2 jaren geleden · 1c028886aa
--- a/ЭАСвЗИ/Лекции/2.5.400_Основные_механизмы_защиты/Koroba.md
+++ b/ЭАСвЗИ/Лекции/2.5.400_Основные_механизмы_защиты/Koroba.md
@@ -1,131 +1,131 @@
 
				-Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):  
			
 
				+Р”Р»СЏ Р·Р°С‰РёС‚С‹ РєРѕРјРїСЊСЋС‚РµСЂРЅС‹С… СЃРёСЃС‚РµРј РѕС‚ РЅРµРїСЂР°РІРѕРјРµСЂРЅРѕРіРѕ РІРјРµС€Р°С‚РµР»СЊСЃС‚РІР° РІ РїСЂРѕС†РµСЃСЃС‹ РёС… С„СѓРЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРёСЏ Рё РќРЎР” Рє РёРЅС„РѕСЂРјР°С†РёРё РёСЃРїРѕР»СЊР·СѓСЋС‚СЃСЏ СЃР»РµРґСѓСЋС‰РёРµ РѕСЃРЅРѕРІРЅС‹Рµ РјРµС‚РѕРґС‹ Р·Р°С€РёС‚С‹ (Р·Р°С‰РёС‚РЅС‹Рµ РјРµС…Р°РЅРёР·РјС‹):  
			
 
				   
			
 
				--идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;  
			
 
				--разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;  
			
 
				--регистрация и оперативное оповещение о событиях, происходящих в системе; (аудит);  
			
 
				--криптографическое закрытие хранимых и передаваемых по каналам связи данных;  
			
 
				--контроль целостности и аутентичности (подлинности и авторства) данных;  
			
 
				--выявление и нейтрализация действий компьютерных вирусов;  
			
 
				--затирание остаточной информации на носителях;  
			
 
				--выявление уязвимостей (слабых мест) системы;  
			
 
				--изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);  
			
 
				--обнаружение атак и оперативное реагирование;  
			
 
				--Резервное копирование;  
			
 
				--Маскировка.  
			
 
				+-РёРґРµРЅС‚РёС„РёРєР°С†РёСЏ (РёРјРµРЅРѕРІР°РЅРёРµ Рё РѕРїРѕР·РЅР°РІР°РЅРёРµ), Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёСЏ (РїРѕРґС‚РІРµСЂР¶РґРµРЅРёРµ РїРѕРґР»РёРЅРЅРѕСЃС‚Рё) РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ СЃРёСЃС‚РµРјС‹;  
			
 
				+-СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёРµ РґРѕСЃС‚СѓРїР° РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ Рє СЂРµСЃСѓСЂСЃР°Рј СЃРёСЃС‚РµРјС‹ Рё Р°РІС‚РѕСЂРёР·Р°С†РёСЏ (РїСЂРёСЃРІРѕРµРЅРёРµ РїРѕР»РЅРѕРјРѕС‡РёР№) РїРѕР»СЊР·РѕРІР°С‚РµР»СЏРј;  
			
 
				+-СЂРµРіРёСЃС‚СЂР°С†РёСЏ Рё РѕРїРµСЂР°С‚РёРІРЅРѕРµ РѕРїРѕРІРµС‰РµРЅРёРµ Рѕ СЃРѕР±С‹С‚РёСЏС…, РїСЂРѕРёСЃС…РѕРґСЏС‰РёС… РІ СЃРёСЃС‚РµРјРµ; (Р°СѓРґРёС‚);  
			
 
				+-РєСЂРёРїС‚РѕРіСЂР°С„РёС‡РµСЃРєРѕРµ Р·Р°РєСЂС‹С‚РёРµ С…СЂР°РЅРёРјС‹С… Рё РїРµСЂРµРґР°РІР°РµРјС‹С… РїРѕ РєР°РЅР°Р»Р°Рј СЃРІСЏР·Рё РґР°РЅРЅС‹С…;  
			
 
				+-РєРѕРЅС‚СЂРѕР»СЊ С†РµР»РѕСЃС‚РЅРѕСЃС‚Рё Рё Р°СѓС‚РµРЅС‚РёС‡РЅРѕСЃС‚Рё (РїРѕРґР»РёРЅРЅРѕСЃС‚Рё Рё Р°РІС‚РѕСЂСЃС‚РІР°) РґР°РЅРЅС‹С…;  
			
 
				+-РІС‹СЏРІР»РµРЅРёРµ Рё РЅРµР№С‚СЂР°Р»РёР·Р°С†РёСЏ РґРµР№СЃС‚РІРёР№ РєРѕРјРїСЊСЋС‚РµСЂРЅС‹С… РІРёСЂСѓСЃРѕРІ;  
			
 
				+-Р·Р°С‚РёСЂР°РЅРёРµ РѕСЃС‚Р°С‚РѕС‡РЅРѕР№ РёРЅС„РѕСЂРјР°С†РёРё РЅР° РЅРѕСЃРёС‚РµР»СЏС…;  
			
 
				+-РІС‹СЏРІР»РµРЅРёРµ СѓСЏР·РІРёРјРѕСЃС‚РµР№ (СЃР»Р°Р±С‹С… РјРµСЃС‚) СЃРёСЃС‚РµРјС‹;  
			
 
				+-РёР·РѕР»СЏС†РёСЏ (Р·Р°С‰РёС‚Р° РїРµСЂРёРјРµС‚СЂР°) РєРѕРјРїСЊСЋС‚РµСЂРЅС‹С… СЃРµС‚РµР№ (С„РёР»СЊС‚СЂР°С†РёСЏ С‚СЂР°С„РёРєР°, СЃРєСЂС‹С‚РёРµ РІРЅСѓС‚СЂРµРЅРЅРµР№ СЃС‚СЂСѓРєС‚СѓСЂС‹ Рё Р°РґСЂРµСЃР°С†РёРё, РїСЂРѕС‚РёРІРѕРґРµР№СЃС‚РІРёРµ Р°С‚Р°РєР°Рј РЅР° РІРЅСѓС‚СЂРµРЅРЅРёРµ СЂРµСЃСѓСЂСЃС‹ Рё С‚.Рґ.);  
			
 
				+-РѕР±РЅР°СЂСѓР¶РµРЅРёРµ Р°С‚Р°Рє Рё РѕРїРµСЂР°С‚РёРІРЅРѕРµ СЂРµР°РіРёСЂРѕРІР°РЅРёРµ;  
			
 
				+-Р РµР·РµСЂРІРЅРѕРµ РєРѕРїРёСЂРѕРІР°РЅРёРµ;  
			
 
				+-РњР°СЃРєРёСЂРѕРІРєР°.  
			
 
				   
			
 
				-Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты.  
			
 
				+РџРµСЂРµС‡РёСЃР»РµРЅРЅС‹Рµ РјРµС…Р°РЅРёР·РјС‹ Р·Р°С‰РёС‚С‹ РјРѕРіСѓС‚ РїСЂРёРјРµРЅСЏС‚СЊСЃСЏ РІ РєРѕРЅРєСЂРµС‚РЅС‹С… С‚РµС…РЅРёС‡РµСЃРєРёС… СЃСЂРµРґСЃС‚РІР°С… Рё СЃРёСЃС‚РµРјР°С… Р·Р°С‰РёС‚С‹ РІ СЂР°Р·Р»РёС‡РЅС‹С… РєРѕРјР±РёРЅР°С†РёСЏС… Рё РІР°СЂРёР°С†РёСЏС…. РќР°РёР±РѕР»СЊС€РёР№ СЌС„С„РµРєС‚ РґРѕСЃС‚РёРіР°РµС‚СЃСЏ РїСЂРё РёС… СЃРёСЃС‚РµРјРЅРѕРј РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРё РІ РєРѕРјРїР»РµРєСЃРµ СЃ РґСЂСѓРіРёРјРё РІРёРґР°РјРё РјРµСЂ Р·Р°С‰РёС‚С‹.  
			
 
				   
			
 
				-Идентификация и аутентификация пользователей  
			
 
				+Р�РґРµРЅС‚РёС„РёРєР°С†РёСЏ Рё Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№  
			
 
				   
			
 
				-В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.  
			
 
				+Р’ С†РµР»СЏС… РѕР±РµСЃРїРµС‡РµРЅРёСЏ РІРѕР·РјРѕР¶РЅРѕСЃС‚Рё СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° Рє СЂРµСЃСѓСЂСЃР°Рј РђРЎ Рё РІРѕР·РјРѕР¶РЅРѕСЃС‚Рё СЂРµРіРёСЃС‚СЂР°С†РёРё СЃРѕР±С‹С‚РёР№ С‚Р°РєРѕРіРѕ РґРѕСЃС‚СѓРїР° РєР°Р¶РґС‹Р№ СЃСѓР±СЉРµРєС‚ (СЃРѕС‚СЂСѓРґРЅРёРє, РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ, РїСЂРѕС†РµСЃСЃ) Рё РѕР±СЉРµРєС‚ (СЂРµСЃСѓСЂСЃ) Р·Р°С‰РёС‰Р°РµРјРѕР№ Р°РІС‚РѕРјР°С‚РёР·РёСЂРѕРІР°РЅРЅРѕР№ СЃРёСЃС‚РµРјС‹ РґРѕР»Р¶РµРЅ Р±С‹С‚СЊ РѕРґРЅРѕР·РЅР°С‡РЅРѕ РёРґРµРЅС‚РёС„РёС†РёСЂСѓРµРј. Р”Р»СЏ СЌС‚РѕРіРѕ РІ СЃРёСЃС‚РµРјРµ РґРѕР»Р¶РЅС‹ С…СЂР°РЅРёС‚СЊСЃСЏ СЃРїРµС†РёР°Р»СЊРЅС‹Рµ РїСЂРёР·РЅР°РєРё РєР°Р¶РґРѕРіРѕ СЃСѓР±СЉРµРєС‚Р° Рё РѕР±СЉРµРєС‚Р°, РїРѕ РєРѕС‚РѕСЂС‹Рј РёС… РјРѕР¶РЅРѕ Р±С‹Р»Рѕ Р±С‹ РѕРґРЅРѕР·РЅР°С‡РЅРѕ РѕРїРѕР·РЅР°С‚СЊ.  
			
 
				   
			
 
				-Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определенный объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.  
			
 
				+Р�РґРµРЅС‚РёС„РёРєР°С†РёСЏ - СЌС‚Рѕ, СЃ РѕРґРЅРѕР№ СЃС‚РѕСЂРѕРЅС‹, РїСЂРёСЃРІРѕРµРЅРёРµ РёРЅРґРёРІРёРґСѓР°Р»СЊРЅС‹С… РёРјРµРЅ, РЅРѕРјРµСЂРѕРІ РёР»Рё СЃРїРµС†РёР°Р»СЊРЅС‹С… СѓСЃС‚СЂРѕР№СЃС‚РІ (РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂРѕРІ) СЃСѓР±СЉРµРєС‚Р°Рј Рё РѕР±СЉРµРєС‚Р°Рј СЃРёСЃС‚РµРјС‹, Р°, СЃ РґСЂСѓРіРѕР№ СЃС‚РѕСЂРѕРЅС‹, - СЌС‚Рѕ РёС… СЂР°СЃРїРѕР·РЅР°РІР°РЅРёРµ (РѕРїРѕР·РЅР°РІР°РЅРёРµ) РїРѕ РїСЂРёСЃРІРѕРµРЅРЅС‹Рј РёРј СѓРЅРёРєР°Р»СЊРЅС‹Рј РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂР°Рј. РќР°Р»РёС‡РёРµ РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂР° РїРѕР·РІРѕР»СЏРµС‚ СѓРїСЂРѕСЃС‚РёС‚СЊ РїСЂРѕС†РµРґСѓСЂСѓ РІС‹РґРµР»РµРЅРёСЏ РєРѕРЅРєСЂРµС‚РЅРѕРіРѕ СЃСѓР±СЉРµРєС‚Р° (РѕРїСЂРµРґРµР»РµРЅРЅС‹Р№ РѕР±СЉРµРєС‚) РёР· РјРЅРѕР¶РµСЃС‚РІР° РѕРґРЅРѕС‚РёРїРЅС‹С… СЃСѓР±СЉРµРєС‚РѕРІ (РѕР±СЉРµРєС‚РѕРІ). Р§Р°С‰Рµ РІСЃРµРіРѕ РІ РєР°С‡РµСЃС‚РІРµ РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂРѕРІ РїСЂРёРјРµРЅСЏСЋС‚СЃСЏ РЅРѕРјРµСЂР° РёР»Рё СѓСЃР»РѕРІРЅС‹Рµ РѕР±РѕР·РЅР°С‡РµРЅРёСЏ РІ РІРёРґРµ РЅР°Р±РѕСЂР° СЃРёРјРІРѕР»РѕРІ.  
			
 
				 ![](2.png)  
			
 
				-Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.  
			
 
				+РђСѓС‚РµРЅС‚РёС„РёРєР°С†РёСЏ - СЌС‚Рѕ РїСЂРѕРІРµСЂРєР° (РїРѕРґС‚РІРµСЂР¶РґРµРЅРёРµ) РїРѕРґР»РёРЅРЅРѕСЃС‚Рё РёРґРµРЅС‚РёС„РёРєР°С†РёРё СЃСѓР±СЉРµРєС‚Р° РёР»Рё РѕР±СЉРµРєС‚Р° СЃРёСЃС‚РµРјС‹. Р¦РµР»СЊ Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё СЃСѓР±СЉРµРєС‚Р° - СѓР±РµРґРёС‚СЊСЃСЏ РІ С‚РѕРј, С‡С‚Рѕ СЃСѓР±СЉРµРєС‚ СЏРІР»СЏРµС‚СЃСЏ РёРјРµРЅРЅРѕ С‚РµРј, РєРµРј РїСЂРµРґСЃС‚Р°РІРёР»СЃСЏ (РёРґРµРЅС‚РёС„РёС†РёСЂРѕРІР°Р»СЃСЏ). Р¦РµР»СЊ Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё РѕР±СЉРµРєС‚Р° - СѓР±РµРґРёС‚СЊСЃСЏ, С‡С‚Рѕ СЌС‚Рѕ РёРјРµРЅРЅРѕ С‚РѕС‚ РѕР±СЉРµРєС‚, РєРѕС‚РѕСЂС‹Р№ РЅСѓР¶РµРЅ.  
			
 
				   
			
 
				-Аутентификация пользователей осуществляется обычно:  
			
 
				+РђСѓС‚РµРЅС‚РёС„РёРєР°С†РёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РѕСЃСѓС‰РµСЃС‚РІР»СЏРµС‚СЃСЏ РѕР±С‹С‡РЅРѕ:  
			
 
				   
			
 
				--путем проверки знания ими паролей (специальных секретных последовательностей символов),  
			
 
				+-РїСѓС‚РµРј РїСЂРѕРІРµСЂРєРё Р·РЅР°РЅРёСЏ РёРјРё РїР°СЂРѕР»РµР№ (СЃРїРµС†РёР°Р»СЊРЅС‹С… СЃРµРєСЂРµС‚РЅС‹С… РїРѕСЃР»РµРґРѕРІР°С‚РµР»СЊРЅРѕСЃС‚РµР№ СЃРёРјРІРѕР»РѕРІ),  
			
 
				   
			
 
				--путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или  
			
 
				+-РїСѓС‚РµРј РїСЂРѕРІРµСЂРєРё РІР»Р°РґРµРЅРёСЏ РёРјРё РєР°РєРёРјРё-Р»РёР±Рѕ СЃРїРµС†РёР°Р»СЊРЅС‹РјРё СѓСЃС‚СЂРѕР№СЃС‚РІР°РјРё (РєР°СЂС‚РѕС‡РєР°РјРё, РєР»СЋС‡РµРІС‹РјРё РІСЃС‚Р°РІРєР°РјРё Рё С‚.Рї.) СЃ СѓРЅРёРєР°Р»СЊРЅС‹РјРё РїСЂРёР·РЅР°РєР°РјРё РёР»Рё  
			
 
				   
			
 
				--путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.  
			
 
				+-РїСѓС‚РµРј РїСЂРѕРІРµСЂРєРё СѓРЅРёРєР°Р»СЊРЅС‹С… С„РёР·РёС‡РµСЃРєРёС… С…Р°СЂР°РєС‚РµСЂРёСЃС‚РёРє Рё РїР°СЂР°РјРµС‚СЂРѕРІ (РѕС‚РїРµС‡Р°С‚РєРѕРІ РїР°Р»СЊС†РµРІ, РѕСЃРѕР±РµРЅРЅРѕСЃС‚РµР№ СЂР°РґСѓР¶РЅРѕР№ РѕР±РѕР»РѕС‡РєРё РіР»Р°Р·, С„РѕСЂРјС‹ РєРёСЃС‚Рё СЂСѓРє Рё С‚.Рї.) СЃР°РјРёС… РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РїСЂРё РїРѕРјРѕС‰Рё СЃРїРµС†РёР°Р»СЊРЅС‹С… Р±РёРѕРјРµС‚СЂРёС‡РµСЃРєРёС… СѓСЃС‚СЂРѕР№СЃС‚РІ.  
			
 
				   
			
 
				-Ввод значений пользователем своего идентификатора и пароля осуществляется чаще всего с клавиатуры. Однако многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные ( proximity ) карточки, интеллектуальные ( smart ) карточки, электронные таблетки Touch Memory .  
			
 
				+Р’РІРѕРґ Р·РЅР°С‡РµРЅРёР№ РїРѕР»СЊР·РѕРІР°С‚РµР»РµРј СЃРІРѕРµРіРѕ РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂР° Рё РїР°СЂРѕР»СЏ РѕСЃСѓС‰РµСЃС‚РІР»СЏРµС‚СЃСЏ С‡Р°С‰Рµ РІСЃРµРіРѕ СЃ РєР»Р°РІРёР°С‚СѓСЂС‹. РћРґРЅР°РєРѕ РјРЅРѕРіРёРµ СЃРѕРІСЂРµРјРµРЅРЅС‹Рµ РЎР—Р� РёСЃРїРѕР»СЊР·СѓСЋС‚ Рё РґСЂСѓРіРёРµ С‚РёРїС‹ РёРґРµРЅС‚РёС„РёРєР°С‚РѕСЂРѕРІ - РјР°РіРЅРёС‚РЅС‹Рµ РєР°СЂС‚РѕС‡РєРё, СЂР°РґРёРѕС‡Р°СЃС‚РѕС‚РЅС‹Рµ Р±РµСЃРєРѕРЅС‚Р°РєС‚РЅС‹Рµ ( proximity ) РєР°СЂС‚РѕС‡РєРё, РёРЅС‚РµР»Р»РµРєС‚СѓР°Р»СЊРЅС‹Рµ ( smart ) РєР°СЂС‚РѕС‡РєРё, СЌР»РµРєС‚СЂРѕРЅРЅС‹Рµ С‚Р°Р±Р»РµС‚РєРё Touch Memory .  
			
 
				   
			
 
				-Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.  
			
 
				+Р‘РёРѕРјРµС‚СЂРёС‡РµСЃРєРёРµ РјРµС‚РѕРґС‹ С…Р°СЂР°РєС‚РµСЂРёР·СѓРµС‚СЃСЏ, СЃ РѕРґРЅРѕР№ СЃС‚РѕСЂРѕРЅС‹, РІС‹СЃРѕРєРёРј СѓСЂРѕРІРЅРµРј РґРѕСЃС‚РѕРІРµСЂРЅРѕСЃС‚Рё РѕРїРѕР·РЅР°РІР°РЅРёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№, Р° СЃ РґСЂСѓРіРѕР№ - РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊСЋ РѕС€РёР±РѕРє СЂР°СЃРїРѕР·РЅР°РІР°РЅРёСЏ РїРµСЂРІРѕРіРѕ Рё РІС‚РѕСЂРѕРіРѕ СЂРѕРґР° (РїСЂРѕРїСѓСЃРє РёР»Рё Р»РѕР¶РЅР°СЏ С‚СЂРµРІРѕРіР°) Рё Р±РѕР»РµРµ РІС‹СЃРѕРєРѕР№ СЃС‚РѕРёРјРѕСЃС‚СЊСЋ СЂРµР°Р»РёР·СѓСЋС‰РёС… РёС… СЃРёСЃС‚РµРј.  
			
 
				   
			
 
				-Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).  
			
 
				+Р�РґРµРЅС‚РёС„РёРєР°С†РёСЏ Рё Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РґРѕР»Р¶РЅР° РїСЂРѕРёР·РІРѕРґРёС‚СЊСЃСЏ РїСЂРё РєР°Р¶РґРѕРј РёС… РІС…РѕРґРµ РІ СЃРёСЃС‚РµРјСѓ Рё РїСЂРё РІРѕР·РѕР±РЅРѕРІР»РµРЅРёРё СЂР°Р±РѕС‚С‹ РїРѕСЃР»Рµ РєСЂР°С‚РєРѕРІСЂРµРјРµРЅРЅРѕРіРѕ РїРµСЂРµСЂС‹РІР° (РїРѕСЃР»Рµ РїРµСЂРёРѕРґР° РЅРµР°РєС‚РёРІРЅРѕСЃС‚Рё Р±РµР· РІС‹С…РѕРґР° РёР· СЃРёСЃС‚РµРјС‹ РёР»Рё РІС‹РєР»СЋС‡РµРЅРёСЏ РєРѕРјРїСЊСЋС‚РµСЂР°).  
			
 
				 ![](1.jpg)  
			
 
				    
			
 
				-Разграничение доступа зарегистрированных пользователей к ресурсам АС  
			
 
				+Р Р°Р·РіСЂР°РЅРёС‡РµРЅРёРµ РґРѕСЃС‚СѓРїР° Р·Р°СЂРµРіРёСЃС‚СЂРёСЂРѕРІР°РЅРЅС‹С… РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ Рє СЂРµСЃСѓСЂСЃР°Рј РђРЎ  
			
 
				   
			
 
				-Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.  
			
 
				+Р Р°Р·РіСЂР°РЅРёС‡РµРЅРёРµ (РєРѕРЅС‚СЂРѕР»СЊ) РґРѕСЃС‚СѓРїР° Рє СЂРµСЃСѓСЂСЃР°Рј РђРЎ - СЌС‚Рѕ С‚Р°РєРѕР№ РїРѕСЂСЏРґРѕРє РёСЃРїРѕР»СЊР·РѕРІР°РЅРёСЏ СЂРµСЃСѓСЂСЃРѕРІ Р°РІС‚РѕРјР°С‚РёР·РёСЂРѕРІР°РЅРЅРѕР№ СЃРёСЃС‚РµРјС‹, РїСЂРё РєРѕС‚РѕСЂРѕРј СЃСѓР±СЉРµРєС‚С‹ РїРѕР»СѓС‡Р°СЋС‚ РґРѕСЃС‚СѓРї Рє РѕР±СЉРµРєС‚Р°Рј СЃРёСЃС‚РµРјС‹ РІ СЃС‚СЂРѕРіРѕРј СЃРѕРѕС‚РІРµС‚СЃС‚РІРёРё СЃ СѓСЃС‚Р°РЅРѕРІР»РµРЅРЅС‹РјРё РїСЂР°РІРёР»Р°РјРё.  
			
 
				   
			
 
				-Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.  
			
 
				+РћР±СЉРµРєС‚ - СЌС‚Рѕ РїР°СЃСЃРёРІРЅС‹Р№ РєРѕРјРїРѕРЅРµРЅС‚ СЃРёСЃС‚РµРјС‹, РµРґРёРЅРёС†Р° СЂРµСЃСѓСЂСЃР° Р°РІС‚РѕРјР°С‚РёР·РёСЂРѕРІР°РЅРЅРѕР№ СЃРёСЃС‚РµРјС‹ (СѓСЃС‚СЂРѕР№СЃС‚РІРѕ, РґРёСЃРє, РєР°С‚Р°Р»РѕРі, С„Р°Р№Р» Рё С‚.Рї.), РґРѕСЃС‚СѓРї Рє РєРѕС‚РѕСЂРѕРјСѓ СЂРµРіР»Р°РјРµРЅС‚РёСЂСѓРµС‚СЃСЏ РїСЂР°РІРёР»Р°РјРё СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР°.  
			
 
				   
			
 
				-Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.  
			
 
				+РЎСѓР±СЉРµРєС‚ -СЌС‚Рѕ Р°РєС‚РёРІРЅС‹Р№ РєРѕРјРїРѕРЅРµРЅС‚ СЃРёСЃС‚РµРјС‹ (РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ, РїСЂРѕС†РµСЃСЃ, РїСЂРѕРіСЂР°РјРјР°), РґРµР№СЃС‚РІРёСЏ РєРѕС‚РѕСЂРѕРіРѕ СЂРµРіР»Р°РјРµРЅС‚РёСЂСѓСЋС‚СЃСЏ РїСЂР°РІРёР»Р°РјРё СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР°.  
			
 
				   
			
 
				-Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.  
			
 
				+Р”РѕСЃС‚СѓРї Рє РёРЅС„РѕСЂРјР°С†РёРё - РѕР·РЅР°РєРѕРјР»РµРЅРёРµ СЃ РёРЅС„РѕСЂРјР°С†РёРµР№ (С‡С‚РµРЅРёРµ, РєРѕРїРёСЂРѕРІР°РЅРёРµ), РµРµ РјРѕРґРёС„РёРєР°С†РёСЏ (РєРѕСЂСЂРµРєС‚РёСЂРѕРІРєР°), СѓРЅРёС‡С‚РѕР¶РµРЅРёРµ (СѓРґР°Р»РµРЅРёРµ) Рё С‚.Рї.  
			
 
				   
			
 
				-Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).   
			
 
				+Р”РѕСЃС‚СѓРї Рє СЂРµСЃСѓСЂСЃСѓ - РїРѕР»СѓС‡РµРЅРёРµ СЃСѓР±СЉРµРєС‚РѕРј РІРѕР·РјРѕР¶РЅРѕСЃС‚Рё РјР°РЅРёРїСѓР»РёСЂРѕРІР°С‚СЊ РґР°РЅРЅС‹Рј СЂРµСЃСѓСЂСЃР° (РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊ, СѓРїСЂР°РІР»СЏС‚СЊ, РёР·РјРµРЅСЏС‚СЊ РЅР°СЃС‚СЂРѕР№РєРё Рё С‚.Рї.).   
			
 
				   
			
 
				-Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.  
			
 
				+РџСЂР°РІРёР»Р° СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° - СЃРѕРІРѕРєСѓРїРЅРѕСЃС‚СЊ РїСЂР°РІРёР», СЂРµРіР»Р°РјРµРЅС‚РёСЂСѓСЋС‰РёС… РїСЂР°РІР° РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј РІ РЅРµРєРѕС‚РѕСЂРѕР№ СЃРёСЃС‚РµРјРµ.  
			
 
				   
			
 
				-Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.  
			
 
				+РќРµСЃР°РЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРЅС‹Р№ РґРѕСЃС‚СѓРї (РќРЎР”) - РґРѕСЃС‚СѓРї СЃСѓР±СЉРµРєС‚Р° Рє РѕР±СЉРµРєС‚Сѓ РІ РЅР°СЂСѓС€РµРЅРёРµ СѓСЃС‚Р°РЅРѕРІР»РµРЅРЅС‹С… РІ СЃРёСЃС‚РµРјРµ РїСЂР°РІРёР» СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР°.  
			
 
				   
			
 
				-Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.  
			
 
				+РќРµСЃР°РЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРЅРѕРµ РґРµР№СЃС‚РІРёРµ - РґРµР№СЃС‚РІРёРµ СЃСѓР±СЉРµРєС‚Р° РІ РЅР°СЂСѓС€РµРЅРёРµ СѓСЃС‚Р°РЅРѕРІР»РµРЅРЅС‹С… РІ СЃРёСЃС‚РµРјРµ РїСЂР°РІРёР» РѕР±СЂР°Р±РѕС‚РєРё РёРЅС„РѕСЂРјР°С†РёРё.  
			
 
				   
			
 
				-Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.  
			
 
				+РђРІС‚РѕСЂРёР·Р°С†РёСЏ - РїСЂРµРґРѕСЃС‚Р°РІР»РµРЅРёРµ Р°СѓС‚РµРЅС‚РёС„РёС†РёСЂРѕРІР°РЅРЅРѕРјСѓ СЃСѓР±СЉРµРєС‚Сѓ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёС… (РїСЂРµРґРїРёСЃР°РЅРЅС‹С… СѓСЃС‚Р°РЅРѕРІР»РµРЅРЅС‹Рј РїРѕСЂСЏРґРєРѕРј) РїСЂР°РІ РЅР° РґРѕСЃС‚СѓРї Рє РѕР±СЉРµРєС‚Р°Рј СЃРёСЃС‚РµРјС‹: РєР°РєРёРµ РґР°РЅРЅС‹Рµ Рё РєР°Рє РѕРЅ РјРѕР¶РµС‚ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊ (РєР°РєРёРµ РѕРїРµСЂР°С†РёРё СЃ РЅРёРјРё РІС‹РїРѕР»РЅСЏС‚СЊ), РєР°РєРёРµ РїСЂРѕРіСЂР°РјРјС‹ РјРѕР¶РµС‚ РІС‹РїРѕР»РЅСЏС‚СЊ, РєРѕРіРґР°, РєР°Рє РґРѕР»РіРѕ Рё СЃ РєР°РєРёС… С‚РµСЂРјРёРЅР°Р»РѕРІ РјРѕР¶РµС‚ СЂР°Р±РѕС‚Р°С‚СЊ, РєР°РєРёРµ СЂРµСЃСѓСЂСЃС‹ СЃРёСЃС‚РµРјС‹ РјРѕР¶РµС‚ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊ Рё С‚.Рї. Р’ Р±РѕР»СЊС€РёРЅСЃС‚РІРµ СЃРёСЃС‚РµРј Р·Р°С‰РёС‚С‹ Р°РІС‚РѕСЂРёР·Р°С†РёСЏ РѕСЃСѓС‰РµСЃС‚РІР»СЏРµС‚СЃСЏ РјРЅРѕРіРѕРєСЂР°С‚РЅРѕ РїСЂРё РєР°Р¶РґРѕР№ РїРѕРїС‹С‚РєРµ РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚Р° Рє РєРѕРЅРєСЂРµС‚РЅРѕРјСѓ РѕР±СЉРµРєС‚Сѓ.  
			
 
				   
			
 
				-Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).  
			
 
				+РђРІС‚РѕСЂРёР·РѕРІР°РЅРЅС‹Р№ СЃСѓР±СЉРµРєС‚ РґРѕСЃС‚СѓРїР° - СЃСѓР±СЉРµРєС‚, РєРѕС‚РѕСЂРѕРјСѓ РїСЂРµРґРѕСЃС‚Р°РІР»РµРЅС‹ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёРµ РїСЂР°РІР° РґРѕСЃС‚СѓРїР° Рє РѕР±СЉРµРєС‚Р°Рј СЃРёСЃС‚РµРјС‹ (РїРѕР»РЅРѕРјРѕС‡РёСЏ).  
			
 
				   
			
 
				-Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:  
			
 
				+РђРІС‚РѕСЂРёР·Р°С†РёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РѕСЃСѓС‰РµСЃС‚РІР»СЏРµС‚СЃСЏ СЃ РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРµРј СЃР»РµРґСѓСЋС‰РёС… РѕСЃРЅРѕРІРЅС‹С… РјРµС…Р°РЅРёР·РјРѕРІ СЂРµР°Р»РёР·Р°С†РёРё СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР°:  
			
 
				   
			
 
				--механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;  
			
 
				+-РјРµС…Р°РЅРёР·РјРѕРІ РёР·Р±РёСЂР°С‚РµР»СЊРЅРѕРіРѕ СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј, РѕСЃРЅРѕРІР°РЅРЅС‹С… РЅР° РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРё Р°С‚СЂРёР±СѓС‚РЅС‹С… СЃС…РµРј, СЃРїРёСЃРєРѕРІ СЂР°Р·СЂРµС€РµРЅРёР№ Рё С‚.Рї.;  
			
 
				   
			
 
				--механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;  
			
 
				+-РјРµС…Р°РЅРёР·РјРѕРІ РїРѕР»РЅРѕРјРѕС‡РЅРѕРіРѕ СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј, РѕСЃРЅРѕРІР°РЅРЅС‹С… РЅР° РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРё РјРµС‚РѕРє РєРѕРЅС„РёРґРµРЅС†РёР°Р»СЊРЅРѕСЃС‚Рё СЂРµСЃСѓСЂСЃРѕРІ Рё СѓСЂРѕРІРЅРµР№ РґРѕРїСѓСЃРєР° РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№;  
			
 
				 
			
 
				--механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.  
			
 
				+-РјРµС…Р°РЅРёР·РјРѕРІ РѕР±РµСЃРїРµС‡РµРЅРёСЏ Р·Р°РјРєРЅСѓС‚РѕР№ СЃСЂРµРґС‹ РґРѕРІРµСЂРµРЅРЅРѕРіРѕ РїСЂРѕРіСЂР°РјРјРЅРѕРіРѕ РѕР±РµСЃРїРµС‡РµРЅРёСЏ (РёРЅРґРёРІРёРґСѓР°Р»СЊРЅС‹С… РґР»СЏ РєР°Р¶РґРѕРіРѕ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ СЃРїРёСЃРєРѕРІ СЂР°Р·СЂРµС€РµРЅРЅС‹С… РґР»СЏ РёСЃРїРѕР»СЊР·РѕРІР°РЅРёСЏ РїСЂРѕРіСЂР°РјРј), РїРѕРґРґРµСЂР¶РёРІР°РµРјС‹С… РјРµС…Р°РЅРёР·РјР°РјРё РёРґРµРЅС‚РёС„РёРєР°С†РёРё Рё Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РїСЂРё РёС… РІС…РѕРґРµ РІ СЃРёСЃС‚РµРјСѓ.  
			
 
				    
			
 
				-Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:  
			
 
				+РўРµС…РЅРёС‡РµСЃРєРёРµ СЃСЂРµРґСЃС‚РІР° СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° Рє СЂРµСЃСѓСЂСЃР°Рј РђРЎ РґРѕР»Р¶РЅС‹ СЂР°СЃСЃРјР°С‚СЂРёРІР°С‚СЊСЃСЏ РєР°Рє СЃРѕСЃС‚Р°РІРЅР°СЏ С‡Р°СЃС‚СЊ РµРґРёРЅРѕР№ СЃРёСЃС‚РµРјС‹ РєРѕРЅС‚СЂРѕР»СЏ РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ:  
			
 
				   
			
 
				--на контролируемую территорию;  
			
 
				--в отдельные здания и помещения организации;  
			
 
				--к элементам АС и элементам системы защиты информации (физический доступ);  
			
 
				--к информационным и программным ресурсам АС.  
			
 
				+-РЅР° РєРѕРЅС‚СЂРѕР»РёСЂСѓРµРјСѓСЋ С‚РµСЂСЂРёС‚РѕСЂРёСЋ;  
			
 
				+-РІ РѕС‚РґРµР»СЊРЅС‹Рµ Р·РґР°РЅРёСЏ Рё РїРѕРјРµС‰РµРЅРёСЏ РѕСЂРіР°РЅРёР·Р°С†РёРё;  
			
 
				+-Рє СЌР»РµРјРµРЅС‚Р°Рј РђРЎ Рё СЌР»РµРјРµРЅС‚Р°Рј СЃРёСЃС‚РµРјС‹ Р·Р°С‰РёС‚С‹ РёРЅС„РѕСЂРјР°С†РёРё (С„РёР·РёС‡РµСЃРєРёР№ РґРѕСЃС‚СѓРї);  
			
 
				+-Рє РёРЅС„РѕСЂРјР°С†РёРѕРЅРЅС‹Рј Рё РїСЂРѕРіСЂР°РјРјРЅС‹Рј СЂРµСЃСѓСЂСЃР°Рј РђРЎ.  
			
 
				   
			
 
				-Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех обращениях субъектов к объектам.  
			
 
				+РњРµС…Р°РЅРёР·РјС‹ СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј РґРѕСЃС‚СѓРїР° РІС‹РїРѕР»РЅСЏСЋС‚ РѕСЃРЅРѕРІРЅСѓСЋ СЂРѕР»СЊ РІ РѕР±РµСЃРїРµС‡РµРЅРёРё РІРЅСѓС‚СЂРµРЅРЅРµР№ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё РєРѕРјРїСЊСЋС‚РµСЂРЅС‹С… СЃРёСЃС‚РµРј. Р�С… СЂР°Р±РѕС‚Р° СЃС‚СЂРѕРёС‚СЃСЏ РЅР° РєРѕРЅС†РµРїС†РёРё РµРґРёРЅРѕРіРѕ РґРёСЃРїРµС‚С‡РµСЂР° РґРѕСЃС‚СѓРїР°. РЎСѓС‰РЅРѕСЃС‚СЊ СЌС‚РѕР№ РєРѕРЅС†РµРїС†РёРё СЃРѕСЃС‚РѕРёС‚ РІ С‚РѕРј, С‡С‚Рѕ РґРёСЃРїРµС‚С‡РµСЂ РґРѕСЃС‚СѓРїР° (РјРѕРЅРёС‚РѕСЂ СЃСЃС‹Р»РѕРє) - РІС‹СЃС‚СѓРїР°РµС‚ РїРѕСЃСЂРµРґРЅРёРєРѕРј-РєРѕРЅС‚СЂРѕР»РµСЂРѕРј РїСЂРё РІСЃРµС… РѕР±СЂР°С‰РµРЅРёСЏС… СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј.  
			
 
				 ![](3.jpg)  
			
 
				-Диспетчер доступа выполняет следующие основные функции:  
			
 
				+Р”РёСЃРїРµС‚С‡РµСЂ РґРѕСЃС‚СѓРїР° РІС‹РїРѕР»РЅСЏРµС‚ СЃР»РµРґСѓСЋС‰РёРµ РѕСЃРЅРѕРІРЅС‹Рµ С„СѓРЅРєС†РёРё:  
			
 
				   
			
 
				--проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);  
			
 
				--разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;  
			
 
				--при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).  
			
 
				+-РїСЂРѕРІРµСЂСЏРµС‚ РїСЂР°РІР° РґРѕСЃС‚СѓРїР° РєР°Р¶РґРѕРіРѕ СЃСѓР±СЉРµРєС‚Р° Рє РєРѕРЅРєСЂРµС‚РЅРѕРјСѓ РѕР±СЉРµРєС‚Сѓ РЅР° РѕСЃРЅРѕРІР°РЅРёРё РёРЅС„РѕСЂРјР°С†РёРё, СЃРѕРґРµСЂР¶Р°С‰РµР№СЃСЏ РІ Р±Р°Р·Рµ РґР°РЅРЅС‹С… СЃРёСЃС‚РµРјС‹ Р·Р°С‰РёС‚С‹ (РїСЂР°РІРёР» СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР°);  
			
 
				+-СЂР°Р·СЂРµС€Р°РµС‚ (РїСЂРѕРёР·РІРѕРґРёС‚ Р°РІС‚РѕСЂРёР·Р°С†РёСЋ) РёР»Рё Р·Р°РїСЂРµС‰Р°РµС‚ (Р±Р»РѕРєРёСЂСѓРµС‚) РґРѕСЃС‚СѓРї СЃСѓР±СЉРµРєС‚Р° Рє РѕР±СЉРµРєС‚Сѓ;  
			
 
				+-РїСЂРё РЅРµРѕР±С…РѕРґРёРјРѕСЃС‚Рё СЂРµРіРёСЃС‚СЂРёСЂСѓРµС‚ С„Р°РєС‚ РґРѕСЃС‚СѓРїР° Рё РµРіРѕ РїР°СЂР°РјРµС‚СЂС‹ РІ СЃРёСЃС‚РµРјРЅРѕРј Р¶СѓСЂРЅР°Р»Рµ (РІ С‚РѕРј С‡РёСЃР»Рµ РїРѕРїС‹С‚РєРё РЅРµСЃР°РЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРЅРѕРіРѕ РґРѕСЃС‚СѓРїР° СЃ РїСЂРµРІС‹С€РµРЅРёРµРј РїРѕР»РЅРѕРјРѕС‡РёР№).  
			
 
				   
			
 
				-Основными требованиями к реализации диспетчера доступа являются:  
			
 
				+РћСЃРЅРѕРІРЅС‹РјРё С‚СЂРµР±РѕРІР°РЅРёСЏРјРё Рє СЂРµР°Р»РёР·Р°С†РёРё РґРёСЃРїРµС‚С‡РµСЂР° РґРѕСЃС‚СѓРїР° СЏРІР»СЏСЋС‚СЃСЏ:  
			
 
				   
			
 
				--полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, - обход диспетчера предполагается невозможным);  
			
 
				--изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;  
			
 
				--возможность формальной проверки правильности функционирования;  
			
 
				--минимизация используемых диспетчером ресурсов (накладных расходов).  
			
 
				+-РїРѕР»РЅРѕС‚Р° РєРѕРЅС‚СЂРѕР»РёСЂСѓРµРјС‹С… РѕРїРµСЂР°С†РёР№ (РїСЂРѕРІРµСЂРєРµ РґРѕР»Р¶РЅС‹ РїРѕРґРІРµСЂРіР°С‚СЊСЃСЏ РІСЃРµ РѕРїРµСЂР°С†РёРё РІСЃРµС… СЃСѓР±СЉРµРєС‚РѕРІ РЅР°Рґ РІСЃРµРјРё РѕР±СЉРµРєС‚Р°РјРё СЃРёСЃС‚РµРјС‹, - РѕР±С…РѕРґ РґРёСЃРїРµС‚С‡РµСЂР° РїСЂРµРґРїРѕР»Р°РіР°РµС‚СЃСЏ РЅРµРІРѕР·РјРѕР¶РЅС‹Рј);  
			
 
				+-РёР·РѕР»РёСЂРѕРІР°РЅРЅРѕСЃС‚СЊ РґРёСЃРїРµС‚С‡РµСЂР°, С‚Рѕ РµСЃС‚СЊ Р·Р°С‰РёС‰РµРЅРЅРѕСЃС‚СЊ СЃР°РјРѕРіРѕ РґРёСЃРїРµС‚С‡РµСЂР° РѕС‚ РІРѕР·РјРѕР¶РЅС‹С… РёР·РјРµРЅРµРЅРёР№ СЃСѓР±СЉРµРєС‚Р°РјРё РґРѕСЃС‚СѓРїР° СЃ С†РµР»СЊСЋ РІР»РёСЏРЅРёСЏ РЅР° РїСЂРѕС†РµСЃСЃ РµРіРѕ С„СѓРЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРёСЏ;  
			
 
				+-РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ С„РѕСЂРјР°Р»СЊРЅРѕР№ РїСЂРѕРІРµСЂРєРё РїСЂР°РІРёР»СЊРЅРѕСЃС‚Рё С„СѓРЅРєС†РёРѕРЅРёСЂРѕРІР°РЅРёСЏ;  
			
 
				+-РјРёРЅРёРјРёР·Р°С†РёСЏ РёСЃРїРѕР»СЊР·СѓРµРјС‹С… РґРёСЃРїРµС‚С‡РµСЂРѕРј СЂРµСЃСѓСЂСЃРѕРІ (РЅР°РєР»Р°РґРЅС‹С… СЂР°СЃС…РѕРґРѕРІ).  
			
 
				    
			
 
				-В общем виде работа средств разграничения доступа субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты. Под базой данных защиты ( security database ) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам. Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированных пользователей (администраторов безопасности, владельцев объектов и т.п.) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:  
			
 
				--добавления и удаления объектов и субъектов;  
			
 
				--просмотра и изменения соответствующих прав доступа субъектов к объектам.  
			
 
				+Р’ РѕР±С‰РµРј РІРёРґРµ СЂР°Р±РѕС‚Р° СЃСЂРµРґСЃС‚РІ СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј РѕСЃРЅРѕРІР°РЅР° РЅР° РїСЂРѕРІРµСЂРєРµ СЃРІРµРґРµРЅРёР№, С…СЂР°РЅРёРјС‹С… РІ Р±Р°Р·Рµ РґР°РЅРЅС‹С… Р·Р°С‰РёС‚С‹. РџРѕРґ Р±Р°Р·РѕР№ РґР°РЅРЅС‹С… Р·Р°С‰РёС‚С‹ ( security database ) РїРѕРЅРёРјР°СЋС‚ Р±Р°Р·Сѓ РґР°РЅРЅС‹С…, С…СЂР°РЅСЏС‰СѓСЋ РёРЅС„РѕСЂРјР°С†РёСЋ Рѕ РїСЂР°РІР°С… РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј. Р”Р»СЏ РІРЅРµСЃРµРЅРёСЏ РёР·РјРµРЅРµРЅРёР№ РІ Р±Р°Р·Сѓ РґР°РЅРЅС‹С… Р·Р°С‰РёС‚С‹ СЃРёСЃС‚РµРјР° СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° РґРѕР»Р¶РЅР° РІРєР»СЋС‡Р°С‚СЊ СЃСЂРµРґСЃС‚РІР° РґР»СЏ РїСЂРёРІРёР»РµРіРёСЂРѕРІР°РЅРЅС‹С… РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ (Р°РґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂРѕРІ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё, РІР»Р°РґРµР»СЊС†РµРІ РѕР±СЉРµРєС‚РѕРІ Рё С‚.Рї.) РїРѕ РІРµРґРµРЅРёСЋ СЌС‚РѕР№ Р±Р°Р·С‹. РўР°РєРёРµ СЃСЂРµРґСЃС‚РІР° СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј РґРѕР»Р¶РЅС‹ РѕР±РµСЃРїРµС‡РёРІР°С‚СЊ РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ РІС‹РїРѕР»РЅРµРЅРёСЏ СЃР»РµРґСѓСЋС‰РёС… РѕРїРµСЂР°С†РёР№:  
			
 
				+-РґРѕР±Р°РІР»РµРЅРёСЏ Рё СѓРґР°Р»РµРЅРёСЏ РѕР±СЉРµРєС‚РѕРІ Рё СЃСѓР±СЉРµРєС‚РѕРІ;  
			
 
				+-РїСЂРѕСЃРјРѕС‚СЂР° Рё РёР·РјРµРЅРµРЅРёСЏ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёС… РїСЂР°РІ РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј.  
			
 
				 ![](4.jpg)  
			
 
				   
			
 
				-Форма представления базы данных защита может быть различной.  
			
 
				+Р¤РѕСЂРјР° РїСЂРµРґСЃС‚Р°РІР»РµРЅРёСЏ Р±Р°Р·С‹ РґР°РЅРЅС‹С… Р·Р°С‰РёС‚Р° РјРѕР¶РµС‚ Р±С‹С‚СЊ СЂР°Р·Р»РёС‡РЅРѕР№.  
			
 
				   
			
 
				-Основу базы данных средств разграничения доступа в общем случае составляет абстрактная матрица доступа или ее реальные представления. Каждая строка згой матрицы соответствует субъекту, а столбец - объекту АС. Каждый элемент этой матрицы представляет собой кортеж (упорядоченную совокупность значений), определяющий права доступа (для всех возможных видов доступа - чтение, модификация, удаление и т.п.) определенного субъекта к определенному объекту. 
			
 
				+РћСЃРЅРѕРІСѓ Р±Р°Р·С‹ РґР°РЅРЅС‹С… СЃСЂРµРґСЃС‚РІ СЂР°Р·РіСЂР°РЅРёС‡РµРЅРёСЏ РґРѕСЃС‚СѓРїР° РІ РѕР±С‰РµРј СЃР»СѓС‡Р°Рµ СЃРѕСЃС‚Р°РІР»СЏРµС‚ Р°Р±СЃС‚СЂР°РєС‚РЅР°СЏ РјР°С‚СЂРёС†Р° РґРѕСЃС‚СѓРїР° РёР»Рё РµРµ СЂРµР°Р»СЊРЅС‹Рµ РїСЂРµРґСЃС‚Р°РІР»РµРЅРёСЏ. РљР°Р¶РґР°СЏ СЃС‚СЂРѕРєР° Р·РіРѕР№ РјР°С‚СЂРёС†С‹ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓРµС‚ СЃСѓР±СЉРµРєС‚Сѓ, Р° СЃС‚РѕР»Р±РµС† - РѕР±СЉРµРєС‚Сѓ РђРЎ. РљР°Р¶РґС‹Р№ СЌР»РµРјРµРЅС‚ СЌС‚РѕР№ РјР°С‚СЂРёС†С‹ РїСЂРµРґСЃС‚Р°РІР»СЏРµС‚ СЃРѕР±РѕР№ РєРѕСЂС‚РµР¶ (СѓРїРѕСЂСЏРґРѕС‡РµРЅРЅСѓСЋ СЃРѕРІРѕРєСѓРїРЅРѕСЃС‚СЊ Р·РЅР°С‡РµРЅРёР№), РѕРїСЂРµРґРµР»СЏСЋС‰РёР№ РїСЂР°РІР° РґРѕСЃС‚СѓРїР° (РґР»СЏ РІСЃРµС… РІРѕР·РјРѕР¶РЅС‹С… РІРёРґРѕРІ РґРѕСЃС‚СѓРїР° - С‡С‚РµРЅРёРµ, РјРѕРґРёС„РёРєР°С†РёСЏ, СѓРґР°Р»РµРЅРёРµ Рё С‚.Рї.) РѕРїСЂРµРґРµР»РµРЅРЅРѕРіРѕ СЃСѓР±СЉРµРєС‚Р° Рє РѕРїСЂРµРґРµР»РµРЅРЅРѕРјСѓ РѕР±СЉРµРєС‚Сѓ. 
			
 
				   
			
 
				-Сложность управления доступом (ведения матрицы доступа) в реальных системах связана не только с большой размерностью этой матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.  
			
 
				+РЎР»РѕР¶РЅРѕСЃС‚СЊ СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј (РІРµРґРµРЅРёСЏ РјР°С‚СЂРёС†С‹ РґРѕСЃС‚СѓРїР°) РІ СЂРµР°Р»СЊРЅС‹С… СЃРёСЃС‚РµРјР°С… СЃРІСЏР·Р°РЅР° РЅРµ С‚РѕР»СЊРєРѕ СЃ Р±РѕР»СЊС€РѕР№ СЂР°Р·РјРµСЂРЅРѕСЃС‚СЊСЋ СЌС‚РѕР№ РјР°С‚СЂРёС†С‹ (Р±РѕР»СЊС€РёРј С‡РёСЃР»РѕРј СЃСѓР±СЉРµРєС‚РѕРІ Рё РѕР±СЉРµРєС‚РѕРІ) Рё РІС‹СЃРѕРєРёРј РґРёРЅР°РјРёР·РјРѕРј РµРµ РєРѕСЂСЂРµРєС‚РёСЂРѕРІРєРё, РЅРѕ Рё СЃ РЅРµРѕР±С…РѕРґРёРјРѕСЃС‚СЊСЋ РїРѕСЃС‚РѕСЏРЅРЅРѕРіРѕ РѕС‚СЃР»РµР¶РёРІР°РЅРёСЏ РїСЂРё С‚Р°РєРёС… РєРѕСЂСЂРµРєС‚РёСЂРѕРІРєР°С… Р±РѕР»СЊС€РѕРіРѕ С‡РёСЃР»Р° Р·Р°РІРёСЃРёРјРѕСЃС‚РµР№ РјРµР¶РґСѓ Р·РЅР°С‡РµРЅРёСЏРјРё РѕРїСЂРµРґРµР»РµРЅРЅС‹С… РєРѕСЂС‚РµР¶РµР№. РќР°Р»РёС‡РёРµ С‚Р°РєРёС… Р·Р°РІРёСЃРёРјРѕСЃС‚РµР№ СЃРІСЏР·Р°РЅРѕ СЃ РѕР±СЉРµРєС‚РёРІРЅРѕ СЃСѓС‰РµСЃС‚РІСѓСЋС‰РёРјРё РІ РїСЂРµРґРјРµС‚РЅРѕР№ РѕР±Р»Р°СЃС‚Рё РѕРіСЂР°РЅРёС‡РµРЅРёСЏРјРё Рё РїСЂР°РІРёР»Р°РјРё РЅР°СЃР»РµРґРѕРІР°РЅРёСЏ РїРѕР»РЅРѕРјРѕС‡РёР№ РІ РёРµСЂР°СЂС…РёРё РѕР±СЉРµРєС‚РѕРІ Рё СЃСѓР±СЉРµРєС‚РѕРІ.  
			
 
				   
			
 
				-Например, пользователь должен наследовать полномочия групп пользователей, в которые он входит. Права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.).  
			
 
				+РќР°РїСЂРёРјРµСЂ, РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ РґРѕР»Р¶РµРЅ РЅР°СЃР»РµРґРѕРІР°С‚СЊ РїРѕР»РЅРѕРјРѕС‡РёСЏ РіСЂСѓРїРї РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№, РІ РєРѕС‚РѕСЂС‹Рµ РѕРЅ РІС…РѕРґРёС‚. РџСЂР°РІР° РґРѕСЃС‚СѓРїР° РЅРµРєРѕС‚РѕСЂРѕРіРѕ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ Рє РєР°С‚Р°Р»РѕРіР°Рј Рё С„Р°Р№Р»Р°Рј РЅРµ РґРѕР»Р¶РЅС‹ РїСЂРµРІС‹С€Р°С‚СЊ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёРµ РµРіРѕ РїСЂР°РІР° РїРѕ РґРѕСЃС‚СѓРїСѓ Рє РґРёСЃРєСѓ, РЅР° РєРѕС‚РѕСЂРѕРј РѕРЅРё СЂР°Р·РјРµС‰РµРЅС‹ Рё С‚.Рї.).  
			
 
				   
			
 
				-При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.  
			
 
				+РџСЂРё РїРѕР»РЅРѕРјРѕС‡РЅРѕРј СѓРїСЂР°РІР»РµРЅРёРё РґРѕСЃС‚СѓРїРѕРј (РєР°С‚РµРіРѕСЂРёСЂРѕРІР°РЅРёРµ РѕР±СЉРµРєС‚РѕРІ Рё СЃСѓР±СЉРµРєС‚РѕРІ Рё РІРІРµРґРµРЅРёРµ РѕРіСЂР°РЅРёС‡РµРЅРёР№ РїРѕ РґРѕСЃС‚СѓРїСѓ СѓСЃС‚Р°РЅРѕРІР»РµРЅРЅС‹С… РєР°С‚РµРіРѕСЂРёР№ СЃСѓР±СЉРµРєС‚РѕРІ Рє РѕР±СЉРµРєС‚Р°Рј СЂР°Р·Р»РёС‡РЅС‹С… РєР°С‚РµРіРѕСЂРёР№) РЅР° РјР°С‚СЂРёС†Сѓ РґРѕСЃС‚СѓРїР° РЅР°РєР»Р°РґС‹РІР°СЋС‚СЃСЏ РґРѕРїРѕР»РЅРёС‚РµР»СЊРЅС‹Рµ Р·Р°РІРёСЃРёРјРѕСЃС‚Рё РјРµР¶РґСѓ Р·РЅР°С‡РµРЅРёСЏРјРё РїСЂР°РІ РґРѕСЃС‚СѓРїР° СЃСѓР±СЉРµРєС‚РѕРІ.  
			
 
				   
			
 
				-Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).  
			
 
				+РћРіСЂР°РЅРёС‡РµРЅРёСЏ Рё Р·Р°РІРёСЃРёРјРѕСЃС‚Рё РјРµР¶РґСѓ РїРѕР»РЅРѕРјРѕС‡РёСЏРјРё СЃСѓС‰РµСЃС‚РІРµРЅРЅРѕ СѓСЃР»РѕР¶РЅСЏСЋС‚ РїСЂРѕС†РµРґСѓСЂС‹ РІРµРґРµРЅРёСЏ РјР°С‚СЂРёС† РґРѕСЃС‚СѓРїР°. РС‚Рѕ РїСЂРёРІРµР»Рѕ Рє РІРѕР·РЅРёРєРЅРѕРІРµРЅРёСЋ Р±РѕР»СЊС€РѕРіРѕ С‡РёСЃР»Р° СЃРїРѕСЃРѕР±РѕРІ РЅРµСЏРІРЅРѕРіРѕ Р·Р°РґР°РЅРёСЏ РјР°С‚СЂРёС†С‹ (СЃРїРёСЃРєРё РґРѕСЃС‚СѓРїР°, РїРµСЂРµС‡РёСЃР»РµРЅРёРµ РїРѕР»РЅРѕРјРѕС‡РёР№, Р°С‚СЂРёР±СѓС‚РЅС‹Рµ СЃС…РµРјС‹ Рё С‚.Рї.).  
			
 
				   
			
 
				-Основные критерии оценки эффективности различных способов неявного задания матрицы доступа следующие:  
			
 
				--затраты памяти на хранение образа матрицы доступа;  
			
 
				--время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);  
			
 
				--удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность,количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).  
			
 
				+РћСЃРЅРѕРІРЅС‹Рµ РєСЂРёС‚РµСЂРёРё РѕС†РµРЅРєРё СЌС„С„РµРєС‚РёРІРЅРѕСЃС‚Рё СЂР°Р·Р»РёС‡РЅС‹С… СЃРїРѕСЃРѕР±РѕРІ РЅРµСЏРІРЅРѕРіРѕ Р·Р°РґР°РЅРёСЏ РјР°С‚СЂРёС†С‹ РґРѕСЃС‚СѓРїР° СЃР»РµРґСѓСЋС‰РёРµ:  
			
 
				+-Р·Р°С‚СЂР°С‚С‹ РїР°РјСЏС‚Рё РЅР° С…СЂР°РЅРµРЅРёРµ РѕР±СЂР°Р·Р° РјР°С‚СЂРёС†С‹ РґРѕСЃС‚СѓРїР°;  
			
 
				+-РІСЂРµРјСЏ РЅР° РІС‹Р±РѕСЂРєСѓ (РёР»Рё РґРёРЅР°РјРёС‡РµСЃРєРѕРµ РІС‹С‡РёСЃР»РµРЅРёРµ) Р·РЅР°С‡РµРЅРёР№ РїРѕР»РЅРѕРјРѕС‡РёР№ (СЌР»РµРјРµРЅС‚РѕРІ РєРѕСЂС‚РµР¶РµР№);  
			
 
				+-СѓРґРѕР±СЃС‚РІРѕ РІРµРґРµРЅРёСЏ РјР°С‚СЂРёС†С‹ РїСЂРё РЅР°Р»РёС‡РёРё РѕРіСЂР°РЅРёС‡РµРЅРёР№ Рё Р·Р°РІРёСЃРёРјРѕСЃС‚РµР№ РјРµР¶РґСѓ Р·РЅР°С‡РµРЅРёСЏРјРё РµРµ РєРѕСЂС‚РµР¶РµР№ (РїСЂРѕСЃС‚РѕС‚Р° Рё РЅР°РіР»СЏРґРЅРѕСЃС‚СЊ,РєРѕР»РёС‡РµСЃС‚РІРѕ С‚СЂРµР±СѓРµРјС‹С… РѕРїРµСЂР°С†РёР№ РїСЂРё РґРѕР±Р°РІР»РµРЅРёРё/СѓРґР°Р»РµРЅРёРё СЃСѓР±СЉРµРєС‚Р° РёР»Рё РѕР±СЉРµРєС‚Р°, РЅР°Р·РЅР°С‡РµРЅРёРё/РјРѕРґРёС„РёРєР°С†РёРё РїРѕР»РЅРѕРјРѕС‡РёР№ Рё С‚.Рї.).  
			
 
				   
			
 
				-Списки управления доступом к объекту  
			
 
				-В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.  
			
 
				+РЎРїРёСЃРєРё СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј Рє РѕР±СЉРµРєС‚Сѓ  
			
 
				+Р’ РґР°РЅРЅРѕР№ СЃС…РµРјРµ РїРѕР»РЅРѕРјРѕС‡РёСЏ РїРѕ РґРѕСЃС‚СѓРїСѓ Рє РѕР±СЉРµРєС‚Сѓ РїСЂРµРґСЃС‚Р°РІР»СЏСЋС‚СЃСЏ РІ РІРёРґРµ СЃРїРёСЃРєРѕРІ (С†РµРїРѕС‡РµРє) РєРѕСЂС‚РµР¶РµР№ РґР»СЏ РІСЃРµС… СЃСѓР±СЉРµРєС‚РѕРІ, РёРјРµСЋС‰РёС… РґРѕСЃС‚СѓРї Рє РґР°РЅРЅРѕРјСѓ РѕР±СЉРµРєС‚Сѓ. РС‚Рѕ СЂР°РІРЅРѕСЃРёР»СЊРЅРѕ РїСЂРµРґСЃС‚Р°РІР»РµРЅРёСЋ РјР°С‚СЂРёС†С‹ РїРѕ СЃС‚РѕР»Р±С†Р°Рј СЃ РёСЃРєР»СЋС‡РµРЅРёРµРј РєРѕСЂС‚РµР¶РµР№, РёРјРµСЋС‰РёС… РІСЃРµ РЅСѓР»РµРІС‹Рµ Р·РЅР°С‡РµРЅРёСЏ.  
			
 
				   
			
 
				-Такое представление матрицы доступа получило название "списка управления доступом"' ( access control list - ACL ). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS ).  
			
 
				+РўР°РєРѕРµ РїСЂРµРґСЃС‚Р°РІР»РµРЅРёРµ РјР°С‚СЂРёС†С‹ РґРѕСЃС‚СѓРїР° РїРѕР»СѓС‡РёР»Рѕ РЅР°Р·РІР°РЅРёРµ "СЃРїРёСЃРєР° СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј"' ( access control list - ACL ). РС‚РѕС‚ РІРёРґ Р·Р°РґР°РЅРёСЏ РјР°С‚СЂРёС†С‹ СЂРµР°Р»РёР·РѕРІР°РЅ, Рє РїСЂРёРјРµСЂСѓ, РІ РћРЎ Windows NT (РІ NTFS ).  
			
 
				   
			
 
				-Достоинства:  
			
 
				--экономия памяти, так как матрица доступа обычно сильно разрежена;  
			
 
				--удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;  
			
 
				-Недостатки:  
			
 
				--неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;  
			
 
				--неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;  
			
 
				--так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.  
			
 
				+Р”РѕСЃС‚РѕРёРЅСЃС‚РІР°:  
			
 
				+-СЌРєРѕРЅРѕРјРёСЏ РїР°РјСЏС‚Рё, С‚Р°Рє РєР°Рє РјР°С‚СЂРёС†Р° РґРѕСЃС‚СѓРїР° РѕР±С‹С‡РЅРѕ СЃРёР»СЊРЅРѕ СЂР°Р·СЂРµР¶РµРЅР°;  
			
 
				+-СѓРґРѕР±СЃС‚РІРѕ РїРѕР»СѓС‡РµРЅРёСЏ СЃРІРµРґРµРЅРёР№ Рѕ СЃСѓР±СЉРµРєС‚Р°С…, РёРјРµСЋС‰РёС… РєР°РєРѕР№ Р»РёР±Рѕ РІРёРґ РґРѕСЃС‚СѓРїР° Рє Р·Р°РґР°РЅРЅРѕРјСѓ РѕР±СЉРµРєС‚Сѓ;  
			
 
				+РќРµРґРѕСЃС‚Р°С‚РєРё:  
			
 
				+-РЅРµСѓРґРѕР±СЃС‚РІРѕ РѕС‚СЃР»РµР¶РёРІР°РЅРёСЏ РѕРіСЂР°РЅРёС‡РµРЅРёР№ Рё Р·Р°РІРёСЃРёРјРѕСЃС‚РµР№ РїРѕ РЅР°СЃР»РµРґРѕРІР°РЅРёСЋ РїРѕР»РЅРѕРјРѕС‡РёР№ СЃСѓР±СЉРµРєС‚РѕРІ;  
			
 
				+-РЅРµСѓРґРѕР±СЃС‚РІРѕ РїРѕР»СѓС‡РµРЅРёСЏ СЃРІРµРґРµРЅРёР№ РѕР± РѕР±СЉРµРєС‚Р°С…, Рє РєРѕС‚РѕСЂС‹Рј РёРјРµРµС‚ РєР°РєРѕР№-Р»РёР±Рѕ РІРёРґ РґРѕСЃС‚СѓРїР° РґР°РЅРЅС‹Р№ СЃСѓР±СЉРµРєС‚;  
			
 
				+-С‚Р°Рє РєР°Рє СЃРїРёСЃРєРё СѓРїСЂР°РІР»РµРЅРёСЏ РґРѕСЃС‚СѓРїРѕРј СЃРІСЏР·Р°РЅС‹ СЃ РѕР±СЉРµРєС‚РѕРј, С‚Рѕ РїСЂРё СѓРґР°Р»РµРЅРёРё СЃСѓР±СЉРµРєС‚Р° РІРѕР·РјРѕР¶РЅРѕ РІРѕР·РЅРёРєРЅРѕРІРµРЅРёРµ СЃРёС‚СѓР°С†РёРё, РїСЂРё РєРѕС‚РѕСЂРѕР№ РѕР±СЉРµРєС‚ РјРѕР¶РµС‚ Р±С‹С‚СЊ РґРѕСЃС‚СѓРїРµРЅ РЅРµСЃСѓС‰РµСЃС‚РІСѓСЋС‰РµРјСѓ СЃСѓР±СЉРµРєС‚Сѓ.  
			
 
				   
			
 
				-Источники:  
			
 
				+Р�СЃС‚РѕС‡РЅРёРєРё:  
			
 
				 1.(www.y-center.ru)[https://www.y-center.ru/corporate/zaschita-informatsii/sredstva-zaschity-informatsii/ot-nesanktsionirovannogo-dostupa/]
			
 
				 2.(asher.ru)[http://asher.ru/security/book/its/07]
			
 
				 3.(kgnic.ru)[https://kgnic.ru/services/sredstva-zashhity-informatsii/]