Разграничение доступа.

Автоматизированная система в зависимости от ее сложности и выполняемых задач может размещаться в одной, двух, трех и т. д. помещениях, этажах, зданиях. В силу различия функциональных обязанностей и работы с разными документами необходимо обеспечить разграничение доступа пользователей к их рабочим местам, аппаратуре и информации. Это обеспечивается размещением рабочих мест пользователей в отдельных помещениях, закрываемых разного рода замками на входных дверях с устанавливаемыми на них датчиками охранной сигнализации или применением специальной автоматической системы контроля доступа в помещения по жетонам или карточкам с индивидуальным кодом ее владельца, записанным в ее память.

Разграничение доступа в автоматизированной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача такого разграничения доступа к информации: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди законных пользователей.

Основная задача контроля и разграничения доступа (ПКРД) – это блокировка несанкционированного, контроль и разграничение санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц-пользователей, обслуживающего персонала и руководителей работ.

Основной принцип построения ПКРД состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий. В указанных целях осуществляются идентификация и аутентификация пользователей, устройств и т.д., деление информации и функций ее обработки согласно установленным требованиям разграничения доступа, установка и ввод полномочий пользователей

Деление информации и функций ее обработки обычно производится по следующим признакам:

По степени важности;

По степени секретности;

По выполняемым функциям пользователей, устройств;

По наименованию документов;

По видам документов;

По видам данных;

По наименованию томов, файлов, массивов, записей;

По имени пользователя;

По функциям обработки информации: чтению, записи, исполнению;

По времени дня.

Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и другие должны быть технически и организационно отделены от основных задач системы. Комплекс средств автоматизации и организация его обслуживания должны быть построены следующим образом:

Техническое обслуживание ИС в процессе эксплуатации должно выполняться специальным техническим персоналом без доступа к информации, подлежащей защите;

Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации-владельце ИС, вычислительной сети или АСУ;

Организация доступа пользователей к памяти ИС должна обеспечивать возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;

Регистрация и документирование технологической и оперативной информации должны быть разделены.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и ИС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители – электронные ключи, жетоны, смарт-карты и т.д.

Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом ИС. А конкретное разграничение при эксплуатации ИС устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

В указанных целях при проектировании вычислительных средств для построения ИС проводятся:

Разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ЭВМ, ПК, сервера;

Изоляция областей доступа;

Разделение базы данных на группы;

Процедуры контроля перечисленных функций.

Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного ИС, так и АСУ (сети) в целом;

Разработка аппаратных средств идентификации и аутентификации пользователя;

Разработка программных средств контроля и управления разграничением доступа;

Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

Выбор конкретных признаков разграничения доступа и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения автоматизированной системы.

Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, что доступ к информационному объекту осуществляется через единственный охраняемый вход. В функцию «охраны» входят опознание пользователя по имени (или условному номеру) и коду предъявленного пароля. При положительном результате проверки разрешается допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т.д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен вставляться пользователем в специальное гнездо АРМ. Кроме того, после изъятия носителя с паролем из гнезда вход в систему сразу блокируется.

Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную, необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного АРМ. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного АРМ, т.е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером АРМ, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с АРМ ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на АРМ пользователя должно быть выдано сообщение. Для проверки последней операции полезно повторить одно из предыдущих обращений без пароля и убедиться в этом по отрицательной реакции вычислительной системы.

Разграничение доступа

Наименование параметра	Значение
Тема статьи:	Разграничение доступа
Рубрика (тематическая категория)	Военное дело

Рис.8.2. Стоимость и уровень технологий аутентификации

4. Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местоположению . Данный защитный механизм основан на использовании системы космической навигации типа GPS (Global Positioning System) . Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить местоположение пользователя. Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет применять ее в случаях, когда авторизованный удаленный пользователь должен находиться в определœенном месте.

Суммируя возможности механизмов и средств аутентификации, по уровню информационной безопасности выделим три вида аутентификации : 1) статическую; 2) устойчивую; 3) постоянную.

Статическая аутентификация обеспечивает защиту только от НСД в системах, где нарушитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и от того, насколько хорошо они защищены. Для компрометации статической аутентификации нарушитель может подсмотреть, подобрать, угадать или перехватить аутентификационные данные.

Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентификации являются системы, применяющие одноразовые пароли и электронные подписи. Устойчивая аутентификация обеспечивает защиту от атак, где злоумышленник может перехватить аутентификационную информацию и использовать ее в следующих сеансах работы. При этом устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирующийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать информацию и вставить ее в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанного вида аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.

После выполнения идентификации и аутентификации крайне важно установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс принято называть разграничением (логическим управлением) доступа .

Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов бывают программы, данные, логические устройства, объём памяти, время процессора, приоритет и т.д.

Можно выделить следующие методы разграничения доступа : 1) по спискам; 2) с использованием матрицы установления полномочий; 3) по уровням секретности и категориям; 4) парольное.

1. При разграничении доступа по спискам задаются следующие соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователœей и прав их доступа к данному ресурсу. Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.

2. Использование матрицы установления полномочий предполагает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Размещено на реф.рф
(табл.8.3). Данный метод предоставляет более унифицированный и удобный подход, так как вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток – пустые).

Таблица 8.3

Разграничение доступа - понятие и виды. Классификация и особенности категории "Разграничение доступа" 2017, 2018.

Методические указания к практическому занятию № 10

Тема : Разграничение прав доступа в сети, общее дисковое пространство в локальной сети. Защита информации, антивирусная защита.

Количество часов : 2

Цель: научиться разграничивать права доступа в компьютерной сети и пользоваться антивирусной защитой

Задание: Ознакомиться с теоретическими положениями по данной теме, выполнить задания практического занятия, сформулировать вывод.

Отчет должен содержать:

1.Название работы

2.Цель работы

3.Результаты выполнения задания 1, 2, 3, 4, 5, 6

4.Вывод по работе (необходимо указать виды выполняемых работ, достигнутые цели, какие умения и навыки приобретены в ходе ее выполнения)

Методические указания к выполнению:

Теоретические сведения 1.

1. Разграничение прав доступа в сети

Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.

В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.

Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.

Протокол обмена – это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.

Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.

Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.

Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией).

Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.

Программное обеспечение можно разделить на два класса:

программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;

программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.

Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.

2.Задание:

Задание №1. Определите общий ресурс компьютера. Для этого:

В операционной системе Windows найти на рабочем столе значок Сеть.

Открыть папку, где будут видны все компьютеры, которые подключены в одну сеть.

В данном окне появятся все компьютеры, которые подключены к сети.

Открыть один из них. Посмотреть ресурсы компьютера, которыми можно воспользоваться. Такие ресурсы называются общими.

Задание № 2.Предоставьте доступ для пользователей локальной сети к папке на своем компьютере, подключенном к локальной сети. Для этого:

В операционной системе Windows открыть окно папки Компьютер и на диске D: создать свою папку. Назвать ее номером своей группы.

Щелкнуть правой кнопкой мыши по значку папки и в контекстном меню папки выберите команду Общий доступ.

Выбрать нужное подменю: Конкретные пользователи

В списке Сеть внизу появится новая папка: поездка 27.07.2016

Если все правильно сделано, то на диске (у вашей папки) появится значок, который показывает, что папка является общей.

Задание №3. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов?

Решение:

50*70=3500 символов на страницу.

Так как не указано, сколько символов в алфавите, возьмем 1 байт на символ. Итого 3500 байт или (умножить на 8) 28000 бит.

Теперь делим 100,000,000 на 28,000. Получаем 3571.43 страниц.

Решить самостоятельно по следующим данным :

1 страница текста содержит 70 строк и на каждой строке - 50 символов?

Задание №4. Ответьте на вопросы:

Теоретические сведения 2

1. Защита информации, антивирусная защита.

Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере.

Признаки заражения:

прекращение работы или неправильная работа ранее функционировавших программ

медленная работа компьютера

невозможность загрузки ОС

исчезновение файлов и каталогов или искажение их содержимого

изменение размеров файлов и их времени модификации

уменьшение размера оперативной памяти

непредусмотренные сообщения, изображения и звуковые сигналы

частые сбои и зависания компьютера и др.

Классификация компьютерных вирусов:

по среде обитания;

по способу заражения;

по воздействию;

по особенностям алгоритма.

По среде обитания

Сетевые – распространяются по различным компьютерным сетям.

Файловые – внедряются в исполняемые модули (COM, EXE).

Загрузочные – внедряются в загрузочные сектора диска или сектора, содержащие программу загрузки диска.

Файлово - загрузочные – внедряются и в загрузочные сектора и в исполняемые модули.

По способу заражения

Резидентные – при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая потом. перехватывает обращения ОС к объектам заражения.

Нерезидентные – не заражают оперативную память и активны ограниченное время.

По воздействию:

Неопасные – не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках.

Опасные – приводят к различным нарушениям в работе компьютера.

Очень опасные – могут приводить к потере программ, данных, стиранию информации в системных областях дисков.

По особенностям алгоритма:

Черви – вычисляют адреса сетевых компьютеров и отправляют по ним свои копии.

Стелсы – перехватывают обращение ОС к пораженным файлам и секторам и подставляют вместо них чистые области.

Трояны – не способны к самораспространению, но маскируясь под полезную, разрушают загрузочный сектор и файловую систему.

Основные меры по защите от вирусов:

оснастите свой компьютер одной из современных антивирусных программ: Doctor Weber, Norton Antivirus, AVP

постоянно обновляйте антивирусные базы

делайте архивные копии ценной для Вас информации (гибкие диски, CD)

Классификация антивирусного программного обеспечения:

Сканеры (детекторы)

Мониторы

Ревизоры

Сканера . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.

Мониторы . Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распространение вируса на самой ранней стадии.

Ревизоры. Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, информацию о структуре каталогов, иногда - объем установленной оперативной памяти.

Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием.

2. Задание

Задание №5.Укажите основные антивирусные программы и охарактеризуйте их (достоинства и недостатки, основные особенности)

Задание№6.Проведите проверку своего ПК антивирусными программами.

3. Контрольные вопросы

1.Что такое глобальная сеть?

2.Что такое шлюзы?

3.Что такое протокол обмена?

4.На какие два класса можно разделить программное обеспечение?

5.Что такое компьютерный вирус?

6.Назовите три признаки заражения вирусами ПК?

7.Как классифицируется антивирусное программное обеспечение?

8.Назовите основные меры по защите от вирусов?

Разграничение доступа в информационной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями .

Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала.

При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.

Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы. Информационная система в целом, а также комплекс средств автоматизации и организация их обслуживания должны быть построены следующим образом:

Техническое обслуживание комплекса средств автоматизации в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;

Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации -- владельце комплекса средств автоматизации, компьютерной сети, автоматизированной системы управления или информационной системы в целом;

Организация доступа пользователей к устройствам памяти (хранения) информационной системы должна обеспечивать возможность разграничения доступа к информации, хранящейся на них, с достаточной степенью детализации и в соответствии с заданными уровнями (политиками) полномочий пользователей;

Регистрация и документирование технологической и оперативной информации должны быть разделены.

Разграничение доступа пользователей-потребителей информационной системы может осуществляться также по следующим параметрам:

По виду, характеру, назначению, степени важности и секретности информации;

Условному номеру терминала;

Времени обработки и др.

Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом информационной системы. А конкретное разграничение при эксплуатации системы устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

В указанных целях при проектировании и планировании эксплуатации базового информационного и вычислительного комплекса с учетом комплекса средств автоматизации производятся:

Разработка или адаптация операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти вычислительного комплекса;

Изоляция областей доступа;

Разделение базы данных на группы;

Процедуры контроля перечисленных функций.

При проектировании и эксплуатации комплекса средств автоматизации, автоматизированной системы управления и информационной системы в целом (сети) на их базе производятся:

Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного комплекса средств автоматизации, так и информационной системы в целом;

Разработка аппаратных средств идентификации и аутентификации пользователя;

Разработка программных средств контроля и управления разграничением доступа;

Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и комплекса средств автоматизации. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронные ключи или карточки.

Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

Задача указанного метода -- существенно затруднить преднамеренный перехват информации нарушителем. Примером такого доступа может быть сейф с несколькими ключами, замок которого открывается только при наличии всех ключей. Аналогично в информационной системе может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей.

Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.

Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить высокоэффективную защиту информации от преднамеренного несанкционированного доступа.

Кроме того, при наличии дефицита в средствах, а также в целях постоянного контроля доступа к ценной информации со стороны администрации потребителя информационной системы в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на дисплей подчиненного -- только информация о факте ее вызова .

Управление доступом к информации в сети передачи и в автоматизированной системе управления

Управление доступом к информации в сети передачи осуществляется при ее подготовке, в процессе эксплуатации и завершения работ.

При подготовке сети передачи информации и автоматизированной системы управления к эксплуатации управление доступом заключается в выполнении следующих функций:

Уточнении задач и распределении функций элементов сети и автоматизированной система управления и обслуживающего персонала;

Контроле ввода адресных таблиц в элементы сети;

Вводе таблиц полномочий элементов сети, пользователей, процессов и т. д.;

Проверке функционирования систем шифрования и контроля полномочий.

В процессе эксплуатации управление доступом предполагает:

Контроль соблюдения полномочий элементами сети, процессами, пользователями и т. д.; своевременное обнаружение и блокировку несанкционированного доступа;

Контроль соблюдения правил шифрования данных и применения ключей шифрования;

Сбор, регистрацию и документирование информации о несанкционированном доступе с указанием места, даты и времени события;

Регистрацию, документирование и контроль всех обращений к информации, подлежащей защите, с указанием даты, времени и данных отправителя и получателя информации;

Изменение и ввод при необходимости новых полномочий элементов сети, процессов, терминалов и пользователей;

Проведение организационных мероприятий по защите информации в сети передачи и автоматизированной системе управления.

В простейшем случае управление доступом может служить для определения того, разрешено или нет пользователю иметь доступ к некоторому элементу сети. Повышая избирательность управления доступом можно добиться того, чтобы доступ к отдельным элементам сети для отдельных пользователей и элементов сети разрешался или запрещался независимо от других. И наконец, механизмы управления доступом можно расширить так, чтобы они охватывали объекты внутри элемента сети, например процессы или файлы.

Нарушение полномочий выражается:

В обращении с запросом или выдаче отправителем команд, не предусмотренных в списке получателей элемента сети;

Несовпадении значений предъявленного и хранимого на объекте-получателе паролей;

Получении им зашифрованной информации, не поддающейся расшифровке, и т. д.

Во всех перечисленных случаях дальнейшая обработка и передача данных кодограмм прекращается, и на объект управления безопасностью информации автоматически передается сообщение о факте несанкционированного доступа, его характере, имени объекта-отправителя, дате и времени события. Каждый случай несанкционированного доступа регистрируется и документируется на объекте-получателе и объекте управления доступом в сети передачи информации и автоматизированной системе управления. После получения сообщения о несанкционированном доступе служба безопасности информации производит расследование случившегося и устанавливает причину события. Если причина события случайная, решение вопроса поручается службе обеспечения надежности, если преднамеренная - выполняются соответствующие указания должностной инструкции, разработанной данной организацией или фирмой-владельцем сети передачи информации и автоматизированной системы управления .

Управление доступом может быть трех видов:

Централизованное управление. Установление полномочий производится администрацией организации или фирмы-владельца автоматизированной системы управления, сети или информационной системы в целом. Ввод и контроль полномочий осуществляется представителем службы безопасности информации с соответствующего объекта управления;

Иерархическое децентрализованное управление. Центральная организация, осуществляющая установление полномочий, может передавать некоторые свои полномочия подчиненным организациям, сохраняя за собой право отменить или пересмотреть решения подчиненной организации или лица;

Индивидуальное управление. В этой ситуации не существует статической иерархии в управлении распределением полномочий. Отдельному лицу может быть разрешено создавать свою информацию, гарантируя при этом ее защиту от несанкционированного доступа. Владелец информации может по своему усмотрению открыть доступ к ней другим пользователям, включая передачу права собственности. Все указанные виды управления могут применяться одновременно в зависимости от характера деятельности и задач организации-владельца автоматизированной системы управления, сети или информационной системы в целом.

При централизованном контроле полномочий на терминале возможно отображение структуры автоматизированной системы управления, сети или информационной системы в целом. При этом каждому элементу автоматизированной системы управления, сети или информационной системы присваивается имя или номер, при отображении которых вводятся по каждому элементу следующие признаки его состояния: «введен - не введен в состав системы», «исправен - неисправен» и «нет несанкционированного доступа - есть несанкционированный доступ».

Современные средства отображения позволяют реализовать эти признаки в различных вариантах, удобных для операторов.

Функции контроля и управления безопасностью информации в автоматизированной системе управления (сети) можно возложить на оператора автоматизированного рабочего места системы безопасности информации комплекса средств автоматизации обработки информации, являющегося управляющим объектом автоматизированной системы управления (сети).

В последние годы на российском рынке приобретают популярность корпоративные (частные) цифровые сети связи, ранее в основном использовавшиеся для передачи секретной информации в оборонных отраслях промышленности. Основное назначение таких сетей -- обеспечить закрытой связью абонентов, связанных корпоративными интересами .

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация -- процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация -- процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация -- процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если.система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

Администрирование -- регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting -- все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором .

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры -- обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Пароль -- это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль - это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

Система запрос-ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней .

Таким образом, можно сделать выводы, что перед тем как начать строить систему защиты информации нужно сначала определить состав защищаемой информации, произвести анализ возможных угроз и выбрать адекватную политику безопасности.

На просторах России много фирм и мелких предприятий не имеют в штате своего системного администратора на постоянной основе или приходящего время от времени. Фирма растёт и рано или поздно одной расшаренной папки в сети, где каждый может делать что захочет, становится мало. Требуется разграничение доступа для разных пользователей или групп пользователей на платформе MS Windows. Линуксоидов и опытных админов просьба не читать статью.

Самый лучший вариант - взять в штат опытного админа и задуматься о покупке сервера. Опытный админ на месте сам решит: поднимать ли MS Windows Server с Active Directory или использовать что-то из мира Linux.

Но данная статья написана для тех, кто решил пока мучаться самостоятельно, не применяя современные программные решения. Попытаюсь объяснить хотя бы как правильно реализовывать разграничение прав.

Прежде чем начать хотелось бы разжевать пару моментов:

• Любая операционная система "узнаёт" и "различает" реальных людей через их учётные записи. Должно быть так: один человек = одна учётная запись .
• В статье описывается ситуация, что в фирме нет своего админа и не куплен, к примеру, MS Windows Server. Любая обычная MS Windows одновременно обслуживает по сети не более 10 для WinXP и 20 человек для Win7. Это сделано фирмой Microsoft специально, чтобы клиентские Windows не перебегали дорогу серверам Windows и вы не портили бизнес Microsoft. Помните число 10-20 и когда в вашей фирме будет более 10-20 человек, вам придётся задуматься о покупке MS Windows Server или попросить кого-либо поднять вам бесплатный Linux Samba сервер, у которого нет таких ограничений.
• Раз у вас нет грамотного админа, то ваш обычный комп с клиентской MS Windows будет изображать из себя файловый сервер. Вы вынуждены будете продублировать на нём учётные записи пользователей с других компьютеров, чтобы получать доступ к расшаренным файлам. Другими словами, если есть в фирме ПК1 бухгалтера Оли с учётной записью olya, то и на этом "сервере" (именую его в дальнейшем как WinServer) нужно создать учётную запись olya с таким же паролем, как и на ПК1.
• Люди приходят и уходят. Текучесть кадров есть везде и если вы, тот бедный человек, который не админ и назначен (вынужден) поддерживать ИТ вопросы фирмы, то вот вам совет. Делайте учётные записи, не привязанные к личности. Создавайте для менеджеров - manager1, manager2. Для бухгалтеров - buh1, buh2. Или что-то подобное. Ушёл человек? Другой не обидится, если будет использовать manager1. Согласитесь это лучше, чем Семёну использовать учётную запись olya, так как влом или некому переделывать и уже всё работает 100 лет.
• Забудьте такие слова как: "сделать пароль на папку". Те времена, когда на ресурсы накладывался пароль давным давно прошли. Поменялась философия работы с различными ресурсами. Сейчас пользователь входит в свою систему с помощью учётной записи (идентификация), подтверждая себя своим паролем (аутентификация) и ему предоставляется доступ ко всем разрешённым ресурсам. Один раз вошёл в систему и получил доступ ко всему - вот что нужно помнить.
• Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.

Приготовление.

В Проводнике уберите упрощённый доступ к нужным нам вещам.

• MS Windows XP. Меню Сервис - Свойства папки - Вид. Снять галочку Использовать мастер общего доступа
• MS Windows 7. Нажмите Alt. Меню Сервис - Параметры папок - Вид. Снять галочку Использовать простой общий доступ к файлам .

Создайте на вашем компьютере WinServer папку, которая будет хранить ваше богатство в виде файлов приказов, договоров и так далее. У меня, как пример, это будет C:\dostup\. Папка обязательна должна быть создана на разделе с NTFS.

Доступ по сети.

На данном этапе нужно выдать в доступ по сети (расшарить - share) папку для работы с ней другими пользователями на своих компьютерах данной локальной сети.

И самое главное! Выдать папку в доступ с полным разрешением для всех! Да да! Вы не ослышались. А как же разграничение доступа?

Мы разрешаем по локальной сети всем подсоединяться к папке, НО разграничивать доступ будем средствами безопасности, сохраняемые в файловой системе NTFS, на которой расположена наш каталог.

• MS Windows XP. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ - Полный доступ .
• MS Windows 7. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ - Расширенная настройка. Ставим галочку Открыть общий доступ к этой папке . Заполняем Примечание. Жмём Разрешение. Группа Все должна иметь по сети право Полный доступ .

Пользователи и группы безопасности.

Нужно создать необходимые учётные записи пользователей. Напоминаю, что если на многочисленных ваших персональных компьютерах используются различные учётные записи для пользователей, то все они должны быть созданы на вашем "сервере" и с теми же самыми паролями. Этого можно избежать, только если у вас грамотный админ и компьютеры в Active Directory. Нет? Тогда кропотливо создавайте учётные записи.

• MS Windows XP.
  Локальные пользователи и группы - Пользователи. Меню Действие - Новый пользователь.
• MS Windows 7. Панель Управления - Администрирование - Управление компьютером.
  Локальные пользователи и группы - Пользователи. Меню Действие - Создать пользователя.

Теперь очередь за самым главным - группы! Группы позволяют включать в себя учётные записи пользователей и упрощают манипуляции с выдачей прав и разграничением доступа.

Чуть ниже будет объяснено "наложение прав" на каталоги и файлы, но сейчас главное понять одну мысль. Права на папки или файлы будут предоставляться группам, которые образно можно сравнить с контейнерами. А группы уже "передадут" права включённым в них учётным записям. То есть нужно мыслить на уровне групп, а не на уровне отдельных учётных записей.

• MS Windows XP. Панель Управления - Администрирование - Управление компьютером.
  
• MS Windows 7. Панель Управления - Администрирование - Управление компьютером.
  Локальные пользователи и группы - Группы. Меню Действие - Создать группу.

Нужно включить в нужные группы нужные учётные записи. Для примера, на группе Бухгалтеры правой клавишей мыши и там Добавить в группу или Свойства и там кнопка Добавить. В поле Введите имена выбираемых объектов впишите имя необходимой учётной записи и нажмите Проверить имена . Если всё верно, то учётная запись изменится к виду ИМЯСЕРВЕРА\учётная_запись. На рисунке выше, учётная запись buh3 была приведена к WINSERVER\buh3.

Итак, нужные группы созданы и учётные записи пользователей включены в нужные группы. Но до этапа назначения прав на папках и файлах с помощью групп хотелось бы обсудить пару моментов.

Стоит ли заморачиваться с группой, если в ней будет одна учётная запись? Считаю, что стоит! Группа даёт гибкость и маневренность. Завтра вам понадобится ещё одному человеку Б дать те же права, что и определённому человеку с его учётной записью А. Вы просто добавите учётную запись Б в группу, где уже имеется А и всё!

Намного проще, когда права доступа выданы группам, а не отдельным персонам. Вам остаётся лишь манипулировать группами и включением в них нужных учётных записей.

Права доступа.

Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.

Вот и добрались до этапа, где непосредственно и происходит магия разграничения прав доступа для различных групп, а через них и пользователям (точнее их учётным записям).

Итак, у нас есть директория по адресу C:\dostup\, которую мы уже выдали в доступ по сети всем сотрудникам. Внутри каталога C:\dostup\ ради примера создадим папки Договора, Приказы, Учёт МЦ. Предположим, что есть задача сделать:

• папка Договора должна быть доступна для Бухгалтеров только на чтение. Чтение и запись для группы Менеджеров.
• папка УчётМЦ должна быть доступна для Бухгалтеров на чтение и запись. Группа Менеджеров не имеет доступа.
• папка Приказы должна быть доступна для Бухгалтеров и Менеджеров только на чтение.

На папке Договора правой клавишей и там Свойства - вкладка Безопасность. Мы видим что какие-то группы и пользователи уже имеют к ней доступ. Эти права были унаследованы от родителя dostup\, а та в свою очередь от своего родителя С:

Мы прервём это наследование прав и назначим свои права-хотелки.

Жмём кнопку Дополнительно - вкладка Разрешения - кнопка Изменить разрешения .

Сначала прерываем наследование прав от родителя. Снимаем галочку Добавить разрешения, наследуемые от родительских объектов. Нас предупредят, что разрешения от родителя не будут применяться к данному объекту (в данном случае это папка Договора). Выбор: Отмена или Удалить или Добавить. Жмём Добавить и права от родителя останутся нам в наследство, но больше права родителя на нас не будут распространяться. Другими словами, если в будущем права доступа у родителя (папка dostup) изменить - это не скажется на дочерней папке Договора. Заметьте в поле Унаследовано от стоит не унаследовано . То есть связь родитель - ребёнок разорвана.

Теперь аккуратно удаляем лишние права, оставляя Полный доступ для Администраторов и Система. Выделяем по очереди всякие Прошедшие проверку и просто Пользователи и удаляем кнопкой Удалить.

Кнопка Добавить в данном окне Дополнительные параметры безопасности предназначена для опытных админов, которые смогут задать особые, специальные разрешения. Статья же нацелена на знания опытного пользователя.

Мы ставим галочку Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта и жмём Ок. Возвращаемся назад и снова Ок, чтобы вернуться к простому виду Свойства.

Данное окно позволит упрощённо достигнуть желаемого. Кнопка Изменить выведет окно "Разрешения для группы".

Жмём Добавить. В новом окне пишем Бухгалтеры и жмём "Проверить имена" - Ок. По умолчанию даётся в упрощённом виде доступ "на чтение". Галочки в колонке Разрешить автоматически выставляются "Чтение и выполнение", "Список содержимого папки", "Чтение". Нас это устраивает и жмём Ок.

Теперь по нашему техническому заданию нужно дать права на чтение и запись для группы Менеджеры. Если мы в окне Свойства, то снова Изменить - Добавить - вбиваем Менеджеры - Проверить имена. Добавляем в колонке Разрешить галочки Изменение и Запись.

Теперь нужно всё проверить!

Следите за мыслью. Мы приказали, чтобы папка Договора не наследовала права от свого родителя dostup. Приказали дочерним папкам и файлам внутри папки Договора наследовать права от неё.

На папку Договора мы наложили следующие права доступа: группа Бухгалтеры должна только читать файлы и открывать папки внутри, а группа Менеджеры создавать, изменять файлы и создавать папки.

Следовательно, если внутри директории Договора будет создаваться файл-документ, на нём будут разрешения от его родителя. Пользователи со своими учётными записями будут получать доступ к таким файлам и каталогам через свои группы.

Зайдите в папку Договора и создайте тестовый файл договор1.txt

На нём щелчок правой клавишей мыши и там Свойства - вкладка Безопасность - Дополнительно - вкладка Действующие разрешения.

Жмём Выбрать и пишем учётную запись любого бухгалтера, к примеру buh1. Мы видим наглядно, что buh1 получил права от своей группы Бухгалтеры, которые обладают правами на чтение к родительской папке Договора, которая "распространяет" свои разрешения на свои дочерние объекты.

Пробуем manager2 и видим наглядно, что менеджер получает доступ на чтение и запись, так как входит в группу Менеджеры, которая даёт такие права для данной папки.

Абсолютно так же, по аналогии с папкой Договора, накладываются права доступа и для других папок, следуя вашему техническому заданию.

Итог.

• Используйте разделы NTFS.
• Когда разграничиваете доступ на папки (и файлы), то манипулируйте группами.
• Создавайте учётные записи для каждого пользователя. 1 человек = 1 учётная запись.
• Учётные записи включайте в группы. Учётная запись может входить одновременно в разные группы. Если учётная запись находится в нескольких группах и какая-либо группа что-то разрешает, то это будет разрешено учётной записи.
• Колонка Запретить (запрещающие права) имеют приоритет перед Разрешением. Если учётная запись находится в нескольких группах и какая-либо группа что-то запрещает, а другая группа это разрешает, то это будет запрещено учётной записи.
• Удаляйте учётную запись из группы, если хотите лишить доступа, которого данная группа даёт.
• Задумайтесь о найме админа и не обижайте его деньгами.

Задавайте вопросы в комментариях и спрашивайте, поправляйте.

Видеоматериал показывает частный случай, когда нужно всего лишь запретить доступ к папке, пользуясь тем, что запрещающие правила имеют приоритет перед разрешающими правила.