Матрица доступа используется для

Матрица доступа используется для

матрица доступа
1. Таблица, отображающая правила доступа субъектов к информационным ресурсам, данные о которых хранятся в диспетчере доступа.
2. Таблица, отображающая правила разграничения доступа.
[Домарев В.В. Безопасность информационных технологий. Системный подход.]

Тематики

  • защита информации
  • access matrix

Справочник технического переводчика. – Интент . 2009-2013 .

Смотреть что такое "матрица доступа" в других словарях:

Матрица доступа Access matrix — 8. Матрица доступа Таблица, отображающая правила разграничения доступа Источник: Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения … Словарь-справочник терминов нормативно-технической документации

Матрица фильм — Матрица The Matrix Жанр Киберпанк Режиссёр Братья Вачовски Продюсер Джоэль Сильвер … Википедия

матрица смежности — Прямоугольная матрица, каждая строка которой соответствует соседнему узлу сети, а каждый столбец приписанного к нему ресурсу. Запись, расположенная на пересечении столбца и строки указывает тип доступа к ресурсу, обеспечиваемому данным узлом.… … Справочник технического переводчика

Матрица (фильм) — У этого термина существуют и другие значения, см. Матрица. Матрица The Matrix Жанр фантастика боевик пост киберпанк … Википедия

МАТРИЦА ПРИВЛЕКАТЕЛЬНОСТЬ РЫНКА – СИЛЬНЫЕ СТОРОНЫ ПРЕДПРИЯТИЯ — концепция многофакторного анализа портфеля инвестиций, при котором учитывается привлекательность рынка (на основе критериев роста, размера, риска, издержек доступа на него, конкурентной ситуации и др.), а сильные стороны предприятия определяют с… … Большой экономический словарь

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения — Терминология Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: 29. Администратор защиты Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к… … Словарь-справочник терминов нормативно-технической документации

Фильм Матрица — Матрица The Matrix Жанр Киберпанк Режиссёр Братья Вачовски Продюсер Джоэль Сильвер … Википедия

Читайте также:  Как подключить видеокамеру к роутеру

Агент (Матрица) — Агенты Слева направо: Агенты Браун, Смит, Джонс Вселенная Матрица Классификация … Википедия

КМОП-матрица — … Википедия

профиль полномочий — Список защищаемых объектов системы и прав доступа к ним, ассоциированный с каждым субъектом. При обращении к объекту профиль субъекта проверяется на наличие соответствующих прав доступа. Профиль представляется в виде строки матрицы доступа. см.… … Универсальный дополнительный практический толковый словарь И. Мостицкого

Активные пользователи

  • Windik (4)
  • Westler (462)
  • Wertyoz (6)
  • Rostelecom (60)
  • pupil (1)
  • pred (1)
  • Nikitoki (3)
  • MOTOMOTO3 (35)
  • Maniac-Party (14)
  • Malek (5)
  • laterra (20)
  • LASDORF (1)
  • Getmanin (3)
  • fyz734 (38)
  • fedjovlaa (11)
  • faworesandra (31)
  • emz (989)
  • akira (1)

Спасибо за помощь в наполнении сайта

Вход в систему

Навигация

Объявление

Ищу партнеров в бизнес (не связано с интуитом)
Подробнее тут.

аутентификации пользователей
√ авторизации пользователей
организации аудита системы

Матрица доступа

Модель безопасности, специфицированная в предыдущем разделе (см. рис. 16.1), имеет вид матрицы, которая называется матрицей доступа . Какова может быть эффективная реализация матрицы доступа ? В общем случае она будет разреженной, то есть большинство ее клеток будут пустыми. Хотя существуют структуры данных для представления разреженной матрицы , они не слишком полезны для приложений, использующих возможности защиты. Поэтому на практике матрица доступа применяется редко. Эту матрицу можно разложить по столбцам, в результате чего получаются списки прав доступа (access control list — ACL). В результате разложения по строкам получаются мандаты возможностей (capability list или capability tickets ).

Список прав доступа. Access control list

Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар , который определяет все домены с непустыми наборами прав для данного объекта.

Читайте также:  Как мне зарегистрироваться в скайпе

Элементами списка могут быть процессы, пользователи или группы пользователей. При реализации широко применяется предоставление доступа по умолчанию для пользователей, права которых не указаны. Например, в Unix все субъекты-пользователи разделены на три группы (владелец, группа и остальные), и для членов каждой группы контролируются операции чтения, записи и исполнения (rwx). В итоге имеем ACL — 9-битный код, который является атрибутом разнообразных объектов Unix.

Мандаты возможностей. Capability list

Как отмечалось выше, если матрицу доступа хранить по строкам, то есть если каждый субъект хранит список объектов и для каждого объекта — список допустимых операций, то такой способ хранения называется "мандаты" или "перечни возможностей" (capability list) . Каждый пользователь обладает несколькими мандатами и может иметь право передавать их другим. Мандаты могут быть рассеяны по системе и вследствие этого представлять большую угрозу для безопасности, чем списки контроля доступа. Их хранение должно быть тщательно продумано.

Примерами систем, использующих перечни возможностей , являются Hydra , Cambridge CAP System [Denning, 1996].

Другие способы контроля доступа

Иногда применяется комбинированный способ. Например, в том же Unix на этапе открытия файла происходит анализ ACL (операция open). В случае благоприятного исхода файл заносится в список открытых процессом файлов, и при последующих операциях чтения и записи проверки прав доступа не происходит. Список открытых файлов можно рассматривать как перечень возможностей .

Существует также схема lock-key, которая является компромиссом между списками прав доступа и перечнями возможностей . В этой схеме каждый объект имеет список уникальных битовых шаблонов (patterns), называемых locks. Аналогично каждый домен имеет список уникальных битовых шаблонов, называемых ключами (keys). Процесс, выполняющийся в домене, может получить доступ к объекту, только если домен имеет ключ, который соответствует одному из шаблонов объекта.

Читайте также:  В этом нет необходимости

Как и в случае мандатов , список ключей для домена должен управляться ОС. Пользователям не разрешается проверять или модифицировать списки ключей (или шаблонов) непосредственно. Более подробно данная схема изложена в [Silberschatz, 2002].

Смена домена

В большинстве ОС для определения домена применяются идентификаторы пользователей. Обычно переключение между доменами происходит, когда меняется пользователь. Но почти все системы нуждаются в дополнительных механизмах смены домена, которые используются, когда некая привилегированная возможность необходима большому количеству пользователей. Hапример, может понадобиться разрешить пользователям иметь доступ к сети, не заставляя их писать собственные сетевые программы. В таких случаях для процессов ОС Unix предусмотрена установка бита set-uid. В результате установки этого бита в сетевой программе она получает привилегии ее создателя (а не пользователя), заставляя домен меняться на время ее выполнения. Таким образом, рядовой пользователь может получить нужные привилегии для доступа к сети.

Недопустимость повторного использования объектов

Контроль повторного использования объекта предназначен для предотвращения попыток незаконного получения конфиденциальной информации, остатки которой могли сохраниться в некоторых объектах, ранее использовавшихся и освобожденных другим пользователем. Безопасность повторного применения должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т. п.), для дисковых блоков и магнитных носителей в целом. Очистка должна производиться путем записи маскирующей информации в объект при его освобождении (перераспределении). Hапример, для дисков на практике применяется способ двойной перезаписи освободившихся после удаления файлов блоков случайной битовой последовательностью.

Ссылка на основную публикацию
Adblock detector