imbasoft 21. apríla 2016 o 00:04

Štandard pre správu prístupových práv k informačným zdrojom podnikových súborov

• Informačná bezpečnosť

Čo môže byť jednoduchšie ako rozlišovať práva na priečinok v systéme NTFS? Táto jednoduchá úloha sa však môže zmeniť na skutočnú nočnú moru, keď takýchto priečinkov existujú stovky, ak nie tisíce, a zmena práv na jeden priečinok „rozbije“ práva ostatným. Efektívna práca v takomto prostredí si vyžaduje určitú dohodu alebo štandard, ktorý by popisoval, ako takéto problémy riešiť. V tomto článku sa budeme zaoberať len jednou z možností takéhoto štandardu.

Rozsah

Štandard pre správu prístupových práv k podnikovým súborovým informačným zdrojom (ďalej len Štandard) upravuje procesy poskytovania prístupu k súborovým informačným zdrojom umiestneným na počítačoch s operačnými systémami rodiny Microsoft Windows. Norma sa vzťahuje na prípady, keď sa NTFS používa ako súborový systém a ako sieťový protokol na zdieľanie súborov SMB / CIFS.

Pojmy a definície

Informačný zdroj- pomenovaná množina údajov, na ktoré sa aplikujú metódy a prostriedky na zaistenie informačnej bezpečnosti (napríklad kontrola prístupu).
Zdroj informácií o súbore- súbor súborov a priečinkov uložených v adresári súborového systému (nazývaný koreňový adresár zdroja informácií o súboroch), ku ktorému je obmedzený prístup.
Zdroj informácií o zloženom súbore Je zdroj informácií o súboroch obsahujúci jeden alebo viacero vnorených zdrojov informácií o súboroch, ktoré sa líšia od tohto zdroja v prístupových právach.
Zdroj informácií o súbore v prílohe Je informačným zdrojom súboru zahrnutým v zloženom informačnom zdroji.
Vstupný bod k zdroju informácií o súbore- adresár systému súborov, do ktorého je poskytovaný sieťový prístup (zdieľaný priečinok) a ktorý sa používa na poskytovanie prístupu k zdroju informácií o súboroch. Tento adresár sa zvyčajne zhoduje s koreňovým adresárom zdroja informácií o súboroch, ale môže byť vyšší.
Stredný katalóg- adresár systému súborov umiestnený na ceste od vstupného bodu k zdroju informácií o súboroch do koreňového adresára zdroja informácií o súboroch. Ak je vstupným bodom zdroja informácií o súbore adresár nadradený koreňovému adresáru zdroja informácií o súbore, bude to tiež prechodný adresár.
Používateľská prístupová skupina- lokálna alebo doménová bezpečnostná skupina obsahujúca v konečnom dôsledku používateľské účty vybavené jednou z možností prístupu k zdroju informácií o súboroch.

Základné princípy

1. Prístup je obmedzený iba na úrovni adresára. Prístup k jednotlivým súborom nie je obmedzený.
2. Prístupové práva sa prideľujú na základe bezpečnostných skupín. Prístupové práva nie sú pridelené jednotlivým užívateľským účtom.
3. Explicitne odmietnuté povolenia sa neuplatňujú.
4. Diferenciácia prístupových práv sa vykonáva iba na úrovni súborového systému. Na úrovni sieťových protokolov SMB / CIFS nie sú práva ohraničené (skupina „Všetci“ - „Čítať / zapisovať“ / Všetci - Zmeniť privilégiá).
5. Pri konfigurácii sieťového prístupu k zdroju informácií o súboroch je v nastaveniach SMB / CIFS nastavená možnosť „Enumerácia na základe prístupu“.
6. Vytváranie informačných zdrojov súborov na používateľských pracovných staniciach je neprijateľné.
7. Neodporúča sa umiestňovať zdroje informácií o súboroch na systémové oddiely serverov.
8. Neodporúča sa vytvárať viaceré vstupné body do zdroja informácií o súboroch.
9. Ak je to možné, mali by ste sa vyhýbať vytváraniu vnorených informačných zdrojov súborov av prípadoch, keď názvy súborov alebo adresárov obsahujú dôverné informácie, je to úplne neprijateľné.

Model kontroly prístupu

Používateľský prístup k zdroju informácií o súboroch je zabezpečený tak, že sa im poskytne jedna z možností oprávnenia:

• Prístup len na čítanie ( R ead O len)“.
• Prístup k "Čítať a zapisovať ( R ead & W obrad)“.

V prevažnom množstve úloh riadenia prístupu budú takéto možnosti prístupových oprávnení postačovať, ale v prípade potreby je možné vytvoriť nové možnosti oprávnení, napríklad „Čítanie a zápis bez odstránenia“. Na implementáciu nových právomocí bude potrebné objasniť bod B.3 tabuľky 1, inak zostane aplikácia štandardu nezmenená.

Pravidlá pre pomenovanie skupín používateľov

Názvy skupín prístupu používateľov sú vytvorené podľa šablóny:

FILE-Názov zdroja informácií o súbore - skratka autority

Názov zdroja informácií o súbore
sa musí zhodovať s názvom UNC zdroja alebo pozostávať z názvu servera a lokálnej cesty (ak nie je poskytnutý sieťový prístup k zdroju). V prípade potreby sú v tomto poli povolené skratky. Znaky "\\" sú vynechané a "\" a ":" sú nahradené "-".

Skratky autority:

• RO – pre možnosť prístupu „Iba na čítanie“.
• RW – pre možnosť prístupu „Čítanie a zápis“.

Príklad 1
Názov prístupovej skupiny pre používateľov, ktorí majú oprávnenia len na čítanie pre zdieľanie súborov UNC s názvom \\ FILESRV \ Report bude:
FILE-FILESRV-Report-RO

Príklad 2
Názov prístupovej skupiny pre používateľov s povoleniami „Čítanie a zápis“ pre zdroj informácií o súboroch umiestnený na serveri TERMSRV pod cestou D: \ UsersData bude:
FILE-TERMSRV-D-UsersData-RW

Šablóna prístupu k adresáru zdroja informácií o súbore

stôl 1- Šablóna pre prístupové práva NTFS pre koreňový adresár zdroja informácií o súboroch.

Predmety	práva	Režim dedenia
zdravotne postihnutých
A) Povinné práva
Špeciálny účet: "SYSTÉM"	Úplný prístup
"správcovia"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
B.1) „Iba na čítanie ( R ead O len)"
Používateľská prístupová skupina: "FILE-Resource Name-RO"	Základné práva: a) čítanie a vykonávanie (čítanie a vykonávanie); b) zoznam obsahu priečinka; c) čítanie (čítanie);	Pre tento priečinok, podpriečinky a súbory
B.2) Právomoci „Čítať a písať ( R ead & W obrad)"
Používateľská prístupová skupina: "FILE-Resource Name-RW"	Základné práva: a) zmeniť (upraviť); b) čítanie a vykonávanie (čítanie a vykonávanie); c) vypísať obsah priečinka; d) čítanie (čítanie); e) písať (písať);	Pre tento priečinok, podpriečinky a súbory
B.3) Iné právomoci, ak existujú
Používateľská prístupová skupina: "FILE-názov zdroja-skratka autority"	Podľa poverení	Pre tento priečinok, podpriečinky a súbory

Tabuľka 2- Šablóna pre prístupové práva NTFS pre prechodné adresáre zdroja informácií o súboroch.

Predmety	práva	Režim dedenia
Dedenie prístupových práv z nadradených adresárov zahrnuté, ale ak je daný adresár nadradený informačným zdrojom súborov a nie je zahrnutý v žiadnom inom informačnom zdroji súborov, potom dedičnosť zdravotne postihnutých
A) Povinné práva
Špeciálny účet: "SYSTÉM"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
Miestna bezpečnostná skupina: "správcovia"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
B.1) Oprávnenie „Prejsť cez adresár (TRAVERZOVAŤ)»
Prístup k skupinám používateľov informačných zdrojov, pre ktoré je tento adresár sprostredkovateľom	Ďalšie možnosti zabezpečenia: a) prechádza priečinok / spúšťa súbory; b) obsah priečinka / načítané údaje (zoznam priečinka / načítané údaje); c) atribúty čítania (atribúty čítania); c) čítanie dodatočných atribútov (čítanie rozšírených atribútov); d) povolenia na čítanie (oprávnenia na čítanie);	Iba tento priečinok

Obchodné procesy na riadenie prístupu k informačným zdrojom súborov

A. Vytvorenie zdroja informácií o súboroch
Pri vytváraní zdroja informácií o súboroch sa vykonajú tieto akcie:

1. Vytvoria sa skupiny prístupu používateľov. Ak je server, ktorý je hostiteľom zdroja informácií o súboroch, členom domény, vytvoria sa skupiny domén. Ak nie, skupiny sa vytvoria lokálne na serveri.
2. Prístupové práva sú priradené ku koreňovému adresáru a prechodným adresárom zdroja informácií o súboroch podľa šablón prístupových práv.
3. Používateľské účty sa pridávajú do skupín prístupu používateľov podľa ich oprávnenia.
4. V prípade potreby sa pre zdroj informácií o súbore vytvorí zdieľaný priečinok.

B. Poskytnutie prístupu používateľovi k zdroju informácií o súboroch
Používateľské konto sa umiestni do príslušnej prístupovej skupiny používateľa v závislosti od jeho oprávnenia.

C. Zmena používateľského prístupu k zdroju informácií o súboroch
Používateľské konto sa presunie do inej prístupovej skupiny používateľov na základe zadaných povolení.

D. Blokovanie prístupu používateľov k zdroju informácií o súboroch
Používateľské konto sa odstráni zo skupín prístupu používateľov zdieľania súborov. Ak zamestnanec odíde, členstvo v skupine sa nemení, ale je zablokovaný celý účet.

D1. Vytvorenie zdroja informácií o vnorených súboroch. Rozšírenie prístupu
Táto úloha vzniká, keď je potrebné poskytnúť prístup ďalšej skupine osôb k určitému adresáru informačného zdroja súboru (na rozšírenie prístupu). V tomto prípade sa vykonávajú tieto činnosti:

1. Prístupové skupiny užívateľov nadradeného zdroja informácií o zloženom súbore sa pridajú do prístupových skupín užívateľov zdroja informácií o vnorených súboroch.

D 2. Vytvorenie zdroja informácií o vnorených súboroch. Zúženie prístupu
Táto úloha vzniká vtedy, keď je potrebné obmedziť prístup k určitému adresáru informačného zdroja súboru a poskytnúť ho len obmedzenému okruhu osôb:

1. Priložený informačný zdroj súboru je zaregistrovaný (podľa procesu A)
2. Používateľské účty vytvoreného informačného zdroja sú umiestnené v skupinách používateľských prístupov tých používateľských účtov, ktorým je potrebné udeliť prístup.

E. Zmena modelu poskytovania prístupu k informačnému zdroju súboru
V prípadoch, keď je potrebné k štandardným povoleniam „Iba na čítanie“ alebo „Čítanie a zápis“ pridať nové typy povolení, napríklad „Čítanie a zápis bez odstránenia“, postupujte takto:

1. Organizačné (alebo technické, ale nesúvisiace so zmenou prístupových práv k adresárom súborového systému) blokujú prístup používateľov k tomuto a všetkým pripojeným informačným zdrojom súborov.
2. Nové prístupové práva sú priradené ku koreňovému adresáru zdroja informácií o súboroch a prístupové práva pre všetky podriadené objekty sú nahradené (aktivuje sa staršie).
3. Prístupové práva sú prekonfigurované pre všetky vložené informačné zdroje.
4. Pre toto sú nakonfigurované prechodné adresáre a vložené informačné zdroje.

Príklady

Uvažujme o aplikácii tohto štandardu na príklade hypotetickej organizácie LLC "InfoCryptoService", kde je server s názvom "FILESRV" pridelený na centralizované ukladanie informačných zdrojov súborov. Server beží na systéme Microsoft Windows Server 2008 R2 a je členom domény Active Directory s FQDN s názvom „domain.ics“ a NetBIOS s názvom „ICS“.

Príprava súborového servera
Na jednotke "D:" servera "FILESRV" vytvorte adresár "D: \ SHARE \". Tento adresár bude jediným vstupným bodom do všetkých informačných zdrojov súborov umiestnených na tomto serveri. Sieťový prístup k tomuto priečinku organizujeme (používame aplet „Správa zdieľania a úložiska“):

Vytvorenie zdroja informácií o súboroch
Formulácia problému.
Nech organizácia InfoCryptoService LLC zahŕňa oddelenie vývoja informačných systémov v zložení: vedúci oddelenia Sergej Leonidovič Ivanov ( [e-mail chránený]), špecialista Markin Lev Borisovič ( [e-mail chránený]) a pre nich musíte zorganizovať zdroj informácií o súboroch na ukladanie údajov oddelenia. Obaja pracovníci vyžadujú prístup k tomuto zdroju na čítanie a zápis.

Riešenie.
V adresári "D: \ SHARE \" servera "FILESRV" vytvorte priečinok "D: \ SHARE \ Oddelenie rozvoja informačných systémov \", ktorý bude koreňovým adresárom zdroja informácií o súboroch. Pre tento zdroj vytvoríme aj skupiny prístupu používateľov (globálne bezpečnostné skupiny domény „ICS“):

• "FILE-FILESRV-SHARE-Dept. res. IS-RO"
• "FILE-FILESRV-SHARE-Dept. res. IS-RW"

Nakonfigurujme prístupové práva pre adresár "D: \ SHARE \ Oddelenie vývoja informačných systémov \":



ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R

Adresár D: \ SHARE \ je vstupným bodom a pracovným adresárom pre tento prostriedok. Pridajme k tomu Traverse pre skupiny: „FILE-FILESRV-SHARE-Dept. res. IS-RO "a" FILE-FILESRV-SHARE-Dept. res. IS-RW"


Vypíšte povolenia NTFS získané príkazom cacls:


ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Keďže používatelia vyžadujú prístup na čítanie/zápis, pridajte ich účty do sekcie FILE-FILESRV-SHARE-Dept. res. IS-RW"

Udelenie prístupu používateľovi k zdroju informácií o súbore
Formulácia problému.
Predpokladajme, že do vývojového oddelenia bol prijatý ďalší zamestnanec - špecialista Egorov Michail Vladimirovič ( [e-mail chránený]), a rovnako ako ostatní zamestnanci oddelenia potrebuje prístup na čítanie a zápis do informačného zdroja súborov oddelenia.

Riešenie.
Zamestnanecký účet je potrebné pridať do skupiny „SÚBOR-SÚBOR-ZDIEĽANIE-Odd. res. IS-RW"

Vytvorenie vnoreného informačného zdroja. Rozšírenie prístupu
Formulácia problému.
Predpokladajme, že oddelenie rozvoja informačných systémov sa rozhodlo zlepšiť kvalitu interakcie s marketingovým oddelením a poskytnúť vedúcemu marketingového oddelenia Natalyu Evgenievnu Kruglikovú ( [e-mail chránený]) - prístup na čítanie k aktuálnej produktovej dokumentácii uloženej v priečinku Dokumentácia súborového informačného zdroja Útvaru rozvoja informačných systémov.

Riešenie.
Na vyriešenie tohto problému je potrebné vytvoriť podzdroj "\\ FILESRV \ share \ Oddelenie vývoja informačných systémov \ Dokumentácia", ku ktorému by mali mať (zostať) prístup všetci používatelia, ktorí mali prístup k "\\ FILESRV". \ zdieľať \ Oddelenie rozvoja informačných systémov \ a pridať prístup na čítanie pre používateľa Kruglikova Natalya Evgenievna ( [e-mail chránený])

V adresári "D: \ SHARE \ Oddelenie vývoja informačných systémov \" vytvorte priečinok "D: \ SHARE \ Oddelenie vývoja informačných systémov \ Dokumentácia", ktorý bude koreňovým adresárom nového zdroja. Vytvoríme tiež dve prístupové skupiny používateľov:

• "FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO "
• "FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW "

Nakonfigurujme prístupové práva k priečinku „D: \ SHARE \ Oddelenie vývoja informačných systémov \ Dokumentácia“ nasledovne:


Vypíšte povolenia NTFS získané príkazom cacls:

BUILTIN \ Správcovia: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. Dokumentácia IS-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. Dokumentácia IS-RW: (OI) (CI) C

Keďže všetci používatelia, ktorí majú prístup k "\\ FILESRV \ zdieľanie \ Oddelenie vývoja informačných systémov \" potrebujú podobný prístup k \\ FILESRV \ share \ Oddelenie vývoja informačných systémov \ Dokumentácia, pridajte skupinu "FILE-FILESRV-SHARE-Dept.. . res. IS-RO "v" FILE-FILESRV-SHARE-Odd. res. IS-Dokumentácia-RO "a" FILE-FILESRV-SHARE-Odd. res. IS-RW "v" FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW „resp. Pridajte účet Natalya Evgenievna Kruglikova ( [e-mail chránený]) do skupiny „SÚBOR-SÚBORY-ZDIEĽANIE-Odd. res. IS-Dokumentácia-RW "

Teraz, ak Kruglikova Natalya Evgenievna ( [e-mail chránený]) bude odkazovať na odkaz "\\ FILESRV \ zdieľanie \ Oddelenie vývoja informačných systémov \ Dokumentácia", potom sa bude môcť dostať do priečinka záujmu, ale nie vždy je vhodné použiť úplnú cestu, preto nakonfigurujeme prechod do tohto balíka zo vstupného bodu "\\ FILESRV \ share \ "(" D: \ SHARE \ "). Ak to chcete urobiť, nastavte prístupové práva k prechodným adresárom "D: \ SHARE \" a "D: \ SHARE \ oddelenie rozvoja informačných systémov \".

Nakonfigurujme "D: \ SHARE \":


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R


ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

A "D: \ SHARE \ Oddelenie rozvoja informačných systémov":


Vypíšte povolenia NTFS získané príkazom cacls:

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Vytvorenie vnoreného informačného zdroja. Zúženie prístupu
Formulácia problému
S cieľom zorganizovať zálohu vývoja oddelenia rozvoja informačných systémov vedúci oddelenia Ivanov Sergej Leonidovič ( [e-mail chránený]), v rámci spisového informačného zdroja katedry bol potrebný sieťový priečinok „Archív“, do ktorého by mal prístup iba on.

Riešenie.
Ak chcete vyriešiť tento problém v informačnom zdroji súboru oddelenia, musíte vytvoriť vnorený zdroj „Archív“ („\\ FILESRV \ zdieľanie \ Oddelenie rozvoja informačných systémov \ Archív“), ku ktorému by mal mať prístup iba vedúci oddelenia.

V adresári "D: \ SHARE \ Oddelenie rozvoja informačných systémov \" vytvorte priečinok "D: \ SHARE \ Oddelenie vývoja informačných systémov \ Archív", ktorý bude koreňovým adresárom nového zdroja. Vytvoríme tiež dve prístupové skupiny používateľov:

• "FILE-FILESRV-SHARE-Dept. res. IS-Archive-RO "
• "FILE-FILESRV-SHARE-Dept. res. IS-Archive-RW "

Nakonfigurujme prístupové práva k adresárom "D: \ SHARE \ Oddelenie rozvoja informačných systémov \ Archív":


Vypíšte povolenia NTFS získané príkazom cacls:
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RW: (OI) (CI) C

"D: \ SHARE \ Oddelenie rozvoja informačných systémov"


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R


ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

A "D: \ ZDIEĽAŤ \":


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RW: R
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Účet používateľa Ivanov Sergey Leonidovič ( [e-mail chránený]) pridať do FILE-FILESRV-Odd. krát.IS-Archív-RW.

Metodické pokyny k praktickej hodine č.10

Téma: Diferenciácia prístupových práv v sieti, zdieľaný diskový priestor v lokálnej sieti. Ochrana informácií, antivírusová ochrana.

Počet hodín: 2

Cieľ: naučiť sa rozlišovať prístupové práva v počítačovej sieti a používať antivírusovú ochranu

Zadanie: Oboznámiť sa s teoretickými ustanoveniami k tejto téme, splniť úlohy praktickej hodiny, sformulovať záver.

Správa by mala obsahovať:

1.Názov práce

2. Účel práce

3. Výsledky úlohy 1, 2, 3, 4, 5, 6

4.Záver o práci ( je potrebné uviesť druhy vykonávanej práce, dosiahnuté ciele, aké zručnosti a schopnosti boli získané pri jej vykonávaní)

Metodický návod na realizáciu:

Teoretické informácie 1.

1. Diferenciácia prístupových práv v sieti

Globálna sieť- ide o združenia počítačov umiestnených na diaľku pre bežné využitie svetových informačných zdrojov. Dnes ich je na svete viac ako 200. Najznámejší a najobľúbenejší z nich je internet.

Na rozdiel od lokálnych sietí nemajú rozsiahle siete žiadne samostatné riadiace centrum. Sieť je založená na desiatkach a stovkách tisíc počítačov prepojených rôznymi komunikačnými kanálmi. Každý počítač má jedinečný identifikátor, ktorý vám umožňuje „nasmerovať sa k nemu“ na doručenie informácií. Globálna sieť zvyčajne kombinuje počítače, ktoré pracujú podľa rôznych pravidiel (majú rôzne architektúry, systémový softvér atď.). Preto sa brány používajú na prenos informácií z jedného typu siete do druhého.

Brány(brána) sú zariadenia (počítače), ktoré slúžia na spojenie sietí s úplne odlišnými výmennými protokolmi.

Výmenný protokol Je súbor pravidiel (dohoda, štandard), ktorý definuje princípy výmeny dát medzi rôznymi počítačmi v sieti.

Protokoly sa konvenčne delia na základné (nižšia úroveň), ktoré sú zodpovedné za prenos informácií akéhokoľvek typu, a aplikačné (vyššia úroveň), ktoré sú zodpovedné za fungovanie špecializovaných služieb.

Hostiteľský počítač v sieti, ktorý poskytuje prístup k spoločnej databáze, poskytuje zdieľanie vstupných/výstupných zariadení a interakciu používateľa, sa nazýva server.

Počítač v sieti, ktorý využíva iba sieťové zdroje, ale neposkytuje svoje zdroje samotnej sieti, sa nazýva klient (často nazývaný aj pracovná stanica).

Na prácu v globálnej sieti musí mať používateľ príslušný hardvér a softvér.

Softvér možno rozdeliť do dvoch tried:

serverové programy, ktoré sú umiestnené na sieťovom uzle obsluhujúcom počítač používateľa;

klientske programy umiestnené na počítači používateľa a využívajúce služby servera.

Globálne siete poskytujú používateľom rôzne služby: e-mail, vzdialený prístup k akémukoľvek počítaču v sieti, vyhľadávanie údajov a programov atď.

2. Priradiť:

Úloha číslo 1. Určite zdieľaný prostriedok pre počítač. Pre to:

V operačnom systéme Windows nájdite na pracovnej ploche ikonu Sieť.

Otvorte priečinok, v ktorom budú viditeľné všetky počítače pripojené k rovnakej sieti.

V tomto okne sa zobrazia všetky počítače pripojené k sieti.

Otvorte jeden z nich. Pozrite si zdroje počítača, ktoré môžete použiť. Tieto zdroje sa nazývajú zdieľané zdroje.

Číslo úlohy 2. Poskytnite používateľom lokálnej siete prístup k priečinku na vašom počítači pripojenom k ​​lokálnej sieti. Pre to:

V operačnom systéme Windows otvorte okno priečinok Počítač a vytvorte si vlastný priečinok na jednotke D:. Zavolajte jej číslo svojej skupiny.

Kliknite pravým tlačidlom myši na ikonu priečinka a v kontextovej ponuke priečinka vyberte položku Zdieľať.

Vyberte požadovanú podponuku: Konkrétni používatelia

V zozname sietí nižšie sa zobrazí nový priečinok: cesta 27.07.2016

Ak je všetko vykonané správne, na disku (v blízkosti vášho priečinka) sa zobrazí ikona, ktorá označuje, že priečinok je zdieľaný.

Úloha číslo 3. Maximálna rýchlosť prenosu dát v lokálnej sieti je 100 Mbps. Koľko strán textu možno preniesť za 1 sekundu, ak 1 strana textu obsahuje 50 riadkov a každý riadok obsahuje 70 znakov?

Riešenie:

50 * 70 = 3 500 znakov na stranu.

Keďže nie je špecifikované, koľko znakov je v abecede, zoberme si 1 bajt na znak. Celkovo 3500 bajtov alebo (vynásobte 8) 28000 bitov.

Teraz vydeľte 100 000 000 28 000. Získame 3571,43 strán.

Rozhodnite sa sami pomocou nasledujúcich údajov:

1 strana textu obsahuje 70 riadkov a každý riadok obsahuje 50 znakov?

Úloha číslo 4. Odpovedz na otázku:

Teoretické informácie 2

1. Ochrana informácií, antivírusová ochrana.

Počítačový vírus- program schopný spontánne sa začleniť a vložiť svoje kópie do iných programov, súborov, oblastí počítačového systému a počítačových sietí za účelom vytvárania všetkých druhov zásahov do práce na počítači.

Príznaky infekcie:

ukončenie práce alebo nesprávne fungovanie predtým fungujúcich programov

pomalý počítač

nemožnosť spustenia OS

zmiznutie súborov a adresárov alebo skreslenie ich obsahu

zmena veľkosti súborov a časy ich úpravy

zmenšenie veľkosti pamäte RAM

neúmyselné správy, obrázky a zvuky

časté pády a zamrznutia počítača atď.

Klasifikácia počítačových vírusov:

podľa biotopu;

metódou infekcie;

nárazom;

podľa vlastností algoritmu.

Podľa biotopu

Sieťové – rozmiestnené v rôznych počítačových sieťach.

Súbor - vložený do spustiteľných modulov (COM, EXE).

Boot - vložené do zavádzacích sektorov disku alebo sektorov obsahujúcich spúšťací program disku.

Súbor - boot - sú vložené do zavádzacích sektorov aj spustiteľných modulov.

Cestou infekcie

Rezidentný - pri infekcii zanechá svoju rezidentnú časť v pamäti RAM počítača, ktorá potom. zachytáva volania OS na objekty infekcie.

Nerezidentné – neinfikujú RAM a sú aktívne po obmedzenú dobu.

Podľa dopadu:

Nebezpečné – nezasahujú do chodu počítača, no znižujú množstvo voľnej RAM a pamäte na diskoch.

Nebezpečné - vedú k rôznym poruchám v prevádzke počítača.

Veľmi nebezpečné - môžu viesť k strate programov, údajov, vymazaniu informácií v systémových oblastiach diskov.

Podľa vlastností algoritmu:

Červy – vypočítavajú adresy počítačov v sieti a posielajú na ne svoje kópie.

Stealth - zachyťte prístup OS k postihnutým súborom a sektorom a nahraďte čisté oblasti.

Trójske kone nie sú schopné samošírenia, ale vydávajú sa za užitočné a ničia zavádzací sektor a súborový systém.

Základné opatrenia na ochranu pred vírusmi:

vybavte svoj počítač jedným z moderných antivírusových programov: Doctor Weber, Norton Antivirus, AVP

udržujte svoje antivírusové databázy aktuálne

vytvárať archívne kópie informácií, ktoré sú pre vás cenné (diskety, CD)

Klasifikácia antivírusového softvéru:

Skenery (detektory)

Monitory

audítori

Skener... Princíp činnosti antivírusových skenerov je založený na skenovaní súborov, sektorov a systémovej pamäte a ich vyhľadávaní na známe a nové (pre skener neznáme) vírusy.

Monitory... Ide o celú triedu antivírusov, ktoré sa neustále nachádzajú v pamäti RAM počítača a monitorujú všetky podozrivé akcie vykonávané inými programami. Pomocou monitora môžete zastaviť šírenie vírusu vo veľmi skorom štádiu.

audítori. Audítorské programy si spočiatku zapamätajú v špeciálnych súboroch obrazy hlavného zavádzacieho záznamu, zavádzacie sektory logických diskov, informácie o štruktúre adresárov a niekedy aj množstvo nainštalovanej pamäte RAM.

Na zistenie prítomnosti vírusu v systéme kontrolné programy kontrolujú vytvorené obrázky a porovnávajú ich s aktuálnym stavom.

2. Cvičenie

Úloha číslo 5. Špecifikujte hlavné antivírusové programy a popíšte ich (výhody a nevýhody, hlavné vlastnosti)

Úloha číslo 6. Skontrolujte si PC pomocou antivírusových programov.

3. Kontrolné otázky

1.Čo je globálna sieť?

2. Čo sú brány?

3.Čo je výmenný protokol?

4. Na aké dve triedy možno softvér rozdeliť?

5.Čo je počítačový vírus?

6. Aké sú tri príznaky infekcie PC vírusom?

7.Ako sa klasifikuje antivírusový softvér?

8. Aké sú hlavné opatrenia na ochranu pred vírusmi?

Po vykonaní identifikácie a autentifikácie je potrebné zriadiť oprávnenie (súbor práv) subjektu pre následnú kontrolu oprávneného použitia výpočtových prostriedkov dostupných v AS. Tento proces sa nazýva delimitácia (logické riadenie) prístupu.

Autoritu subjektu zvyčajne predstavuje: zoznam zdrojov dostupných užívateľovi a práva na prístup ku každému zdroju zo zoznamu. Výpočtovými zdrojmi môžu byť programy, informácie, logické zariadenia, veľkosť pamäte, čas procesora, priorita atď.

Zvyčajne sa rozlišujú tieto metódy kontroly prístupu:

diferenciácia prístupu podľa zoznamov;

používanie matice zriadenia mandátu;

kontrola prístupu heslom.

Pri rozlišovaní prístupu podľa zoznamov sa nastavia tieto zhody:

každý používateľ – zoznam zdrojov a prístupových práv k nim, príp

pre každý zdroj - zoznam používateľov a ich prístupových práv k tomuto zdroju.

Zoznamy vám umožňujú nastaviť práva s presnosťou špecifickou pre používateľa. Tu je ľahké pridať práva alebo explicitne zakázať prístup. Zoznamy sa používajú vo väčšine operačných systémov a DBMS.

Použitie matice oprávnení znamená použitie matice prístupu (tabuľky oprávnení). V tejto matici (pozri tabuľku 2.7) sú riadky identifikátormi subjektov, ktoré majú prístup k AS, a stĺpce sú objekty (informačné zdroje) AS. Každý prvok matice môže obsahovať názov a veľkosť poskytovaného zdroja, prístupové právo (čítanie, zápis atď.), odkaz na inú informačnú štruktúru, ktorá špecifikuje prístupové práva, odkaz na program, ktorý spravuje prístupové práva atď.

Tabuľka 2.7

Fragment matice zriadenia mandátu

c - vytvoriť, d - odstrániť, r - prečítať, w - zapísať, e - vykonať.

Táto metóda poskytuje jednotnejší a pohodlnejší prístup, pretože všetky informácie o povoleniach sú uložené v jednej tabuľke a nie vo forme zoznamov rôznych typov. Nevýhodou matice je jej možná ťažkopádnosť a nie celkom optimálne využitie zdrojov (väčšina buniek je prázdna).

Diferenciácia prístupu podľa úrovní utajenia a kategórií spočíva v tom, že zdroje AÚ sú rozdelené podľa úrovní utajenia alebo kategórií.

Pri rozlišovaní podľa stupňa utajenia sa rozlišuje niekoľko úrovní, napr.: všeobecný prístup, dôverný, tajný, prísne tajný. Oprávnenie každého užívateľa je nastavené v súlade s maximálnym stupňom utajenia, ktorý má povolený. Používateľ má prístup ku všetkým údajom s úrovňou zabezpečenia (pečiatkou), ktorá nie je vyššia ako má.

Pri rozlišovaní podľa kategórií sa nastavuje a kontroluje poradie kategórie zodpovedajúcej používateľovi. Podľa toho sú všetky zdroje AS rozložené podľa úrovne dôležitosti a určitej úrovni zodpovedá určitá úroveň personálu (napríklad: manažér, správca, používateľ).

Vymedzenie hesla samozrejme predstavuje použitie metód na prístup k objektom pomocou hesla. V tomto prípade sa používajú všetky metódy ochrany heslom. Je zrejmé, že neustále používanie hesiel spôsobuje používateľom nepríjemnosti a časové oneskorenia. Preto sa tieto metódy používajú vo výnimočných situáciách.

V praxi väčšinou kombinujú rôzne spôsoby kontroly prístupu. Napríklad prvé tri metódy sú vylepšené o ochranu heslom.

Na konci pododdielu poznamenávame, že riadiace dokumenty môžu regulovať dva typy (princípy) kontroly prístupu:

diskrétna kontrola prístupu;

povinná kontrola prístupu.

Diskrétna kontrola prístupu je rozlíšenie prístupu medzi pomenovanými subjektmi a pomenovanými objektmi. Subjekt s určitým prístupovým právom môže toto právo preniesť na akýkoľvek iný subjekt. Tento typ je organizovaný na základe vymedzovacích metód zoznamami alebo pomocou matice.

Povinná kontrola prístupu upravuje diferenciáciu prístupu subjektov k objektom na základe informácií obsiahnutých v objektoch označených štítkom dôvernosti a úradného povolenia (pripustenia) subjektov na prístup k informáciám tohto stupňa utajenia. V opačnom prípade, aby sa implementovala povinná kontrola prístupu, každému subjektu a každému objektu sú priradené klasifikačné štítky, ktoré odrážajú ich miesto v zodpovedajúcej hierarchii. Pomocou týchto označení musia byť subjektom a objektom priradené úrovne klasifikácie, ktoré sú kombináciou hierarchickej úrovne klasifikácie a hierarchických kategórií. Tieto označenia by mali slúžiť ako základ pre povinný princíp kontroly prístupu. Je zrejmé, že metódy rozlíšenia prístupu podľa úrovní utajenia a kategórií sú príkladmi povinnej kontroly prístupu.

Po vykonaní identifikácie a autentifikácie je potrebné zriadiť oprávnenie (súbor práv) subjektu pre následnú kontrolu oprávneného použitia výpočtových prostriedkov dostupných v AS. Tento proces sa nazýva delimitácia (logické riadenie) prístupu.

Autoritu subjektu zvyčajne predstavuje: zoznam zdrojov dostupných užívateľovi a práva na prístup ku každému zdroju zo zoznamu. Výpočtovými zdrojmi môžu byť programy, informácie, logické zariadenia, veľkosť pamäte, čas procesora, priorita atď.

Zvyčajne sa rozlišujú tieto metódy kontroly prístupu:

Kontrola prístupu podľa zoznamov;

Použitie matice zriadenia právomocí;

Kontrola prístupu heslom.

Pri rozlišovaní prístupu podľa zoznamov sa nastavia tieto zhody:

Každý používateľ – zoznam zdrojov a prístupových práv k nim, príp

Každý zdroj predstavuje zoznam používateľov a ich prístupových práv k tomuto zdroju.

Zoznamy vám umožňujú nastaviť práva s presnosťou špecifickou pre používateľa. Tu je ľahké pridať práva alebo explicitne zakázať prístup. Zoznamy sa používajú vo väčšine operačných systémov a DBMS.

Použitie matice oprávnení znamená použitie matice prístupu (tabuľky oprávnení). V tejto matici (pozri tabuľku 2.7) sú riadky identifikátormi subjektov, ktoré majú prístup k AS, a stĺpce sú objekty (informačné zdroje) AS. Každý prvok matice môže obsahovať názov a veľkosť poskytovaného zdroja, prístupové právo (čítanie, zápis atď.), odkaz na inú informačnú štruktúru, ktorá špecifikuje prístupové práva, odkaz na program, ktorý spravuje prístupové práva atď.

Tabuľka 2.7

Fragment matice zriadenia mandátu

		Program
Používateľ 1
Používateľ 2			w od 9:00 do 17:00

c - vytvoriť, d - odstrániť, r - prečítať, w - zapísať, e - vykonať.

Táto metóda poskytuje jednotnejší a pohodlnejší prístup, pretože všetky informácie o povoleniach sú uložené v jednej tabuľke a nie vo forme zoznamov rôznych typov. Nevýhodou matice je jej možná ťažkopádnosť a nie celkom optimálne využitie zdrojov (väčšina buniek je prázdna).

Diferenciácia prístupu podľa úrovní utajenia a kategórií spočíva v tom, že zdroje AÚ sú rozdelené podľa úrovní utajenia alebo kategórií.

Pri rozlišovaní podľa stupňa utajenia sa rozlišuje niekoľko úrovní, napr.: všeobecný prístup, dôverný, tajný, prísne tajný. Oprávnenie každého užívateľa je nastavené v súlade s maximálnym stupňom utajenia, ktorý má povolený. Používateľ má prístup ku všetkým údajom s úrovňou zabezpečenia (pečiatkou), ktorá nie je vyššia ako má.

Pri rozlišovaní podľa kategórií sa nastavuje a kontroluje poradie kategórie zodpovedajúcej používateľovi. Podľa toho sú všetky zdroje AS rozložené podľa úrovne dôležitosti a určitej úrovni zodpovedá určitá úroveň personálu (napríklad: manažér, správca, používateľ).

Vymedzenie hesla samozrejme predstavuje použitie metód na prístup k objektom pomocou hesla. V tomto prípade sa používajú všetky metódy ochrany heslom. Je zrejmé, že neustále používanie hesiel spôsobuje používateľom nepríjemnosti a časové oneskorenia. Preto sa tieto metódy používajú vo výnimočných situáciách.

V praxi väčšinou kombinujú rôzne spôsoby kontroly prístupu. Napríklad prvé tri metódy sú vylepšené o ochranu heslom.

Na konci pododdielu poznamenávame, že riadiace dokumenty môžu regulovať dva typy (princípy) kontroly prístupu:

Diskrétna kontrola prístupu;

Povinná kontrola prístupu.

Diskrétna kontrola prístupu je rozlíšenie prístupu medzi pomenovanými subjektmi a pomenovanými objektmi. Subjekt s určitým prístupovým právom môže toto právo preniesť na akýkoľvek iný subjekt. Tento typ je organizovaný na základe vymedzovacích metód zoznamami alebo pomocou matice.

Povinná kontrola prístupu upravuje diferenciáciu prístupu subjektov k objektom na základe informácií obsiahnutých v objektoch označených štítkom dôvernosti a úradného povolenia (pripustenia) subjektov na prístup k informáciám tohto stupňa utajenia. V opačnom prípade, aby sa implementovala povinná kontrola prístupu, každému subjektu a každému objektu sú priradené klasifikačné štítky, ktoré odrážajú ich miesto v zodpovedajúcej hierarchii. Pomocou týchto označení musia byť subjektom a objektom priradené úrovne klasifikácie, ktoré sú kombináciou hierarchickej úrovne klasifikácie a hierarchických kategórií. Tieto označenia by mali slúžiť ako základ pre povinný princíp kontroly prístupu. Je zrejmé, že metódy rozlíšenia prístupu podľa úrovní utajenia a kategórií sú príkladmi povinnej kontroly prístupu.

Riadenie prístupu.

Automatizovaný systém, v závislosti od jeho zložitosti a vykonávaných úloh, môže byť umiestnený v jednej, dvoch, troch atď. miestnostiach, poschodiach, budovách. Vzhľadom na rozdielnosť funkčných zodpovedností a práce s rôznymi dokumentmi je potrebné zabezpečiť vymedzenie prístupu používateľov k ich pracoviskám, zariadeniam a informáciám. Toto je zabezpečené umiestnením užívateľských pracovísk v samostatných miestnostiach, uzatvorených rôznymi zámkami na vchodových dverách s inštalovanými senzormi bezpečnostnej signalizácie, alebo využitím špeciálneho automatického systému kontroly vstupu do priestorov pomocou žetónov alebo kariet s individuálnym kódom. jeho majiteľa zaznamenané v jeho pamäti.

Diferenciácia prístupu v automatizovanom systéme spočíva v rozdelení informácií, ktoré v ňom kolujú, na časti a organizovaní prístupu k nim pre úradníkov v súlade s ich funkčnými povinnosťami a právomocami. Úlohou takéhoto vymedzenia prístupu k informáciám je pri výkone funkcie znížiť počet úradníkov, ktorí s nimi nesúvisia, t. ochrana informácií pred narušiteľom spomedzi legitímnych používateľov.

Hlavnou úlohou kontroly a diferenciácie prístupu (PCRD) je blokovanie neoprávneného prístupu, kontrola a vymedzenie oprávneného prístupu k informáciám, ktoré majú byť chránené. Zároveň by sa vymedzenie prístupu k informáciám a softvéru na ich spracovanie malo vykonávať v súlade s funkčnými zodpovednosťami a právomocami úradníkov-používateľov, obslužného personálu a vedúcich práce.

Základným princípom konštrukcie PCRD je, že sú povolené a vykonávané iba také odkazy na informácie, ktoré obsahujú zodpovedajúce znaky povolených právomocí. Na tieto účely sa vykonáva identifikácia a autentifikácia používateľov, zariadení a pod., rozdelenie informácií a funkcie ich spracovania v súlade so stanovenými požiadavkami na diferenciáciu prístupu, inštalácia a zadanie používateľských práv.

Rozdelenie informácií a funkcií ich spracovania sa zvyčajne vykonáva z týchto dôvodov:

Podľa stupňa dôležitosti;

Podľa stupňa utajenia;

Funkciami vykonávanými používateľmi, zariadeniami;

Podľa názvu dokumentov;

Podľa typov dokumentov;

Podľa typu údajov;

Podľa názvov zväzkov, súborov, polí, záznamov;

Podľa používateľského mena;

Podľa funkcií spracovania informácií: čítanie, písanie, vykonávanie;

Podľa dennej doby.

Vzhľadom na to, že prístup sa vykonáva z rôznych technických prostriedkov, je možné začať diferenciáciu vymedzením prístupu k technickým prostriedkom ich umiestnením v samostatných miestnostiach. Všetky prípravné funkcie údržby zariadenia, opravy, údržby, reštartu softvéru a iné by mali byť technicky a organizačne oddelené od hlavných úloh systému. Komplex automatizačných nástrojov a organizácia jeho údržby by mala byť postavená takto:

Údržbu IS počas prevádzky by mal vykonávať špeciálny technický personál bez prístupu k informáciám, ktoré sa majú chrániť;

Funkcie informačnej bezpečnosti by mala vykonávať špeciálna jednotka v organizácii, ktorá vlastní IS, počítačovú sieť alebo ACS;

Organizácia prístupu používateľov do pamäte IS by mala poskytovať možnosť vymedziť prístup k informáciám v nej uloženým s dostatočnou mierou podrobnosti a v súlade so stanovenými úrovňami oprávnenia používateľa;

Oddeliť evidenciu a dokumentáciu technologických a prevádzkových informácií.

Ako osobné identifikátory na realizáciu delimitácie je široko využívané používanie hesiel, ktoré sú uložené v pamäti používateľa a IS. Na pomoc používateľovi v systémoch so zvýšenými požiadavkami sa veľké hodnoty kódov hesiel zaznamenávajú na špeciálne médiá - elektronické kľúče, tokeny, čipové karty atď.

Zásadnú možnosť diferenciácie podľa zadaných parametrov by mal poskytnúť projekt IS. A konkrétne vymedzenie v prevádzke IS stanovuje spotrebiteľ a do systému ho vkladá jeho útvar zodpovedný za bezpečnosť informácií.

Na tieto účely sa pri navrhovaní výpočtových zariadení pre budovanie IS vykonávajú:

Vývoj operačného systému so schopnosťou implementovať diferenciáciu prístupu k informáciám uloženým v pamäti počítača, PC, servera;

Izolácia prístupových oblastí;

Rozdelenie databázy do skupín;

Postupy ovládania pre uvedené funkcie.

Vývoj a implementácia funkčných úloh pre delimitáciu a kontrolu prístupu k zariadeniam a informáciám v rámci tohto IS a ACS (siete) ako celku;

Vývoj hardvéru na identifikáciu a autentifikáciu používateľov;

Vývoj softvérových nástrojov na kontrolu a riadenie kontroly prístupu;

Vypracovanie samostatnej prevádzkovej dokumentácie pre prostriedky identifikácie, autentifikácie, delimitácie a kontroly prístupu.

Výber špecifických znakov kontroly prístupu a ich kombinácií sa vykonáva v súlade s referenčnými podmienkami pri navrhovaní softvéru pre automatizovaný systém.

Informácie, ktoré sa majú chrániť, musia byť umiestnené v neprekrývajúcich sa pamäťových oblastiach. V ktorejkoľvek z týchto oblastí je uložený súbor informačných objektov, z ktorých každý podlieha ochrane. Ochrana sa v tomto prípade redukuje na skutočnosť, že prístup k informačnému objektu sa vykonáva cez jediný strážený vchod. Funkcia „ochrana“ zahŕňa identifikáciu používateľa menom (alebo podmieneným číslom) a kódom prezentovaného hesla. V prípade kladného výsledku kontroly je možné ho pripustiť k informáciám v súlade s jemu zverenými právomocami. Tieto postupy sa vykonávajú pri každej žiadosti používateľa: žiadosť, vydanie príkazov atď. Aby sa heslo nezadávalo zakaždým, je vhodné si predložené heslo uložiť na špeciálne fyzické médium (kľúč, karta), ktoré musí používateľ pred vstupom do počítačového systému vložiť do špeciálneho slotu AWS. Navyše po vybratí média s heslom zo slotu je vstup do systému okamžite zablokovaný.

Ak požiadavky na ochranu informácií pre konkrétny systém umožňujú použitie manuálneho nastavenia hesla, je potrebné sa uistiť, že predložené heslo je v pamäti tohto AWP pri opakovaných volaniach v procese práce s informáciami. . Ukladanie v centrálnom počítači je povolené len vtedy, ak je prepojené s podmieneným číslom daného AWP, t.j. všetky nasledujúce hovory v centrálnom počítači musia byť prijaté na spracovanie len s podmieneným číslom AWP, z ktorého bol predložený uložený kód hesla. Na konci práce, aby sa vylúčila možnosť neoprávneného prístupu neoprávnených používateľov, je potrebné zadať príslušný príkaz z AWS, podľa ktorého sa predtým prezentované a uložené heslo vymaže. Na AWS používateľa by sa mala zobraziť správa o vymazaní. Pre kontrolu poslednej operácie je vhodné zopakovať jedno z predchádzajúcich volaní bez hesla a presvedčiť sa o tom negatívnou reakciou výpočtového systému.