суббота, 29 декабря 2012 г.

Методы авторизации и анализа защищенности систем

Избирательное управление доступом  (англ. discretionary access control, DAC) - управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

Список управления доступом (англ. Access Control List, ACL) - список контроля доступа,  определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Мандатное управление доступом (англ. Mandatory access control, MAC) - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) - развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Роль - в широком смысле, это описание ограниченного множества действий, выполняемых кем-то или чем-то в рамках определённого процесса.

Несмотря на то, что Роль является совокупностью прав доступа на объекты компьютерной системы, ролевое управление доступом отнюдь не является частным случаем избирательного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению. Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.


Модель Take-Grant - это формальная модель, используемая в области компьютерной безопасности, для анализа систем дискреционного разграничения доступа; подтверждает либо опровергает степени защищенности данной автоматизированной системы, которая должна удовлетворять регламентированным требованиям. Модель представляет всю систему как направленный граф, где узлы - либо объекты, либо субъекты. Дуги между ними маркированы, и их значения указывают права, которые имеет объект или субъект (узел). В модели доминируют два правила: "давать" и "брать". Они играют в ней особую роль, переписывая правила, описывающие допустимые пути изменения графа. В общей сложности существует 4 правила преобразования:

  • правило "брать";
  • правило "давать";
  • правило "создать";
  • правило "удалить";

Используя эти правила, можно воспроизвести состояния, в которых будет находиться система в зависимости от распределения и изменения прав доступа. Следовательно, можно проанализировать возможные угрозы для данной системы.

Модель Белла - Лападулы  - модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

четверг, 27 декабря 2012 г.

Термины информационной безопасности

Регистрация - процедура присвоения субъекту уникального идентификатора, используемого в последствии для идентификации.

Идентификация - процедура распознавания субъекта по его идентификатору.

Аутентификация - процедура определения подлинности субъекта.

Авторизация - процедура предоставления прав субъекту и процедура проверки наличия прав у субъекта на выполнение операции над объектом.

Перед выполнением авторизации необходимо идентифицировать субъект, то есть выполнить процедуру идентификации. Процедура идентификации напрямую связана с аутентификацией. Субъект проходит процедуру аутентификации с целью подтверждения своей подлинности. Если процедура аутентификации успешно завершена, то идентификатор предоставленный пользователем является достоверным

Уровень достоверности идентификации зависит от уровня достоверности выполненной процедуры аутентификации. Степень надежности авторизации зависит от уровня достоверности идентификации.

Объект - учетная единица информационной системы.

Субъект - пользователь информационной системы.

Уникальный идентификатор - логин пользователя информационной системы.

Пароль - конфиденциальная информация используемая для аутентификации, известная только пользователю и информационной системе.

вторник, 25 декабря 2012 г.

О планировании


Рассказать и предусмотреть всё не реально. Хотя бы по той простой причине,
что составляя планы мы изменяем реальность. Изменённая реальность в свою оче-
редь требует изменённых планов и так до бесконечности.

(c) http://www.inp.nsk.su/~baldin/PostgreSQL/postgresql.pdf