Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности



         

Разграничение доступа


Средства логического разграничения доступа определяют действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информационными ресурсами, процессами, устройствами и т. п.). Такие средства позволяют также обеспечить контроль (поддерживают режим протоколирования) за совершением этих действий. В отличие от физического управления доступом, которое осуществляется на операционном уровне, например, персоналом, регламентирующим доступ пользователя в специальные помещения (компьютерные классы), в данном случае имеется в виду доступ, который обеспечивается программно-техническими средствами. Имея в виду специфику организации Интернет, необходимо подчеркнуть, что этот вид разграничения доступа является определяющим на Метасети.

С формальной точки зрения задача сводится к выполнению заранее установленного (хотя не обязательно статичного) для макрообъекта2 (продукта или системы ИТ) порядка выполнения для каждого из входящих в макрообъект субъектов операций над каждым из потенциальных атомарных объектов (составляющих макрообъект) при соблюдении, может быть, каких-то дополнительных условий (зависящих, например, от времени, места действия, каких-то ограничений используемого сервиса и т. п.)

Разграничение доступа осуществляется различными аппаратно-программными компонентами от ядра ОС, общецелевых программ (например, графика, СУБД) до отдельных систем прикладного программного обеспечения (например, Web-сервер) на основе принятого порядка выполнения и анализа дополнительных условий.

Модели этих отношений (включая порядок выполнения, дополнительные условия или полномочия), сценарии их формирования и изменения (включая уничтожение или появление новых), способы и механизмы организации, хранения, извлечения и анализа данных являются производными от выбранной политики безопасности объекта (продукта или системы ИТ). Они составляют суть (предмет) данного вида сервиса безопасности по отношению к защищаемому объекту. В качестве элементарных, отдельных или атомарных объектов могут выступать файлы, устройства (компьютеры или сетевое оборудование), процессы, такие средства взаимодействия процессов, как сегменты разделяемой памяти, очереди сообщений, семафоры и сокеты, отдельные компоненты прикладных систем, например, таблицы, процедуры баз данных (БД) и т. п.


Содержание    Вперед