Ролевое управление доступом
При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить.
Таким решением является ролевое управление доступом (РУД). Суть ролевого управления доступом в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.
Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.
Ролевое управление доступом оперирует следующими основными понятиями:
· пользователь (человек, интеллектуальный автономный агент и т.п.);
· сеанс работы пользователя;
· роль (обычно определяется в соответствии с организационной структурой);
· объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
· операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.; для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными);
· право доступа (разрешение выполнять определенные операции над определенными объектами).
Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения "многие ко многим" между пользователями и правами. Роли могут быть приписаны многим пользователям; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.
Между ролями может быть определено отношение частичного порядка, называемое наследованием. Если роль r2 является наследницей r1, то все права r1 приписываются r2, а все пользователи r2 приписываются r1. Очевидно, что наследование ролей соответствует наследованию классов в объектно-ориентированном программировании, только правам доступа соответствуют методы классов, а пользователям – объекты (экземпляры) классов.
Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу. В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц.
Можно представить себе формирование иерархии ролей, начиная с минимума прав (и максимума пользователей), приписываемых роли "сотрудник", с постепенным уточнением состава пользователей и добавлением прав (роли "системный администратор", "бухгалтер" и т.п.), вплоть до роли "руководитель" (что, впрочем, не значит, что руководителю предоставляются неограниченные права; как и другим ролям, в соответствии с принципом минимизации привилегий, этой роли целесообразно разрешить только то, что необходимо для выполнения служебных обязанностей).
Задания для выполнения
1. Прочитайте теоретический материал.
2. Освоить средства разграничения доступа пользователей к папкам:
· выполнить команду «Общий доступ и безопасность» контекстного меню папки, содержащей отчеты студентов о выполненных лабораторных работах (если эта команда недоступна, то выключить режим «Использовать простой общий доступ к файлам» на вкладке «Вид» окна свойств папки) или команду «Свойства»;
· открыть вкладку «Безопасность» и включить в отчет сведения о субъектах, которым разрешен доступ к папке и о разрешенных для них видах доступа;
· с помощью кнопки «Дополнительно» открыть окно дополнительных параметров безопасности папки (вкладка «Разрешения»);
· включить в отчет сведения о полном наборе прав доступа к папке для каждого из имеющихся в списке субъектов;
· открыть вкладку «Владелец», включить в отчет сведения о владельце папки и о возможности его изменения обычным пользователем;
· открыть папку «Аудит», включить в отчет сведения о назначении параметров аудита, устанавливаемых на этой вкладке, и о возможности их установки обычным пользователем;
· закрыть окно дополнительных параметров безопасности и с помощью кнопки «Добавить» открыть окно выбора пользователя или группы;
· с помощью кнопок «Дополнительно» и «Поиск» открыть список зарегистрированных пользователей и групп и выбрать пользователя с именем своей индивидуальной учетной записи;
· назначить ему права на полный доступ к папке с отчетами о выполненных лабораторных работах;
· включить в отчет копии экранных форм, использованных при выполнении заданий данного пункта.
3. Освоить средства разграничения доступа пользователей к файлам:
· выполнить команду «Свойства» контекстного меню файла с одним из отчетов о ранее выполненных лабораторных работах;
· повторить все задания п. 2, но применительно не к папке, а к файлу;
· включить в отчет ответ на вопрос, в чем отличие определения прав на доступ к файлам по сравнению с определением прав на доступ к папкам.
4. Освоить средства разграничения доступа к принтерам (если принтеры установлены):
· выполнить команду «Принтеры и факсы» меню «Пуск»;
· выполнить команду «Свойства» контекстного меню установленного в системе принтера;
· повторить все задания п. 2, но применительно не к папке, а к принтеру (кроме добавления нового субъекта к списку управления доступом);
· включить в отчет ответ на вопрос, в чем отличие определения прав на доступ к принтерам по сравнению с определением прав на доступ к папкам и файлам
5. Освоить средства разграничения доступа к разделам реестра операционной системы:
· с помощью команды «Выполнить» меню «Пуск» запустить программу редактирования системного реестра regedit (regedt32);
· с помощью команды «Разрешения» меню «Правка» редактора реестра определить и включить в отчет сведения о правах доступа пользователей к корневым разделам реестра, их владельцах и параметрах политики аудита (аналогично п. 2);
· включить в отчет копии экранных форм, использованных при выполнении данного пункта, и ответ на вопрос, в чем отличие определения прав на доступ к разделам реестра по сравнению с определением прав на доступ к папкам и файлам.
6. Освоить средства обеспечения конфиденциальности папок и файлов с помощью шифрующей файловой системы:
· выполнить команду «Свойства» контекстного меню папки, содержащей отчеты о ранее выполненных лабораторных работах, и на вкладке «Общие» окна свойств нажать кнопку «Другие»;
· включить выключатель «Шифровать содержимое для защиты данных», нажать кнопку «Применить» и в окне подтверждения изменения атрибутов нажать кнопку «Ok»;
· включить в отчет ответ на вопрос, как визуально выделяются имена зашифрованных файлов и папок;
· выполнить команду «Свойства» контекстного меню папки с отчетами о ранее выполненных лабораторных работах;
· нажать кнопку «Другие» и включить в отчет ответ на вопрос, доступна ли кнопка «Подробно»;
· повторить два предыдущих пункта для одного из файлов с отчетами о ранее выполненных лабораторных работах;
· выйти из системы и войти повторно под именем индивидуальной учетной записи, созданной при выполнении лабораторной работы №2;
· создать произвольный файл (например, с копией описания данной лабораторной работы) в папке «Мои документы» и обеспечить шифрование этого файла;
· выйти из системы и снова войти под именем общей учетной записи, под которой работали первоначально;
· выполнить команду «Свойства» контекстного меню одного из файлов с отчетами о ранее выполненных лабораторных работах, нажать последовательно кнопки «Другие» и «Подробно»;
· в окне подробностей шифрования нажать кнопку «Добавить» и в окне выбора пользователя выбрать имя индивидуальной учетной записи;
· повторить два предыдущих пункта для всех файлов с отчетами о ранее выполненных работах;
· снова выйти из системы и войти повторно под именем индивидуальной учетной записи;
· убедиться, что под индивидуальной учетной записью можно просматривать и редактировать отчеты о ранее выполненных лабораторных работах;
· включить в отчет копии экранных форм, использованных при выполнении данного пункта, сведения о порядке использования шифрующей файловой системы и ответы на вопросы:
a) как формируется список пользователей, из которого возможен выбор субъектов для совместного доступа к зашифрованным файлам;
b) связан ли этот список с зарегистрированными в системе пользователями и группами;
c) каковы функции агента восстановления зашифрованных файлов и как он может быть назначен (воспользуйтесь Справкой Windows).
7. Ознакомиться с правами доступа к файлам и папкам, назначаемым операционной системой по умолчанию:
· выполнить команду «Общий доступ и безопасность» (команду «Свойства») контекстного меню одной из папок с документами зарегистрированного в системе пользователя (например, «Документы - Пользователь компьютерного класса») и открыть вкладку «Безопасность»;
· включить в отчет сведения о правах доступа пользователей к данной папке и о ее владельце;
· повторить два предыдущих пункта для папки с документами другого зарегистрированного пользователя;
· повторить два предыдущих пункта для папки «Общие документы»;
· включить в отчет о лабораторной работе копии экранных форм, использованных при выполнении данного пункта, и ответы на вопросы:
a) как обеспечивается операционной системой разграничение доступа к личным документам пользователей (по умолчанию);
b) где (по умолчанию) должны находиться документы, предназначенные для совместного использования.
8. Подготовить и оформить письменный отчёт о выполненной работе.
9. Защитить выполненную работу, ответив на контрольные вопросы.
Контрольные вопросы
1. В чем уязвимость принятой в защищенных версиях операционной системы Windows политики разграничения доступа (приведите примеры)?
2. Как работает механизм наследования при определении прав на доступ субъектов к объектам в защищенных версиях операционной системы Windows?
3. Какие дополнительные возможности разграничения доступа к информационным ресурсам предоставляет шифрующая файловая система?
4. Насколько, на Ваш взгляд, удобно использование шифрующей файловой системы (в том числе при необходимости совместной работы над документами)?
5. Какой стандартный механизм работы с личными и общими документами предлагается в защищенных версиях операционной системы Windows и насколько, на Ваш взгляд, он удобен?
Лабораторная работа №8. Организация поиска нормативных документов в СПС «Консультант Плюс»
Цель работы:создание поисковых запросов в карточке реквизитов справочно-правовой «Консультант Плюс» для поиска документов по известным реквизитам.
Задания для выполнения
Задание 1.Найти действующую редакцию Закона РФ № 5238-1 «О федеральных органах налоговой полиции».
Краткая справка. При наличии у документа большого количества известных реквизитов начинайте формировать поисковый запрос с задания номера документа, потому что поиск по номеру дает самый лучший результат.
Порядок поиска:
находясь в программе «Консультант Плюс», выберите корешок «Поиск» (в верхней части экрана). Перед нами окно Карточка реквизитов документа, в которую вносятся реквизиты документа для организации его поиска;
очистите Картонку реквизитов, если это необходимо {Правка/ Удалить все);
-дважды щелкните на поле Номер;
-наберите на клавиатуре 5238-1;
-нажмите кнопку Выбрать, при этом в Карточке реквизитов появится номер документа;
-дважды щелкните на поле Поиск по статусу;
-установите курсор на запись «Все акты, кроме недействующих редакций иутративших силу»;
-нажмите кнопку Выбрать;
-зафиксируйте количество найденных документов в отчете. Для этого в нижней части Карточки реквизитов найдите фразу: «Запросу соответствует (количество найденных документов) документ из (общее количества документов в информационной базе)».
-нажмите кнопку Построить список для формирования списка документов (наш список содержит один документ).
Задание 2.Найти действующую редакцию закона «О федеральных органах налоговой полиции» (будем искать тот же документ, что и в предыдущем задании, предполагая, что его номер неизвестен).
Порядок поиска:
-очистите Карточку реквизитов;
-дважды щелкните мышью на поле Название документа;
-начните набирать слово «налоговый», пока курсор не остановится на слове «НАЛОГ*»;
-нажмите клавишу [Ins] на клавиатуре, чтобы отметить выбранное слово (Обратите внимание, что слово «НАЛОГ*» появилось в нижней части окна Название документа как выбранное слово);
-начните набирать слово «полиция», пока курсор не установится на слово «ПОЛИЦ*»;
-нажмите клавишу [Ins] на клавиатуре, чтобы отметить выбранное слово;
-установите условие И;
-нажмите кнопку Выбрать;
-дважды щелкните на поле Вид документа;
-установите курсор на поле Закон (наберите слово «закон»);
-нажмите кнопку Выбрать;
-дважды щелкните на поле Поиск по статусу;
-установите курсор на запись «Все акты, кроме недействующих редакций и -утративших силу»;
-нажмите кнопку Выбрать;
-нажмите кнопку Построить список для формирования списка документов и зафиксируйте количество найденных документов в отчете.
Задание 3.Найти инструкции (в том числе и временные) Госкомстата РФ.
Порядок поиска:
-очистите Карточку реквизитов;
-сделайте двойной щелчок мышью на поле Принявший орган; щелкните по кнопке Найти в нижней части окна. В появившемся окне Найти задайте поисковое выражение «ГОСКОМСТАТ», проверьте направление поиска («вниз») и щелкните по кнопке Искать;
-выберите словосочетание «ГОСКОМСТАТ РФ» двойным щелчком мыши или нажатием клавиши [Enter];
-дважды щелкните на поле Вид документа;
-войдите в словарь поля, щелкните по кнопке Найти в нижней части окна. - появившемся окне Найти задайте поисковое выражение «ИНСТРУКЦ» и установите направление поиска «вниз». Щелкнув по кнопке Искать, попадаем на значение «ВРЕМЕННАЯ ИНСТРУКЦИЯ»;
-нажмите клавишу [Ins] на клавиатуре, чтобы отметить выбранное слово;
-щелкнув по кнопке Искать второй раз, попадем на значение «ИНСТРУКЦИЯ» (при необходимости смените направление поиска);
-снова отметьте его с помощью клавиши [Ins];
-выберите логическое условие ИЛИ;
-щелкните по кнопке Выбрать;
-нажмите кнопку Построить список или клавишу [F9]для формирования списка документов и зафиксируйте результаты поиска в отчете.
Задание 4.Найти действующие документы, которые регулируют вопрос об избежании двойного налогообложения в отношении граждан Российской Федерации и Испании.
Краткая справка. Использовать для поиска слова «Двойное налогообложение» в поле Тематика и слово «Испания» (ИС-ПАН*), задавая его в поле Текст документа (слова для поиска набирайте без окончаний!). Использовать поле Статус документа.
Задание 5.Найти документы, регулирующие порядок вступления в силу нормативно-правовых актов Правительства РФ.
Краткая справка. Использовать поле Название документа.
Задание 6.Найти действующую редакцию закона «О Федеральном бюджете на 2003 год» и изменения к нему.
Краткая справка. Использовать слова «2003, БЮДЖ*», задавая их в поле Название документа, и значение «Закон» в поле Вид документа. Использовать поле Статус документа.
Задание 7.Найти все инструкции в базе документов с номером 200.
Задание 8.Найти все действующие законы в базе документов.
Задание 9.Найти все действующие документы с номером 182 в базе документов.
Задание 10.Найти документы, изданные органами, проводящими государственную политику и осуществляющими управление в сфере торговли и питания в стране.
Краткая справка. В разные периоды времени соответствующие ведомства в нашей стране назывались по-разному (МИН-ТОРГ СССР, МИНТОРГ РФ, РОСКОМТОРГ, МИНИСТЕРСТВО ВНЕШНИХ ЭКОНОМИЧЕСКИХ СВЯЗЕЙ И ТОРГОВЛИ РФ), следовательно, это надо учесть при формировании запроса.
Следует иметь в виду, что название органов государственной власти и управления в словаре поля Принявший орган может быть дано либо полностью, либо в общепринятом сокращенном виде, либо в виде общепринятой аббревиатуры.
Задание 11.Организация поиска в словаре поля Тематика рубрики «НАЛОГ НА ПРИБЫЛЬ».
Порядок поиска:
-очистите, если это необходимо, Карточку реквизитов;
-войдите в словарь поля Тематика. Нажмите клавишу [Ноте] для перехода в начало словаря (если это необходимо). Щелкните по кнопке Найти в нижней части экрана или нажмите клавишу [F7] — в результате откроется окно поиска Найти;
-введите с клавиатуры поисковый фрагмент «НАЛ НА ПРИБЫЛ, задайте направление поиска Вниз и нажмите кнопку Искать. Рубрикатор автоматически раскроется, и курсор установится на первом вхождении заданного фрагмента в словарь, а именно: на рубрике «НАЛОГ НА ПРИБЫЛЬ». Если после этого еще раз нажать кнопку Искать, то курсор укажет на рубрику «НАЛОГ НА ПРИБЫЛЬ БАНКОВ»; после третьего нажатия на кнопку Искать мы попадем на рубрику «НАЛОГ НА ПРИБЫЛЬ ОТ СТРАХОВОЙ ДЕЯТЕЛЬНОСТИ», а после четвертого — появится сообщение о том, что фрагмент не найден;
-измените направление поиска {Вверх) и вновь найдите рубрик}' «НАЛОГ НА ПРИБЫЛЬ». Щелкните мышью по названию рубрики и нажмите на кнопку Выбрать;
-зафиксируйте количество найденных документов в отчете.
Задание 12. Защитить выполненную работу - для этого вам нужно будет продемонстрировать результаты выполненной работы и подготовленный отчет в письменной виде, а также ответить на вопросы преподавателя. Отчет должен содержать таблицу следующего вида:
№ задания | |||||||||||
Количество найденных документов |
Список используемой литературы
1. Расторгуев, С. П. Основы информационной безопасности [Текст]: учеб. пособие для студ. высших учебных заведений. - 2-е изд., стер. - М.: Академия, 2009.- 192 с.: ил.
2. Партыка, Т.Л. Информационная безопасность [Текст]: учеб. пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум-Инфра-М, 2005.- 368 с.
3. Мельников, В.П. Информационная безопасность и защита информации [Текст]: учеб. пособие для студ. высш. учеб. заведений / В.П. Мельников [и др.]. - М.: Академия, 2006.- 336 с.
4. Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
5. Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с.