принудительном управлении виртуальными каналами реализуется полномочное управление доступом (управление доступом с учетом параметрической шкалы оценки субъектов и объектов доступа).

Введем следующие обозначения. Пусть множества С = {С1,..., Ск} и О = {01,..., Ок} — соответственно, линейно полномочно упорядоченные множества субъектов и объектов доступа, упорядоченные таким образом, что, чем меньше порядковый номер субъекта доступа, тем он обладает большими полномочиями по доступу к объектам. Соответственно, чем меньше порядковый номер объекта доступа, тем большие полномочия необходимы для доступа к нему.

В качестве субъекта доступа С1, 1 = 1,...,к рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа. Соответственно, в качестве объекта доступа 01, 1 = 1,...,к может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа.

При линейно полномочном упорядочивании множеств субъектов и объектов доступа С = {С1Ск) и О = {01,..., Ок} ьй субъект может иметь доступ к объектам с порядковым номером не меньше ¡-го (к объектам 01,...,0к) Соответственно, к ьму объекту могут иметь доступ субъекты с порядковым номером не больше 1-го (субъекты 01,...,01).

При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним. Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами-обладателями Очевидно, что различные механизмы, реализующие одну и ту же модель управления доступом, по свой сути идентичны. Их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа

Сканер в вопросах и ответах

Что такое сканер?

Сканер — это программа, предназначенная для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного компьютера и в деталях протоколируют отклик, который они получают от этого компьютера. Запустив сканер на своем компьютере, пользователь, скажем, из подмосковной Малаховки, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, в Лос-Анджелесе.

Каковы системные требования для работы со сканерами?

Большинство сканеров предназначено для работы в среде операционной системы UNIX, хотя к настоящему времени такие программы имеются практически для любой операционной системы. Возможность запустить сканер на конкретном компьютере зависит от операционной системы, под управлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, а с остальными операционными системами оказываются несовместимыми. Другие отказываются нормально работать на устаревших компьютерах с Windows 3.11 и с медленным, (до 14 400 бит/с) доступом к Internet, осуществляемым по коммутируемым линиям. Такие компьютеры будут надоедать сообщениями о переполнении стека, нарушении прав доступа или станут просто зависать.

Критичным является и объем оперативной памяти компьютера. Сканеры, которые управляются при помощи командной строки, как правило, более умеренны в своих требованиях, предъявляемых к объему оперативной памяти. А самыми “прожорливыми” являются сканеры, снабженные оконным графическим интерфейсом пользователя.

Трудно ли создать сканер?

Написать сканер не очень трудно. Для этого достаточно хорошо знать протоколы TCP/IP, уметь программировать на С или Perl и на языке сценариев, а также разбираться в программном обеспечении сокетов. Но и в этом случае не следует ожидать, что созданный вами сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наибольшая отдача от усилий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), чем материальной.

Что не по силам даже самому совершенному сканеру?

Не следует переоценивать положительные результаты, которых можно достичь благодаря использованию сканера. Действительно, сканер может помочь выявить дыры в защите хост-машины, однако в большинстве случаев информацию о наличии этих дыр сканер выдает в довольно завуалированном виде, и ее надо еще уметь правильно интерпретировать. Сканеры редко снабжаются достаточно полными руководствами пользователя. Кроме того, сканеры не в состоянии сгенерировать пошаговый сценарий взлома исследуемой компьютерной системы. Поэтому для эффективного использования сканеров на практике прежде всего необходимо научиться правильно интерпретировать собранные с их помощью данные, а это возможно только при наличии глубоких знаний в области сетевой безопасности и богатого опыта.

Аппаратное и программное шифрование Аппаратное шифрование Большинство средств криптографической защиты данных реализовано в виде специализированных физических устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой по ней информации. Преобладание аппаратного шифрования над программным обусловлено несколькими причинами.

Ядерная энергетика