Защита от атак

Подводя итог всему сказанному, в данном разделе можно сделать следующие выводы:

Read the rest of this entry »

read comments (0)

Под канонической моделью управления доступом на основе метода комбинированного управления виртуальными каналами взаимодействия субъектов доступа для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая следующей матрицей доступа:

Read the rest of this entry »

read comments (0)

Для данной модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = l,...,k (полномочия линейно упорядочены по возрастанию - чем меньше номер, тем выше полномочия).

Read the rest of this entry »

read comments (0)

Под канонической моделью управления доступом на основе метода принудительного управления виртуальными каналами взаимодействия субъектов доступа для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные ниже главной диагонали, «Чт» задают пассивные симплексные каналы взаимодействия с использованием операции «чтение».

  Read the rest of this entry »

read comments (0)

Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами-обладателями более низких полномочий.

Read the rest of this entry »

read comments (0)

В данной модели применяется метод произвольного управления виртуальными каналами взаимодействия субъектов доступа. В рамках этого метода субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.

Read the rest of this entry »

read comments (0)

При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним.

Read the rest of this entry »

read comments (0)

Принудительное управление виртуальными каналами и полномочное управление доступом

Основу принудительного управления виртуальными каналами взаимодействия субъектов доступа составляет введение некоторой параметрической шкалы оценки субъектов и объектов доступа. При принудительном управлении виртуальными каналами реализуется полномочное управление доступом (управление доступом с учетом параметрической шкалы оценки субъектов и объектов доступа).

Read the rest of this entry »

read comments (0)

Каноническая модель на основе произвольного управления виртуальными каналами взаимодействия субъектов

В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и множеств объектов (групп объектов). Описывается эта модель матрицей доступа D, имеющей следующий вид.

Read the rest of this entry »

read comments (0)

Методы произвольного и принудительного управления виртуальными каналами взаимодействия субъектов доступа

Выше рассматривались способы организации виртуального канала взаимодействия субъектов доступа. Рассмотрим методы управления ими.

Read the rest of this entry »

read comments (0)

Выше были рассмотрены различные модели управления доступом. С учетом сказанного, можем сделать следующие выводы относительно различия и общности альтернативных моделей:

Read the rest of this entry »

read comments (0)

Данная модель практически лишена недостатков, присущих ранее рассмотренным моделям. Здесь в полном объеме реализуется каноническая модель управления доступом. При этом обеспечивается возможность полноценного корректного взаимодействия субъектов доступа: каждый субъект доступа может взаимодействовать со всеми другими субъектами доступа системы без снижения уровня защищенности от НСД.

Read the rest of this entry »

read comments (0)

Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием только существующих объектов доступа без включения в систему дополнительных объектов.

Read the rest of this entry »

read comments (0)

Для иллюстрации сказанного, рассмотрим каноническую матрицу доступа D, реализуемую с использованием средств криптографической защиты.

Read the rest of this entry »

read comments (0)

Операция «добавление» отличается от операций «запись» и «модификация» тем, что ее выполнение не позволяет ни читать, ни модифицировать информацию, располагаемую в объекте, в который добавляется информация по каналу взаимодействия - - данная операция позволяет лишь добавить информацию, предотвращая возможность изменить существующую в объекте информацию.

Read the rest of this entry »

read comments (0)

Введем несколько определений:

» Под каналом взаимодействия субъектов доступа понимается реализуемая диспетчером доступа возможность обмена субъектами доступа информацией в рамках канонической модели управления доступом.

Read the rest of this entry »

read comments (0)

Однако все это не противоречит общности сформулированного утверждения, требования которого должны выполняться механизмом управления доступом при соответствующих настройках системы и диспетчера доступа к объекту любого вида. Например, диспетчер доступа к принтерам должен при включении в систему принтеров по числу субъектов доступа (в частности, пользователей) обеспечивать реализацию канонической модели управления доступом, где элементами матрицы доступа D будут «1» — доступ субъекту к принтеру разрешен, «О» — доступ субъекту к принтеру запрещен.

Read the rest of this entry »

read comments (0)

Диспетчер доступа реализует механизм управления доступом корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.

Read the rest of this entry »

read comments (0)

Введем следующие обозначения. Пусть множества С = {С1,...,Ск} и 0 = {01,...,Ok} — соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа Ci, i = l,...,k рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа. Соответственно, в качестве объекта доступа 01, 1 = l,...,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми правами доступа к ним.

Read the rest of this entry »

read comments (0)

В данном разделе введем и теоретически обоснуем основополагающие принципы решения задачи управления доступом к ресурсам, в предположении, что пользователь не является «владельцем» информации. Соответственно, должно выполняться требование к корректности реализации разграничительной политики доступа к ресурсу.

Read the rest of this entry »

read comments (0)