Добавить 'Лекции/2.5.710_Избирательное_разграничение_доступа_к_устройствам/goev.md'

Лекции/2.5.710_Избирательное_разграничение_доступа_к_устройствам/goev.md

@@ -0,0 +1,127 @@
+# Избирательное разграничение доступа к устройствам
+### **Избирательное управление доступом (англ. discretionary access control, DAC)**
+— управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также используются названия дискреционное управление доступом, контролируемое управление доступом и разграничительное управление доступом.
+
+---
+### **Пример работы**
+Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект «Пользователь № 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.
+
+Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту).
+
+
+Пример настройки матрицы доступа при организации дискреционной модели управления к объектам файловой системы, используемой в дополнение к мандатному механизму
+Возможны несколько подходов к построению дискреционного управления доступом:
+
+Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту.
+Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
+Субъект с определённым правом доступа может передать это право любому другому субъекту.
+Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например Unix или Windows NT.
+
+Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.
+
+---
+### **Механизм полномочного управления доступом предназначен для**
+- Разграничения доступа пользователей к ресурсам с назначенными категориями конфиденциальности;
+- Контроля подключения и использования устройств с назначенными категориями конфиденциальности;
+- Контроля потоков конфиденциальной информации в системе;
+- Контроля использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
+- Контроля печати конфиденциальных документов.
+- Категорию конфиденциальности можно назначить для локальных физических дисков (кроме диска с системным логическим разделом), каталогов, файлов, а также для любых устройств, включаемых в группы устройств USB, PCMCIA, IEEE1394 или Secure Digital.
+
+---
+### **Настройка категорий конфиденциальности**
+В групповой политике сервера безопасности необходимо задать количество категорий конфиденциальности и их названия. Эти параметры должны задаваться в одной общей групповой политике домена, организационного подразделения или сервера безопасности.
+
+В политике можно добавлять новые уровни, перемещать их, удалять, а также восстанавливать исходный набор категорий по умолчанию.
+
+---
+
+### **Определение для каждого пользователя уровня допуска и необходимых привилегий**
+Действия осуществляются в программе «Управление пользователями». В окне настройки свойств пользователя необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Доступ».
+
+Для пользователя устанавливается нужный уровень допуска, а также выдаются необходимые привилегии. Параметры вступят в силу при следующем входе пользователя в систему.
+
+---
+### **Присвоение уровней конфиденциальности ресурсам**
+Для изменения категории конфиденциальности файла или каталога пользователю необходимо обладать привилегией «Управление категориями конфиденциальности». Если ее нет, то у пользователя есть возможность только повышать категории для файлов, но не выше своего уровня допуска или конфиденциальности сеанса.
+
+Изменение категории конфиденциальности осуществляется с помощью программы «Проводник» ОС Windows.
+
+В контекстном меню свойств каталога необходимо перейти на вкладку «Secret Net Studio», затем назначить нужную категорию конфиденциальности. Выбранная категория может автоматически присваиваться новым каталогам и файлам, для этого нужно установить отметки в соответствующих полях.
+
+Аналогичные операции следует провести с файлами, которые находятся в каталоге (если не включено автоматическое присваивание категории).
+
+При открытии конфиденциального документа, если не включен режим контроля потоков, будет появляться запрос на повышение уровня конфиденциальности:
+
+После сохранения документа категория конфиденциальности файла остается прежней при условии, что категория конфиденциальности каталога равна категории конфиденциальности документа и в свойствах каталога включен режим «Автоматически присваивать новым файлам».
+
+---
+
+### **Настройка регистрации событий**
+Для отслеживания событий, связанных с механизмом полномочного управления доступом, имеется возможность гибкой настройки регистрации событий. Через Центр управления  в группе «Полномочное управление доступом» раздела «Регистрация событий» администратор может выборочно включить определенные типы событий.
+
+---
+
+### **Дополнительные настройки**
+При необходимости администратор безопасности может использовать режим скрытия конфиденциальных файлов.
+
+Таким образом, пользователь не будет видеть файлы, категория конфиденциальности которых выше его уровня допуска.
+
+При включенном режиме контроля потоков пользователь независимо от уровня допуска не увидит файлы, категория конфиденциальности которых выше уровня конфиденциальности текущей сессии.
+
+Если предполагается использовать режим контроля потоков, то перед его включением необходимо:
+Назначить учетной записи администратора безопасности, наивысший уровень допуска к конфиденциальной информации, а также предоставить привилегию «Управление категориями конфиденциальности». Далее следует включить учетную запись в локальные группы администраторов компьютеров;
+На каждом компьютере создать профили пользователей, выполнить запуск используемых приложений и настроить параметры их работы;
+Для обеспечения функционирования механизма полномочного управления доступом в режиме контроля потоков на каждом из защищаемых компьютеров должна проводиться дополнительная настройка в программе «Настройка подсистемы полномочного управления доступом».
+
+---
+### **Списки управления доступом к объекту**
+В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.
+
+Такое представление матрицы доступа получило название "списка управления доступом"' ( access control list - ACL ). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS ).
+
+**Достоинства:**
+
+• экономия памяти, так как матрица доступа обычно сильно разрежена;
+
+• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;
+
+**Недостатки:**
+
+• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;
+
+• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
+
+• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.
+
+---
+
+### **Списки полномочий субъектов**
+В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.
+
+Такое представление матрицы доступа называется "профилем" ( profile ) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare .
+
+В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.
+
+**Достоинства:**
+
+• экономия памяти, так как матрица доступа обычно сильно разрежена;
+
+• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
+
+** Недостатки:**
+
+• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;
+
+• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;
+
+• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.
+
+---
+https://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B1%D0%B8%D1%80%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC  
+https://university.tssolution.ru/sns-i-sn-lsp/obzor-podklyuchaemyh-funkcionalnyh-komponentov  
+https://asher.ru/security/book/its/07  
+
+
+
+