Аппаратно-программные средства и методы защиты информации. Варлатая С.К - 40 стр.

UptoLike

ВУЗ: 

ДВФУ | Владивосток

Составители: 

Рубрика: 

40
нецелесообразным, поэтому во многих системах используют более
экономные представления МД: по строкам, по столбцам, поэлементно.
Рассмотрим эти способы более подробно:
1. Профиль (profile).
Профилем называется список защищаемых объектов системы и прав
доступа к ним, ассоциированный с каждым субъектoм. При обращении к
объекту профиль субъекта проверяется на наличие соответствующих прав
доступа. Таким
образом МД представляется своими строками.
В системах с большим количеством объектов профили могут иметь
большие размеры и, вследствие этого, ими трудно управлять; изменение
профилей нескольких субъектов может потребовать большого количества
операций и привести к трудностям в работе системы. Поэтому
профили обычно используются лишь администраторами безопасности для
контроля работы субъектов, и даже
такое их применение весьма
ограничено.
2. Список контроля доступа (access control list).
Это представление МД по столбцам - каждому объекту соответствует
список субъектов вместе с их правами. В современных условиях списки
контроля доступа (СКД) - лучшее направление реализации ИУД, поскольку
это очень гибкая структура, предоставляющая пользователям много
возможностей.
3. Мандат или билет (capability или ticket).
Это элемент МД,
определяющий тип доступа определенного субъекта к
определенному объекту (т.е. субъект имеет "билет" на доступ к объекту).
Каждый раз билет выдается субъекту динамически - при запросе доступа, и
так же динамически билет может быть изъят у субъекта. Поскольку
распространение билетов происходит очень динамично, и они могут
размещаться непосредственно внутри объектов, то вследствие
этого контроль
за ним очень затруднен. В чистом виде билетный механизм хранения и
передачи привилегий используется редко. Однако реализация других 
нецелесообразным, поэтому         во   многих     системах       используют      более
экономные представления МД: по строкам, по столбцам, поэлементно.
      Рассмотрим эти способы более подробно:
      1. Профиль (profile).
      Профилем называется список защищаемых объектов системы                    и прав
доступа к ним, ассоциированный с каждым субъектoм. При обращении к
объекту профиль субъекта проверяется на наличие соответствующих прав
доступа. Таким образом МД представляется своими строками.
      В системах с большим количеством объектов профили могут иметь
большие размеры и, вследствие этого, ими трудно управлять; изменение
профилей нескольких субъектов           может потребовать большого количества
операций      и   привести      к трудностям в          работе   системы.      Поэтому
профили     обычно используются лишь администраторами безопасности для
контроля работы субъектов, и даже               такое      их    применение     весьма
ограничено.
      2. Список контроля доступа (access control list).
      Это представление МД по столбцам - каждому объекту соответствует
список субъектов вместе с их           правами.    В современных условиях списки
контроля доступа (СКД) - лучшее направление реализации ИУД, поскольку
это     очень      гибкая структура, предоставляющая пользователям много
возможностей.
      3. Мандат или билет (capability или ticket).
      Это элемент МД, определяющий тип доступа определенного субъекта к
определенному объекту (т.е. субъект имеет "билет" на доступ к объекту).
Каждый раз билет выдается субъекту динамически - при запросе доступа, и
так же динамически         билет может быть изъят у субъекта. Поскольку
распространение билетов происходит очень                динамично,   и   они     могут
размещаться непосредственно внутри объектов, то вследствие этого контроль
за ним очень затруднен. В чистом виде билетный механизм хранения и
передачи      привилегий      используется     редко.     Однако реализация других

                                          40

Страницы