Лабораторная работа №9

 

 

По дисциплине: «Теория защиты информационных систем»

На тему: «Механизмы обеспечения безопасности информации»

Специальность: Информационные системы

Выполнила: Джуманиязова Ж.Б. Группа: МИС(п)-17-2

Принял: проф. Казиев Г.З.

_______ ________________ «____» ________________2018г.

 

Алматы 2018

Цель работы – познакомиться с механизмами обеспечения безопасности информации

Задачи:

1. Что во вспомогательных способах несанкционированного доступа к информации в КС относится к «маскараду», «мистификации»?

2. Перечислите основные функции системы разграничения доступа (СРД) и функции обеспечивающих средств для СРД.

3. Какие существуют способы аутентификации пользователей в КС?

4. Перечислите операции с файлами, выполняемые пользователями (субъектами доступа)

5. Описать дискреционное и мандатное управление доступом.

6. В чѐм разница между дискреционным и мандатным управлениями доступом?

7. Что входит в систему разграничения доступа?

1.С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные основные способы:

• выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации — «маскарад»;

• создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), — «мистификация»;

2. К основным функциям СРД относятся:

• реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;

• изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;

• управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;

• реализация правил обмена информацией между субъектами в компьютерных сетях.

К функциям обеспечивающих средств для СРД относятся:

• идентификация и аутентификация субъектов и подержание привязки субъекта к процессу, выполняемому для него;

• регистрация действий субъекта и активизированного им процесса;

• исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;

• реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);

• учет выходных печатных форм в КС;

• контроль целостности программной и информационной части СРД и обеспечивающих ее средств.

3. Способы аутентификациипользователей в КС можно подразделить на три группы.

Первая группа - способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (парольная аутентификация).

Вторая группа - способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

Третья группа - способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).

4. Исходной информацией для создания СРД является решение владельца (администратора) КС о допуске пользователей к определенным информационным ресурсам КС. При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю (субъекту доступа).

Различают следующие операции с файлами:

• чтение (R);

• запись;

• выполнение программ (Е).

5. Дискреционное управление доступом (DiscretionaryAccessControl, DAC) к объектам КС предполагает выполнение следующих требований:

• все субъекты и объекты КС должны быть однозначно идентифицированы;

• для любого объекта КС должен быть определен пользователь-владелец;

• владелец объекта должен обладать правом определения прав доступа к объекту со стороны любых субъектов КС;

в КС должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом остановиться владельцем любого объекта).

Мандатное управление доступом(MandatoryAccessControl, MAC) к объектам КС во многом лишено отмеченных недостатков. В этом случае необходимо обеспечить выполнение следующих требований:

- все субъекты и объекты КС должны быть однозначно идентифицированы;

- должен существовать линейно упорядоченный набор меток конфиденциальности и соответствующих им степеней допуска (нулевая метка или степень соответствуют открытому объекту и степени допуска к работе только с открытыми объектами);

- каждому объекту КС должна быть присвоена метка конфиденциальности;

- каждому субъекту КС должна быть присвоена степень допуска;

- в процессе своего существования каждый субъект должен иметь свой уровень конфиденциальности, равный максимуму из меток конфиденциальности объектов, к которым данный субъект получил доступ;

- в КС должен существовать привилегированный пользователь, имеющий полномочия на удаление любого объекта системы;

- понизить метку конфиденциальности объекта может только субъект, имеющий доступ к данному объекту и обладающий специальной привилегией;

- право на чтение информации из объекта получает только тот субъект, чья степень допуска не больше метки конфиденциальности данного объекта (правило «не читать выше»);

- право на запись информации в объект получает только тот субъект, чей уровень конфиденциальности не меньше метки конфиденциальности данного объекта.

Основной целью мандатного управления доступом к объектам КС является предотвращение утечки информации из объектов с высокой меткой конфиденциальности в объекты с низкой меткой конфиденциальности (противодействие созданию каналов передачи информации «сверху вниз»).

Для мандатного управления доступом к объектам КС формально доказано следующее важное утверждение: если начальное состояние КС безопасно и все переходы из одного состояния системы в другое не нарушают правил разграничения доступа, то любое состояние КС также безопасно.

6. В руководящих документах Гостехкомиссии России для автоматизированной системы класса защищенности 1Г должно быть обеспечено дискреционное управление доступом к объектам КС, а начиная с класса 1В — мандатное управление доступом к объектам КС.

7. Система разграничения доступа к информации должна содержать четыре функциональных блока:

• блок идентификации и аутентификации субъектов доступа;

• диспетчер доступа;

• блок криптографического преобразования информации при ее хранении и передаче;

• блок очистки памяти.

Идентификация и аутентификация субъектов осуществляется в момент их доступа к устройствам, в том числе и дистанционного доступа.