Регистрация

Уровни полномочий

 

То, что было описано выше, представляет собой процедуру установления полномочий, основанную на категориях ресурсов: пользователей, терминалов, операций и элементов данных. Но установление полномочий может также основываться на уровнях полномочий, связанных с этими ресурсами. Запросы на доступ отвергаются во всех случаях, когда уровень полномочий терминала или пользователя, запрашивающего разрешение на доступ, ниже уровня полномочий операции и/или запрашиваемых данных.

Можно комбинировать подходы по уровню полномочий и по категориям. Например, пусть существуют три уровня с последовательно возрастающими полномочиями: “конфиденциально”, “секретно” и “совершенно секретно”. Допустим также, что существуют 16 различных по категориям групп данных: С1, С2, …С16. Если правом пользователя является полномочие “совершенно секретно” и разрешен доступ к группам ресурсов С1, С3, С4, С7, С13, С14, а права используемого терминала является полномочие “секретно” и группы С11, С14, то пользователю с данного терминала будет разрешен доступ только к данным с грифом “конфиденциально” и “секретно” в группе С14. Если правом терминала является “секретно” м разрешен доступ к группам С11 и С15, а пользователь имеет описанные выше полномочия, то пользователь с этого терминала не будет иметь доступа ни к какой из 16 групп, так как пересечение прав пользователя и терминала является пустым.

Аналогично могут быть скомбинированы права прикладной программы и пользователя.

При необходимости управление доступом может быть осуществлено вне уровня файлов, т.е. на уровне каталогов. С помощью каталогов могут быть установлены иерархии последовательно более ограниченных доступов.

 

 

Регистрация является одним из эффективных методов увеличения безопасности вычислительных систем. Без ведения точного регистрационного журнала невозможно проследить за тем, что происходило в прошлом, и соответственно, перекрыть каналы утечки информации. Осуществить ведение точных журналов довольно просто, поскольку современные вычислительные системы способны записывать все осуществленные или неосуществленные попытки доступа к данным или программам. Регистрационный журнал, управляющий вычислительной системой, может анализироваться как периодически, так и непрерывно.

В регистрационных журналах ведется список всех запросов, осуществляемых пользователями. Для каждого запроса фиксируется выделяемое системой время, элементы данных, использование терминалом, предоставляемые задания или программы, а также информация, был ли разрешен доступ или нет.

Журналы регистрации должны позволять администратору системы определять:

- профили полномочий, связанных с любым защищаемым ресурсом;

- учет всех изменений в профилях полномочий;

- сами изменения, сделанные в профилях полномочий;

- все доступы, осуществленные к любому защищаемому ресурсу;

- все отказы в доступе;

- любые случаи, когда доступ к защищаемым данным был разрешен системой, но пользователь или терминал его не использовал;

- любые перестановки “стрелок” системных часов или другие изменения в содержании памяти.

Для ведения таких журналов в современных ОС предусмотрены служебные программы учета.