Настоящая любовь - это желание осчастливить кого-то. © Александр Дьяков 1097 - | 895 - или читать все...
Обратная связь Пожаловаться на материал

Списки управления доступом к объекту


⇐ ПредыдущаяСтр 28 из 53Следующая ⇒

В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Эго равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

Такое представление матрицы доступа получило название «списка управления доступом» (access control list - ACL). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT/2000/2003/XP/Vista (в NTFS).

Достоинства:

o экономия памяти, так как матрица доступа обычно сильно разрежена;

o удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту.

Недостатки:

o неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

o неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

o так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

Списки полномочий субъектов

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

Такое представление матрицы доступа называется «профилем» (profile) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare.

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

Достоинства:

o экономия памяти, так как матрица доступа обычно сильно разрежена;

o удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект.

Недостатки:

o неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

o неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

o так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

Атрибутные схемы

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определённых меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX.

Основными достоинствами этих схем являются:

o экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

o удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

o удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

o отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

Недостатки:

o дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

o затруднено задание прав доступа конкретного субъекта к конкретному объекту.

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе, тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

o вход пользователя в систему;

o вход пользователя в сеть;

o неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

o подключение к файловому серверу;

o запуск программы;

o завершение программы;

o оставление программы резидентно в памяти;

o попытка открытия файла недоступного для чтения;

o попытка открытия на запись файла недоступного для записи;

o попытка удаления файла недоступного для модификации;

o попытка изменения атрибутов файла недоступного для модификации;

o попытка запуска программы, недоступной для запуска;

o попытка получения доступа к недоступному каталогу;

o попытка чтения/записи информации с диска, недоступного пользователю;

o попытка запуска программы с диска, недоступного пользователю;

o вывод на устройства печати документов с грифом (при полномочном управлении доступом);

o нарушение целостности программ и данных системы защиты и др.

В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации. Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создаёт дополнительные сложности в администрировании системы защиты.

Дата добавления: 2022-01-22; просмотров: 14; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая23242526272829303132Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.011)