ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 67
позволяет оснащать механизмом RSBAC различные операционные систе-
мы.
3.3.1.3. МОДУЛЬНАЯ СТРУКТУРА RSBAC
RSBAC имеет модульную структуру, т.е. существует несколько мо-
дулей аутентификации, каждый из которых контролирует доступ своим
особым способом. Окончательное решение о предоставлении доступа или
отказе в нем получается как суммарное после обсуждения этого вопроса
всеми модулями. Все модули работают независимо, за исключением мо-
дуля auth, который используется всеми. В RSBAC имеются следующие
модули:
— модуль AUTH осуществляет общее слежение за процессами и не
позволяет им менять свой uid произвольно;
— модуль RC (Role Compatibility) — модель доступа, основанная на
ролевой модели; с минимальными затратами решает большинство
проблем разграничения доступа;
— модуль MAC (Mandatory Access Control) — мандатная модель до-
ступа на основе известной модели Белла—Ла Падула, но несколько
модифицированная по сравнению с ней (цель модели — не допустить
перетекания информации из более секретных объектов в менее се-
кретные);
— модуль ACL (Access Control Lists) — расширяет права файлов по
сравнению со стандартными, позволяет контролировать такие опера-
ции как добавление файла в ядро, запуск файла, смена каталога и
иные с точностью до индивидуального пользователя, группы поль-
зователей или роли из модели RC;
— модуль FC (Functional Control) — реализует простую ролевую мо-
дель, в которой доступ к системной информации разрешен только
администраторам системы, а доступ к информации, связанной с без-
опасностью, разрешен только офицерам безопасности;
— модуль SIM (Security Information Modification) — обеспечивает воз-
можность модификации данных, помеченных как «security informa-
tion», только администраторами безопасности;
— модуль PM (Privacy Model) — реализует модель безопасности, на-
правленную на обеспечение приватности личных данных; основная
идея [23] состоит в том, чтобы пользователь мог получить доступ
к персональным данным только в том случае, если они ему необхо-
димы для выполнения текущей задачи и если он авторизован на ее
выполнение; кроме того, цели выполнения текущей задачи должны
совпадать с целями, для которых эти данные собраны, либо должно
быть получено согласие субъекта этих данных;
— модуль MS (Malware Scan) — обеспечивает сканирование всех фай-
лов на наличие вредоносного кода и контролирует все запросы на
чтение файлов и соединений TCP/UDP;
— модуль FF (File Flags) — предоставляет механизм установки и про-
верки флагов на файлы и каталоги, причем модифицировать флаги
разрешено только офицерам безопасности системы (пока поддержи-
Страницы
- « первая
- ‹ предыдущая
- …
- 65
- 66
- 67
- 68
- 69
- …
- следующая ›
- последняя »
