Номер варіанту завдання відповідає порядковому номеру студента в журналі викладача.
Нехай множина S можливих операцій суб’єктів над об’єктами комп’ютерної системи (КС), як складової частини ІС, задано у вигляді: S = {«Доступ на читання», «Доступ на запис», «Делегування прав»}.
Необхідно:
1.Отримати з Додатку А інформацію про кількість суб’єктів та об’єктів КС, відповідно до Вашого варіанту.
2.Реалізувати програмний модуль (на будь-якій мові програмування), що формує матрицю доступу суб’єктів до об’єктів КС у вигляді, аналогічному до табл. 1. Реалізація даного модуля передбачає реалізацію таких кроків:
2.1.Обрати ідентифікатори користувачів, які будуть використовуватися при їх вході в КС (по одному ідентифікатору для кожного користувача, кількість користувачів задається відповідно до варіанту).
Наприклад, множина з 3-ох ідентифікаторів користувачів {Petrenko, Ivanov, Cybulenko}. Один з даних ідентифікаторів повинен відповідати адміністратору КС (користувачеві, що має повні права доступу до всіх об’єктів).
2.2.Створити і випадковим чином заповнити матрицю доступу суб’єктів до об’єктів у вигляді, аналогічному до табл. 1. При заповненні матриці врахувати:
- один з користувачів-суб’єктів повинен бути адміністратором системи. Для нього права доступу до усіх об’єктів КС повинні бути встановлені як «Повні»;
- користувач ж може мати декілька прав доступу до деякого об’єкту КС: мати повні права, або зовсім не мати прав.
Зауваження щодо реалізації. Для реалізації програмної моделі матриці доступу можна використовувати масив розмірності M x N, де M – кількість суб’єктів, N – кількість об’єктів. Права доступу в осередках матриці доступу можна кодувати трьохбітними числами від 0 до 7, наприклад, в такому вигляді:
Тоді, відповідність множин типів доступів і відповідних значень у матриці доступу буде таким:
|
3.Реалізувати програмний модуль (на будь-якій мові програмування), що демонструє роботу користувача згідно дискреційнійної моделі політики інформаційної безпеки. Даний модуль повинен виконувати такі функції:
3.1.при запуску модуля повинен робитися запит на отримання ідентифікатора користувача (повинна проводитися ідентифікація користувача). У випадку успішної ідентифікації користувача повинен здійснюватися вхід в систему, в випадку неуспішної – виводитиметься відповідно підготовленне студентом повідомлення.
3.2.при вході в систему після успішної ідентифікації користувача, на екрані повинен відображатися список всіх доступних об’єктів КС із зазначенням переліку всіх доступних прав доступу ідентифікованого користувача до даних об’єктів. Вивід можна здійснити, наприклад, таким чином:
User: Petrenko
Ідентифікація пройшла успішно.
Ласкаво просимо в систему.
Перелік Ваших прав:
Об’єкт1: Читання
Об’єкт2: Заборона
Об’єкт3: Читання, Запис
Об’єкт4: Повні права
Очікую Ваших вказівок>
3.3.після виведення на екран переліку прав доступу користувача до об’єктів КС, розроблена програма повинна очікувати вказівок користувача на здійснення дій над об’єктами в комп’ютерній системі. Після отримання команди від користувача, на екран повинне виводитися повідомлення про успішність або невдачу операції. При виконанні операції делегування прав (grant), повинна модифікуватися матриця доступів. Повинна підтримуватися операція виходу з системи (quit), після якої повинен робитися запит на інший ідентифікатор користувача. Діалог можна організувати, наприклад, таким чином:
Очікую Ваших вказівок> read
Над яким об’єктом проводиться операція? 1
Операція пройшла успішно.
Очікую Ваших вказівок > write
Над яким об’єктом проводиться операція? 2
Відмова у виконанні операції. У Вас немає прав для її здійснення.
Очікую Ваших вказівок > grant
Право на який об’єкт передається? 3
Відмова у виконанні операції. У Вас немає прав для її здійснення.
Очікую Ваших вказівок > grant
Право на який об’єкт передається? 4
Яке право передається? read
Якому користувачеві передається право? Ivanov
Операція пройшла успішно.
Очікую Ваших вказівок > quit
Робота користувача Petrenko завершена. Всього найкращого!
User:
Зауваження щодо реалізації. Для контролю можливості заданого типу доступу в рамках запропонованої вище програмної моделі необхідно перевірити рівність одиниці відповідного біта числа в комірці матриці доступу. Для цього можна скористатися властивостями операцій цілочисельного ділення і взяття залишку від ділення на 2. Для того, щоб перевірити рівність n-го біту деякого числа на рівність одиниці необхідно цілочисельно поділити це число на і перевірити на непарність отримане число. Якщо після поділу отримано непарне число, то n-ий біт вихідного числа дорівнює одиниці, в іншому випадку – рівний нулю. Приклад 2. Перевірити можливість доступу із запису Користувача_2 до Файлу_3. - Беремо елемент матриці доступу, що знаходиться на перетині другого рядка і третього стовпця. Нехай цей елемент дорівнює 3. - Для контролю можливості доступу з читання, необхідно перевірити рівність другого біта числа на одиницю. Для цього цілочисельно поділимо число . - – число непарне, тобто другий біт числа 3 дорівнює одиниці, звідси доступ з запису Користувача_2 до Файлу_3 дозволений. |
4.Протестувати реалізовану програму, продемонструвавши реалізовану модель дискреційної політики інформаційної безпеки викладачеві.
5.Оформити звіт згідно вимог (приклад оформлення титульної сторінки наведено в додатку Б).
ЗМІСТ ЗВІТУ
1. Мета роботи.
2. Короткі теоретичні відомості.
3. Повний текст завдання.
4. Лістинг розробленої програми.
5. Матриця доступу суб’єктів до об’єктів (представлена у вигляді, аналогічному до табл. 1).
6. Результати виконання програми.
7. Висновки.
Контрольні запитання
1. Що розуміють під політикою інформаційної безпеки в комп’ютерній системі?
2. Назвіть три компоненти, що пов’язані з порушенням безпеки ІС?
3. Що таке правила розмежування доступу?
4. Які кроки включає процес реалізації політики інформаційної безпеки?
5. Що таке модель політики інформаційної безпеки?
6. Охарактеризуйте загальний підхід щодо моделі інформаційної безпеки.
7. У чому полягає зміст моделі дискреційної політики інформаційної безпеки в комп’ютерній системі?
8. Що розуміють під матрицею доступу в дискреційній політиці безпеки? Що зберігається в даній матриці?
9. Які дії проводяться над матрицею доступу в тому випадку, коли один суб’єкт передає іншому суб’єкту свої права доступу до об’єкта комп’ютерної системи?
РЕКОМЕНДОВАНА ЛІТЕРАТУРА
1. Ромака В. А. Менеджмент у сфері захисту інформації. Підручник / Ромака В. А., Гарасим Ю. Р., Корж Р. О. Дудикевич В. Б., Рибій М. М. – Львів : Видавництво Львівської політехніки, 2013. – 400 с.
2. Ромака В. А. Системи менеджменту інформаційної безпеки. Навчальний посібник / В. А. Ромака, В. Б. Дудикевич, Ю. Р. Гарасим, П. І. Гаранюк, І. О. Козлюк. – Львів : Видавництво Львівської політехніки, 2012. – 232 с.
3. Девянин П. Н. Модели безопасности компьютерных систем / П. Н. Девянин. – М. : Издательский центр «Академия», 2005. – 144 с.
4. Астахов А. М. Искусство управления информационными рисками / А. М. Астахов. – М. : ДМК Пресс, 2010. – 312 с.,
5. Петренко С. А. Политики безопасности компании при работе в Интернет / С. А. Петренко, В. А. Курбатов. – М. : ДМК Пресс, 2011. – 400 с.
Додаток А
Варіанти завдання
№ варіанта | Кількість суб’єктів доступу (користувачів) | Кількість об’єктів доступу |
Додаток Б
Приклад оформлення титульного аркушу звіту до виконання практичної роботи
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра «Захист інформації» ЗВІТ До виконання практичної роботи № 1 «Реалізація дискреційної моделі політики інформаційної безпеки» з курсу: «Менеджмент інформаційної безпеки»
Львів 2013 |
Для нотаток
№ …
від ...2013 р.
НАВЧАЛЬНЕ ВИДАННЯ