imbasoft 21 Nisan 2016 00:04

Kurumsal dosya bilgi kaynaklarına erişim haklarını yönetmek için standart

• Bilgi Güvenliği

NTFS'de bir klasörün haklarını ayırt etmekten daha kolay ne olabilir? Ancak bu basit görev, yüzlerce, hatta binlerce klasör olduğunda gerçek bir kabusa dönüşebilir ve bir klasörün haklarını değiştirmek, diğerlerinin haklarını "kırar". Böyle bir ortamda etkili bir şekilde çalışmak, bu tür sorunların nasıl çözüleceğini açıklayan belirli bir anlaşma veya standart gerektirir. Bu yazıda, böyle bir standart için seçeneklerden sadece birini ele alacağız.

Kapsam

Kurumsal dosya bilgi kaynaklarına erişim haklarını yönetme standardı (bundan sonra Standart olarak anılacaktır), Microsoft Windows ailesinin işletim sistemlerini çalıştıran bilgisayarlarda bulunan dosya bilgi kaynaklarına erişim sağlama işlemlerini düzenler. Standart, NTFS'nin bir dosya sistemi olarak ve SMB / CIFS dosyalarını paylaşmak için bir ağ protokolü olarak kullanıldığı durumlar için geçerlidir.

Terimler ve tanımlar

bilgi kaynağı- bilgi güvenliğini sağlama yöntemlerinin ve araçlarının uygulandığı adlandırılmış bir veri seti (örneğin, erişim kontrolü).
Dosya bilgi kaynağı- erişimi sınırlandırılmış dosya sistemi dizininde (dosya bilgi kaynağının kök dizini olarak adlandırılır) saklanan bir dizi dosya ve klasör.
Bileşik dosya bilgi kaynağı Erişim hakları açısından bu kaynaktan farklı olan bir veya daha fazla iç içe dosya bilgi kaynağı içeren bir dosya bilgisi kaynağıdır.
Ekli dosya bilgi kaynağı Bileşik bir bilgi kaynağına dahil edilen bir dosya bilgi kaynağıdır.
Dosya bilgi kaynağına giriş noktası- ağ erişiminin sağlandığı (paylaşılan klasör) ve dosya bilgi kaynağına erişim sağlamak için kullanılan dosya sisteminin dizini. Bu dizin genellikle dosya bilgi kaynağının kök dizini ile çakışır, ancak daha yüksek olabilir.
ara katalog- dosya bilgi kaynağının giriş noktasından dosya bilgi kaynağının kök dizinine giden yolda bulunan dosya sistemi dizini. Dosya bilgi kaynağına giriş noktası, dosya bilgi kaynağının kök dizininden daha üstün bir dizinse, o zaman aynı zamanda bir ara dizin olacaktır.
Kullanıcı erişim grubu- dosya bilgi kaynağına erişim seçeneklerinden birine sahip nihai kullanıcı hesaplarını içeren bir yerel veya etki alanı güvenlik grubu.

Temel prensipler

1. Erişim yalnızca dizin düzeyinde kısıtlanır. Tek tek dosyalara erişim kısıtlı değildir.
2. Erişim hakları, güvenlik gruplarına göre atanır. Erişim hakları, bireysel kullanıcı hesaplarına atanmaz.
3. Açıkça reddetme izinleri uygulanmaz.
4. Erişim haklarının farklılaştırılması yalnızca dosya sistemi düzeyinde gerçekleştirilir. SMB / CIFS ağ protokolleri düzeyinde haklar sınırlandırılmaz (“Herkes” grubu - “Okuma / Yazma” / Herkes - Ayrıcalıkları değiştir).
5. Bir dosya bilgi kaynağına ağ erişimini yapılandırırken, SMB / CIFS ayarlarında "Erişim tabanlı numaralandırma" seçeneği ayarlanır.
6. Kullanıcı iş istasyonlarında dosya bilgi kaynaklarının oluşturulması kabul edilemez.
7. Dosya bilgi kaynaklarının sunucuların sistem bölümlerine yerleştirilmesi önerilmez.
8. Dosya bilgileri kaynağına birden çok giriş noktası oluşturmanız önerilmez.
9. Mümkünse, yuvalanmış dosya bilgi kaynaklarının oluşturulmasından kaçınmalısınız ve dosya veya dizin adlarının gizli bilgiler içerdiği durumlarda bu kesinlikle kabul edilemez.

Erişim kontrol modeli

Dosya bilgi kaynağına kullanıcı erişimi, onlara yetki seçeneklerinden biri verilerek sağlanır:

• Salt okunur erişim ( r yemek Ö nly) ".
• "Oku ve Yaz ( r e ve W ayin) ".

Çok sayıda erişim kontrolü görevinde, bu tür erişim izinleri seçenekleri yeterli olacaktır, ancak gerekirse, örneğin "Kaldırmadan Oku ve Yaz" gibi izinler için yeni seçenekler oluşturmak mümkündür. Yeni yetkilerin uygulanması için Tablo 1'deki B.3 maddesinin açıklığa kavuşturulması gerekecektir, aksi takdirde Standardın uygulanması değişmeden kalacaktır.

Kullanıcı erişim grubu adlandırma kuralları

Kullanıcı erişim grubu adları şablona göre oluşturulur:

DOSYA-Dosya bilgi kaynağının adı - yetkinin kısaltması

Dosya bilgileri kaynak adı
kaynağın UNC adıyla eşleşmeli veya sunucu adı ve yerel yoldan oluşmalıdır (kaynağa ağ erişimi sağlanmadıysa). Bu alanda gerekirse kısaltmalara izin verilir. "\\" karakterleri atlanır ve "\" ve ":", "-" ile değiştirilir.

Yetki kısaltmaları:

• RO - "Salt Okunur" erişim seçeneği için
• RW - "Oku ve Yaz" erişim seçeneği için.

örnek 1
\\ FILESRV \ Report adlı UNC dosya paylaşımı için Salt Okunur ayrıcalıklara sahip kullanıcılar için erişim grubu adı şöyle olacaktır:
DOSYA-DOSYALARRV-Rapor-RO

Örnek 2
TERMSRV sunucusunda D: \ UsersData yolu altında bulunan dosya bilgi kaynağı için "Okuma ve Yazma" izinlerine sahip kullanıcılar için erişim grubunun adı şöyle olacaktır:
DOSYA-TERMSRV-D-UsersData-RW

Dosya bilgileri kaynak dizini erişim şablonu

tablo 1- Dosya bilgisi kaynağının kök dizini için NTFS erişim hakları şablonu.

konular	Haklar	kalıtım modu
engelli
A) Zorunlu haklar
Özel hesap: "SİSTEM"	Tam erişim
"Yöneticiler"	Tam erişim	Bu klasör, alt klasörler ve dosyalar için
B.1) "Salt Okunur ( r yemek Ö nly)"
Kullanıcı erişim grubu: "DOSYA-Kaynak Adı-RO"	Temel haklar: a) okuma ve yürütme (okuma ve yürütme); b) klasör içeriğini listeleyin; c) okuma (okuma);	Bu klasör, alt klasörler ve dosyalar için
B.2) "Oku ve yaz ( r e ve W ayin)"
Kullanıcı erişim grubu: "DOSYA-Kaynak Adı-RW"	Temel haklar: a) değiştir (değiştir); b) okuma ve yürütme (okuma ve yürütme); c) klasör içeriğini listelemek; d) okuma (okuma); e) yaz (yaz);	Bu klasör, alt klasörler ve dosyalar için
B.3) Varsa diğer yetkiler
Kullanıcı erişim grubu: "DOSYA-Kaynak Adı-Yetki Kısaltması"	Kimlik bilgilerine göre	Bu klasör, alt klasörler ve dosyalar için

Tablo 2- Bir dosya bilgi kaynağının ara dizinleri için NTFS erişim hakları şablonu.

konular	Haklar	kalıtım modu
Üst dizinlerden erişim haklarını devralma dahil, ancak verilen dizin dosya bilgi kaynaklarından üstünse ve başka herhangi bir dosya bilgi kaynağına dahil edilmemişse, devralma engelli
A) Zorunlu haklar
Özel hesap: "SİSTEM"	Tam erişim	Bu klasör, alt klasörler ve dosyalar için
Yerel güvenlik grubu: "Yöneticiler"	Tam erişim	Bu klasör, alt klasörler ve dosyalar için
B.1) Yetki “Dizin içinden geç (ÇAPRAZ)»
Bu dizinin ara olduğu bilgi kaynaklarının kullanıcı gruplarına erişim	Ek güvenlik seçenekleri: a) klasörü dolaşır / dosyaları yürütür; b) klasörün içeriği / veri okuma (liste klasörü / veri okuma); c) niteliklerin okunması (niteliklerin okunması); c) ek niteliklerin okunması (genişletilmiş niteliklerin okunması); d) okuma izinleri (okuma izinleri);	Yalnızca bu klasör

Dosya bilgi kaynaklarına erişimi yönetmek için iş süreçleri

A. Bir dosya bilgi kaynağı oluşturma
Bir dosya bilgisi kaynağı oluştururken aşağıdaki eylemler gerçekleştirilir:

1. Kullanıcı erişim grupları oluşturulur. Dosya bilgi kaynağını barındıran sunucu bir etki alanının üyesiyse, etki alanı grupları oluşturulur. Değilse, gruplar sunucuda yerel olarak oluşturulur.
2. Erişim hakları, erişim hakları şablonlarına göre dosya bilgi kaynağının kök dizinine ve ara dizinlerine atanır.
3. Kullanıcı hesapları yetkilerine göre kullanıcı erişim gruplarına eklenir.
4. Gerekirse, dosya bilgi kaynağı için bir paylaşılan klasör oluşturulur.

B. Kullanıcıya dosya bilgileri kaynağına erişim izni verme
Kullanıcı hesabı, yetkisine bağlı olarak uygun kullanıcı erişim grubuna yerleştirilir.

C. Bir dosya bilgi kaynağına kullanıcı erişimini değiştirme
Kullanıcı hesabı, belirtilen izinlere göre farklı bir kullanıcı erişim grubuna taşınır.

D. Dosya bilgi kaynağına kullanıcı erişimini engelleme
Kullanıcı hesabı, dosya paylaşımının kullanıcı erişim gruplarından kaldırılır. Bir çalışan ayrılırsa grup üyeliği değişmez, ancak hesabın tamamı bloke edilir.

D1. Yuvalanmış bir dosya bilgi kaynağının oluşturulması. Genişleyen erişim
Bu görev, ek bir grup kişiye bir dosya bilgi kaynağının belirli bir dizinine erişim sağlamak (erişimi genişletmek için) gerektiğinde ortaya çıkar. Bu durumda, aşağıdaki faaliyetler gerçekleştirilir:

1. Üst bileşik dosya bilgi kaynağının kullanıcılarının erişim grupları, iç içe dosya bilgi kaynağının kullanıcılarının erişim gruplarına eklenir.

D2. Yuvalanmış bir dosya bilgi kaynağının oluşturulması. Erişimi daraltma
Bu görev, dosya bilgi kaynağının belirli bir dizinine erişimi kısıtlamak ve bunu yalnızca sınırlı bir grup kişiye sağlamak gerektiğinde ortaya çıkar:

1. Ekli dosya bilgi kaynağı kaydedilir (A işlemine göre)
2. Oluşturulan bilgi kaynağının kullanıcı hesapları, erişim verilmesi gereken kullanıcı hesaplarının kullanıcı erişim gruplarına yerleştirilir.

E. Dosya bilgi kaynağına erişim sağlama modelini değiştirme
Standart "Salt okunur" veya "Oku ve Yaz" izinlerine yeni izin türleri eklemek gerektiğinde, örneğin "Kaldırmadan Oku ve Yaz" aşağıdakileri yapın:

1. Kurumsal (veya teknik, ancak dosya sisteminin dizinlerine erişim haklarının değiştirilmesiyle ilgili olmayan) önlemler, kullanıcıların buna ve tüm ekli dosya bilgi kaynaklarına erişimini engeller.
2. Dosya bilgisi kaynağının kök dizinine yeni erişim hakları atanır ve tüm alt nesnelerin erişim hakları değiştirilir (eski etkinleştirilir).
3. Tüm yerleşik bilgi kaynakları için erişim hakları yeniden yapılandırılır.
4. Bunun için ara dizinler ve gömülü bilgi kaynakları yapılandırılır.

Örnekleri

Bu standardın uygulamasını, dosya bilgi kaynaklarının merkezi olarak depolanması için "FILESRV" adlı bir sunucunun tahsis edildiği varsayımsal bir kuruluş LLC "InfoCryptoService" örneğinde ele alalım. Sunucu, Microsoft Windows Server 2008 R2 üzerinde çalışır ve “domain.ics” adlı bir FQDN ve “ICS” adlı bir NetBIOS'a sahip bir Active Directory etki alanının üyesidir.

Dosya sunucusunun hazırlanması
"FILESRV" sunucusunun "D:" sürücüsünde "D:\SHARE\" dizinini oluşturun. Bu dizin, bu sunucuda bulunan tüm dosya bilgi kaynaklarına tek bir giriş noktası olacaktır. Bu klasöre ağ erişimini düzenliyoruz ("Paylaşım ve Depolama Yönetimi" uygulamasını kullanıyoruz):

Dosya bilgi kaynağı oluşturma
Sorunun formülasyonu.
InfoCryptoService LLC kuruluşunun aşağıdakilerden oluşan bir Bilgi Sistemleri Geliştirme Departmanı içermesine izin verin: Departman Başkanı Sergey Leonidovich Ivanov ( [e-posta korumalı]), uzman Markin Lev Borisovich ( [e-posta korumalı]) ve onlar için departman verilerini depolamak için bir dosya bilgi kaynağı düzenlemeniz gerekir. Her iki çalışanın da bu kaynağa okuma ve yazma erişimi olması gerekir.

Çözüm.
"FILESRV" sunucusunun "D: \ SHARE \" dizininde, dosya bilgi kaynağının kök dizini olacak "D: \ SHARE \ Information Systems Development Department \" klasörünü oluşturun. Ayrıca bu kaynak için kullanıcı erişim grupları ("ICS" alanının genel güvenlik grupları) oluşturacağız:

• "DOSYA-FILESRV-SHARE-Dept. res. IS-RO"
• "DOSYA-FILESRV-SHARE-Dept. res. IS-RW"

"D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \" dizini için erişim haklarını yapılandıralım:



ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R

D: \ SHARE \ dizini, bu kaynak için giriş noktası ve hazırlama dizinidir. Buna gruplar için Traverse ekleyelim: "FILE-FILESRV-SHARE-Dept. res. IS-RO "ve" DOSYA-FILESRV-SHARE-Dept. res. IS-RW"


cacls komutuyla elde edilen NTFS izinlerini boşaltın:


NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F

Kullanıcılar okuma/yazma erişimine ihtiyaç duyduğu için hesaplarını FILE-FILESRV-SHARE-Dept. res. IS-RW"

Kullanıcıya dosya bilgileri kaynağına erişim izni verme
Sorunun formülasyonu.
Geliştirme departmanına başka bir çalışanın kabul edildiğini varsayalım - uzman Egorov Mikhail Vladimirovich ( [e-posta korumalı]) ve bölüm çalışanlarının geri kalanı gibi, bölümün dosya bilgi kaynağına okuma ve yazma erişimine ihtiyacı var.

Çözüm.
Çalışan hesabı "FILE-FILESRV-SHARE-Dept. res. IS-RW"

Yuvalanmış bir bilgi kaynağının oluşturulması. Genişleyen erişim
Sorunun formülasyonu.
Bilgi Sistemleri Geliştirme Departmanının Pazarlama Departmanı ile etkileşimin kalitesini iyileştirmeye karar verdiğini ve ikincisinin başkanı Natalya Evgenievna Kruglikova'yı sağladığını varsayalım ( [e-posta korumalı]) - Bilgi Sistemleri Geliştirme Departmanının dosya bilgi kaynağının Dokümantasyon klasöründe saklanan mevcut ürün dokümantasyonuna okuma erişimi.

Çözüm.
Bu sorunu çözmek için, "\\ FILESRV \ share \ Bilgi sistemleri geliştirme departmanı \ Dokümantasyon" alt kaynağını yapmak gerekir, "\\ FILESRV'ye erişimi olan tüm kullanıcılar için okuma ve yazma erişimi (kalması) gerekir. \ paylaş \ Bilgi sistemlerinin departman geliştirmesi \ ve Kruglikova Natalya Evgenievna kullanıcısı için okuma erişimi ekleyin ( [e-posta korumalı])

"D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \" dizininde, yeni kaynağın kök dizini olacak "D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \ Dokümantasyon" klasörünü oluşturun. Ayrıca iki kullanıcı erişim grubu oluşturacağız:

• "DOSYA-FILESRV-SHARE-Dept. res. IS-Belgeleme-RO "
• "DOSYA-FILESRV-SHARE-Dept. res. IS-Belgeleme-RW "

"D:\SHARE\Bilgi sistemleri geliştirme departmanı\Dokümantasyon" klasörüne erişim haklarını aşağıdaki gibi yapılandıralım:


cacls komutuyla elde edilen NTFS izinlerini boşaltın:

BUILTIN \ Yöneticiler: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Documentation-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Documentation-RW: (OI) (CI) C

"\\ FILESRV\pay\Bilgi sistemleri geliştirme departmanı\"na erişimi olan tüm kullanıcılar, \\ FILESRV\paylaş\Bilgi sistemleri geliştirme departmanı\Dokümantasyona benzer erişime ihtiyaç duyduğundan, "FILE-FILESRV-SHARE-Dept.. grubunu ekleyin. . res. IS-RO "in" DOSYA-FILESRV-SHARE-Dept. res. IS-Documentation-RO "ve" DOSYA-FILESRV-SHARE-Dept. res. IS-RW "içinde" DOSYA-FILESRV-SHARE-Dept. res. IS-Documentation-RW "sırasıyla. Natalya Evgenievna Kruglikova'nın hesabını ekleyin ( [e-posta korumalı]) "FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RW "

Şimdi, eğer Kruglikova Natalya Evgenievna ( [e-posta korumalı]) "\\ FILESRV \ share \ Bilgi sistemleri geliştirme departmanı \ Dokümantasyon" bağlantısına atıfta bulunacaktır, daha sonra ilgilenilen klasöre girebilecektir, ancak tam yolu kullanmak her zaman uygun değildir, bu nedenle yapılandıracağız "\\ FILESRV \ share \ "(" D: \ SHARE \ ") giriş noktasından bu pakete bir geçiş. Bunu yapmak için, "D: \ SHARE \" ve "D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \" ara dizinlerine erişim haklarını ayarlayın.

"D: \ SHARE \" ayarını yapalım:


cacls komutuyla elde edilen NTFS izinlerini boşaltın:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R


NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F

Ve "D: \ SHARE \ Bilgi Sistemleri Geliştirme Departmanı":


cacls komutuyla elde edilen NTFS izinlerini boşaltın:

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RW: R

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F

Yuvalanmış bir bilgi kaynağının oluşturulması. Erişimi daraltma
Sorunun formülasyonu
Bilgi Sistemleri Geliştirme Departmanı'nın gelişmelerinin bir yedeğini düzenlemek için, bölüm başkanı Ivanov Sergey Leonidovich ( [e-posta korumalı]), bölümün dosya bilgi kaynağı içinde, yalnızca kendisinin erişebileceği bir ağ klasörü "Arşiv" gerekliydi.

Çözüm.
Bölümün dosya bilgi kaynağındaki bu sorunu çözmek için, erişimi yalnızca baş kişiye verilmesi gereken iç içe geçmiş bir "Arşiv" ("\\ FILESRV \ share \ Information Systems Development Department \ Archive") yapmanız gerekir. bölümünden.

"D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \" dizininde, yeni kaynağın kök dizini olacak "D: \ SHARE \ Bilgi sistemleri geliştirme departmanı \ Arşiv" klasörünü oluşturun. Ayrıca iki kullanıcı erişim grubu oluşturacağız:

• "DOSYA-FILESRV-SHARE-Dept. res. IS-Arşiv-RO"
• "DOSYA-FILESRV-SHARE-Dept. res. IS-Arşiv-RW "

"D:\SHARE\Bilgi Sistemleri Geliştirme Departmanı\Arşiv" dizinlerine erişim haklarını yapılandıralım:


cacls komutuyla elde edilen NTFS izinlerini boşaltın:
NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Arşiv-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Arşiv-RW: (OI) (CI) C

"D: \ SHARE \ Bilgi Sistemleri Geliştirme Departmanı"


cacls komutuyla elde edilen NTFS izinlerini boşaltın:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RW: R


ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F

Ve "D: \ PAYLAŞ \":


cacls komutuyla elde edilen NTFS izinlerini boşaltın:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Belgeleme-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Arşiv-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Arşiv-RW: R
NT YETKİ \ SİSTEM: (OI) (CI) F
BUILTIN \ Yöneticiler: (OI) (CI) F

Ivanov Sergey Leonidovich kullanıcısının hesabı ( [e-posta korumalı]) FILE-FILESRV-Dept. times.IS-Arşiv-RW.

10 numaralı uygulamalı ders için metodik talimatlar

Tema: Ağdaki erişim haklarının farklılaşması, yerel ağda paylaşılan disk alanı. Bilgi koruması, anti-virüs koruması.

saat sayısı: 2

Hedef: bir bilgisayar ağındaki erişim haklarını ayırt etmeyi ve anti-virüs koruması kullanmayı öğrenin

Ödev: Bu konudaki teorik hükümleri tanımak için pratik dersin görevlerini tamamlayın, bir sonuç formüle edin.

Rapor şunları içermelidir:

1. İşin adı

2. İşin amacı

3. Görevin sonuçları 1, 2, 3, 4, 5, 6

4.İşle ilgili sonuç ( gerçekleştirilen iş türlerini, ulaşılan hedefleri, uygulanması sırasında hangi beceri ve yeteneklerin kazanıldığını belirtmek gerekir)

Uygulama için metodik talimatlar:

Teorik bilgi 1.

1. Ağdaki erişim haklarının farklılaşması

Küresel ağ- bunlar, dünya bilgi kaynaklarının ortak kullanımı için uzak mesafede bulunan bilgisayar birlikleridir. Bugün dünyada 200'den fazla var, bunların en ünlüsü ve en popüleri İnternet.

Geniş alan ağlarının yerel alan ağlarından farklı olarak tek bir kontrol merkezi yoktur. Ağ, çeşitli iletişim kanallarıyla birbirine bağlanan on binlerce bilgisayardan oluşur. Her bilgisayarın, bilgi teslimi için "ona yönlendirmenizi" sağlayan benzersiz bir tanımlayıcısı vardır. Tipik olarak, küresel bir ağ, farklı kurallara göre çalışan bilgisayarları birleştirir (farklı mimarilere, sistem yazılımına vb. sahip). Bu nedenle, ağ geçitleri, bilgileri bir ağ türünden diğerine aktarmak için kullanılır.

ağ geçitleri(ağ geçidi), ağları tamamen farklı değişim protokolleriyle birleştirmeye hizmet eden cihazlardır (bilgisayarlar).

değişim protokolü Ağdaki farklı bilgisayarlar arasında veri alışverişi ilkelerini tanımlayan bir dizi kuraldır (anlaşma, standart).

Protokoller geleneksel olarak, her türlü bilginin aktarılmasından sorumlu olan temel (alt düzey) ve özel hizmetlerin işleyişinden sorumlu olan uygulama (üst düzey) olarak ikiye ayrılır.

Ortak bir veri tabanına erişim sağlayan, giriş/çıkış cihazlarının paylaşımını ve kullanıcı etkileşimini sağlayan bir ağ üzerindeki ana bilgisayara sunucu denir.

Yalnızca ağ kaynaklarını kullanan, ancak kaynaklarını ağın kendisine vermeyen bir ağdaki bilgisayara istemci (genellikle iş istasyonu da denir) denir.

Global ağda çalışmak için kullanıcının uygun donanım ve yazılıma sahip olması gerekir.

Yazılım iki sınıfa ayrılabilir:

bir kullanıcının bilgisayarına hizmet veren bir ağ düğümünde bulunan sunucu programları;

kullanıcının bilgisayarında bulunan ve sunucunun hizmetlerini kullanan istemci programları.

Küresel ağlar, kullanıcılara çeşitli hizmetler sunar: e-posta, ağdaki herhangi bir bilgisayara uzaktan erişim, veri ve program arama vb.

2.Ata:

Görev numarası 1. Bilgisayar için paylaşılan kaynağı belirleyin. Bunun için:

Windows işletim sisteminde, masaüstünde Ağ simgesini bulun.

Aynı ağa bağlı tüm bilgisayarların görüneceği bir klasör açın.

Ağa bağlı tüm bilgisayarlar bu pencerede görünecektir.

Bunlardan birini açın. Kullanabileceğiniz bilgisayar kaynaklarını görüntüleyin. Bu kaynaklara paylaşılan kaynaklar denir.

Görev numarası 2. Yerel ağ kullanıcıları için yerel ağa bağlı bilgisayarınızdaki bir klasöre erişim sağlayın. Bunun için:

Windows işletim sisteminde Bilgisayar klasörü penceresini açın ve D: sürücüsünde kendi klasörünüzü oluşturun. Ona grup numaranı ara.

Klasör simgesine sağ tıklayın ve klasörün içerik menüsünden Paylaş'ı seçin.

İstediğiniz alt menüyü seçin: Belirli kullanıcılar

Aşağıdaki Ağ listesinde yeni bir klasör görünecek: 27/07/2016 gezisi

Her şey doğru yapılırsa, diskte (klasörünüzün yanında) klasörün paylaşıldığını gösteren bir simge görünecektir.

Görev numarası 3. Yerel ağdaki maksimum veri aktarım hızı 100 Mbps'dir. 1 sayfa metin 50 satır ve her satır 70 karakter içeriyorsa 1 saniyede kaç sayfa metin iletilebilir?

Çözüm:

Sayfa başına 50 * 70 = 3500 karakter.

Alfabede kaç karakter olduğu belirtilmediği için karakter başına 1 byte alalım. Toplam 3500 bayt veya (8 ile çarpın) 28000 bit.

Şimdi 100.000.000'u 28.000'e bölün. 3571.43 sayfa alıyoruz.

Aşağıdaki verileri kullanarak kendi başınıza karar verin:

1 sayfa metin 70 satır ve her satır 50 karakter içeriyor mu?

Görev numarası 4. Soruları cevapla:

Teorik bilgi 2

1. Bilgi koruması, anti-virüs koruması.

Bilgisayar virüsü- bilgisayardaki çalışmaya her türlü müdahaleyi yaratmak için, kendini kendiliğinden tanıtabilen ve kopyalarını diğer programlara, dosyalara, bilgisayar sistem alanlarına ve bilgisayar ağlarına gömebilen bir program.

Enfeksiyon belirtileri:

işin sona ermesi veya önceden işleyen programların yanlış çalışması

yavaş bilgisayar

işletim sistemini başlatamama

dosya ve dizinlerin kaybolması veya içeriklerinin bozulması

dosyaları yeniden boyutlandırma ve değiştirme süreleri

RAM'in boyutunu küçültmek

istenmeyen mesajlar, resimler ve sesler

bilgisayarın sık sık çökmesi ve donması vb.

Bilgisayar virüslerinin sınıflandırılması:

habitat tarafından;

enfeksiyon yöntemiyle;

darbe ile;

Algoritmanın özelliklerine göre.

habitat tarafından

Ağa bağlı - çeşitli bilgisayar ağlarına yayılmış.

Dosya - yürütülebilir modüllere gömülüdür (COM, EXE).

Önyükleme - diskin önyükleme sektörlerine veya disk önyükleme programını içeren sektörlere gömülü.

Dosya - önyükleme - hem önyükleme sektörlerine hem de yürütülebilir modüllere yerleştirilmiştir.

Enfeksiyon yolu ile

Yerleşik - bulaşma üzerine, yerleşik kısmını bilgisayarın RAM'inde bırakır ve o zaman. OS çağrılarını enfeksiyon nesnelerine keser.

Yerleşik olmayan - RAM'e bulaşmayın ve sınırlı bir süre için etkindir.

Etki ile:

Tehlikesiz - bilgisayarın çalışmasına müdahale etmezler, ancak disklerdeki boş RAM ve bellek miktarını azaltırlar.

Tehlikeli - bilgisayarın çalışmasında çeşitli kesintilere yol açar.

Çok tehlikeli - disklerin sistem alanlarında programların, verilerin, bilgilerin silinmesine neden olabilirler.

Algoritmanın özelliklerine göre:

Solucanlar - ağ bilgisayarlarının adreslerini hesaplayın ve kendilerine kopyalarını gönderin.

Gizli - etkilenen dosyalara ve sektörlere işletim sistemi erişimini engelleyin ve bunun yerine temiz alanları değiştirin.

Truva atları kendi kendini yayma yeteneğine sahip değildir, ancak yararlı olanlar gibi görünerek önyükleme sektörünü ve dosya sistemini yok ederler.

Temel virüs koruma önlemleri:

bilgisayarınızı modern anti-virüs programlarından biriyle donatın: Doctor Weber, Norton Antivirus, AVP

anti-virüs veritabanlarınızı güncel tutun

Sizin için değerli olan bilgilerin arşiv kopyalarını yapmak (disketler, CD'ler)

Antivirüs yazılımı sınıflandırması:

Tarayıcılar (dedektörler)

monitörler

Denetçiler

Tarayıcı... Virüsten koruma tarayıcılarının çalışma prensibi, dosyaları, sektörleri ve sistem belleğini taramaya ve bunlarda bilinen ve yeni (tarayıcı tarafından bilinmeyen) virüsleri aramaya dayanır.

monitörler... Bu, sürekli olarak bilgisayarın RAM'inde bulunan ve diğer programlar tarafından gerçekleştirilen tüm şüpheli eylemleri izleyen tam bir antivirüs sınıfıdır. Monitörü kullanarak virüsün yayılmasını çok erken bir aşamada durdurabilirsiniz.

Denetçiler. Denetçi programları başlangıçta ana önyükleme kaydının görüntülerini, mantıksal disklerin önyükleme sektörlerini, dizin yapısı hakkındaki bilgileri ve bazen kurulu RAM miktarını özel dosyalarda ezberler.

Denetçi programları sistemde bir virüs olup olmadığını belirlemek için oluşturdukları görüntüleri kontrol eder ve mevcut durumla karşılaştırır.

2. Egzersiz yapmak

Görev numarası 5. Ana virüsten koruma programlarını belirtin ve bunları tanımlayın (avantajlar ve dezavantajlar, ana özellikler)

Görev numarası 6. Bilgisayarınızı antivirüs programları ile kontrol edin.

3. Kontrol soruları

1. Küresel ağ nedir?

2. Ağ geçitleri nedir?

3. Değişim protokolü nedir?

4. Yazılım hangi iki sınıfa ayrılabilir?

5. Bilgisayar virüsü nedir?

6. Bir PC virüsü enfeksiyonunun üç belirtisi nedir?

7. Antivirüs yazılımları nasıl sınıflandırılır?

8. Virüslerden korunmak için başlıca önlemler nelerdir?

Tanımlama ve doğrulamayı gerçekleştirdikten sonra, AS'de bulunan bilgi işlem kaynaklarının yetkili kullanımının daha sonra kontrolü için öznenin yetkisini (haklar kümesini) oluşturmak gerekir. Bu işleme erişimin sınırlandırılması (mantıksal yönetim) adı verilir.

Tipik olarak, öznenin yetkisi şu şekilde temsil edilir: kullanıcının kullanabileceği kaynakların bir listesi ve listeden her bir kaynağa erişim hakları. Bilgi işlem kaynakları programlar, bilgiler, mantıksal cihazlar, bellek boyutu, işlemci süresi, öncelik vb. olabilir.

Aşağıdaki erişim kontrolü yöntemleri genellikle ayırt edilir:

listelere göre erişimin farklılaştırılması;

yetki kuruluş matrisinin kullanımı;

şifre erişim kontrolü.

Erişimi listelere göre ayırt ederken, aşağıdaki eşleşmeler ayarlanır:

her kullanıcı - kaynakların bir listesi ve bunlara erişim hakları veya

her kaynak için - bir kullanıcı listesi ve bu kaynağa erişim hakları.

Listeler, hakları kullanıcıya özel hassasiyetle ayarlamanıza olanak tanır. Buraya haklar eklemek veya erişimi açıkça reddetmek kolaydır. Listeler çoğu işletim sisteminde ve DBMS'de kullanılır.

Yetki matrisinin kullanımı, bir erişim matrisinin (yetki tablosu) kullanımını ima eder. Bu matriste (bkz. Tablo 2.7), satırlar AS'ye erişimi olan öznelerin tanımlayıcılarıdır ve sütunlar AS'nin nesneleridir (bilgi kaynakları). Her matris öğesi, sağlanan kaynağın adını ve boyutunu, erişim hakkını (okuma, yazma vb.), erişim haklarını belirten başka bir bilgi yapısına bağlantı, erişim haklarını yöneten bir programa bağlantı vb. içerebilir.

Tablo 2.7

Yetki kuruluş matrisinin parçası

c - oluştur, d - sil, r - oku, w - yaz, e - yürüt.

Bu yöntem, izinlerle ilgili tüm bilgiler farklı türlerdeki listeler biçiminde değil, tek bir tabloda depolandığından daha birleşik ve uygun bir yaklaşım sağlar. Matrisin dezavantajları, olası hantallığı ve kaynakların optimal kullanımı değil (hücrelerin çoğu boş).

Erişimin gizlilik seviyelerine ve kategorilere göre farklılaşması, AU kaynaklarının gizlilik veya kategorilere göre bölünmesi gerçeğinden oluşur.

Gizlilik düzeyine göre ayrım yapılırken, örneğin genel erişim, gizli, gizli, çok gizli gibi çeşitli düzeyler ayırt edilir. Her kullanıcının yetkisi, izin verilen maksimum gizlilik düzeyine göre belirlenir. Kullanıcı, sahip olduğundan daha yüksek olmayan bir güvenlik seviyesi (damga) ile tüm verilere erişebilir.

Kategorilere göre ayrım yapılırken, kullanıcıya karşılık gelen kategorinin rankı ayarlanır ve kontrol edilir. Buna göre, tüm AS kaynakları önem derecesine göre ayrıştırılır ve belirli bir personel seviyesi belirli bir seviyeye (yönetici, yönetici, kullanıcı gibi) karşılık gelir.

Parola sınırlaması, açıkçası, nesnelere parola ile erişmek için yöntemlerin kullanımını temsil eder. Bu durumda, tüm şifre koruma yöntemleri kullanılır. Parolaların sürekli kullanımının kullanıcılar için rahatsızlık ve zaman gecikmeleri yarattığı aşikardır. Bu nedenle istisnai durumlarda bu yöntemler kullanılmaktadır.

Uygulamada, genellikle farklı erişim denetimi yöntemlerini birleştirirler. Örneğin, ilk üç yöntem parola korumasıyla geliştirilmiştir.

Alt bölümün sonunda, geçerli belgelerin iki tür (ilke) erişim kontrolünü düzenleyebileceğini not ediyoruz:

ayrık erişim kontrolü;

zorunlu erişim kontrolü.

Ayrık erişim kontrolü, adlandırılmış özneler ve adlandırılmış nesneler arasındaki erişimin farklılaştırılmasıdır. Belirli bir erişim hakkına sahip bir özne, bu hakkını başka bir özneye devredebilir. Bu tür, listelerle veya bir matris kullanılarak sınırlandırma yöntemleri temelinde düzenlenir.

Zorunlu erişim kontrolü, gizlilik etiketi ile karakterize edilen nesnelerde bulunan bilgilere ve öznelerin bu gizlilik seviyesindeki bilgilere erişim için resmi iznine (kabulüne) dayalı olarak, nesnelerin nesnelere erişiminin farklılaşmasını düzenler. Aksi takdirde, zorunlu erişim kontrolünü uygulamak için her özneye ve her nesneye, ilgili hiyerarşideki yerlerini yansıtan sınıflandırma etiketleri atanır. Bu etiketlerle, öznelere ve nesnelere, hiyerarşik sınıflandırma düzeyi ve hiyerarşik kategorilerin kombinasyonları olan sınıflandırma düzeyleri atanmalıdır. Bu etiketler, erişim kontrolünün zorunlu ilkesinin temeli olarak hizmet etmelidir. Erişimi gizlilik düzeylerine ve kategorilere göre ayırma yöntemlerinin zorunlu erişim kontrolü örnekleri olduğu açıktır.

Tanımlama ve doğrulamayı gerçekleştirdikten sonra, AS'de bulunan bilgi işlem kaynaklarının yetkili kullanımının daha sonra kontrolü için öznenin yetkisini (haklar kümesini) oluşturmak gerekir. Bu işleme erişimin sınırlandırılması (mantıksal yönetim) adı verilir.

Tipik olarak, öznenin yetkisi şu şekilde temsil edilir: kullanıcının kullanabileceği kaynakların bir listesi ve listeden her bir kaynağa erişim hakları. Bilgi işlem kaynakları programlar, bilgiler, mantıksal cihazlar, bellek boyutu, işlemci süresi, öncelik vb. olabilir.

Aşağıdaki erişim kontrolü yöntemleri genellikle ayırt edilir:

Listelere göre erişim kontrolü;

Yetkilerin kurulması matrisinin kullanılması;

Şifre erişim kontrolü.

Erişimi listelere göre ayırt ederken, aşağıdaki eşleşmeler ayarlanır:

Her kullanıcı - kaynakların bir listesi ve bunlara erişim hakları veya

Her kaynak, kullanıcıların ve bu kaynağa erişim haklarının bir listesidir.

Listeler, hakları kullanıcıya özel hassasiyetle ayarlamanıza olanak tanır. Buraya haklar eklemek veya erişimi açıkça reddetmek kolaydır. Listeler çoğu işletim sisteminde ve DBMS'de kullanılır.

Yetki matrisinin kullanımı, bir erişim matrisinin (yetki tablosu) kullanımını ima eder. Bu matriste (bkz. Tablo 2.7), satırlar AS'ye erişimi olan öznelerin tanımlayıcılarıdır ve sütunlar AS'nin nesneleridir (bilgi kaynakları). Her matris öğesi, sağlanan kaynağın adını ve boyutunu, erişim hakkını (okuma, yazma vb.), erişim haklarını belirten başka bir bilgi yapısına bağlantı, erişim haklarını yöneten bir programa bağlantı vb. içerebilir.

Tablo 2.7

Yetki kuruluş matrisinin parçası

		programı
kullanıcı 1
kullanıcı 2			09:00-17:00 arası

c - oluştur, d - sil, r - oku, w - yaz, e - yürüt.

Bu yöntem, izinlerle ilgili tüm bilgiler farklı türlerdeki listeler biçiminde değil, tek bir tabloda depolandığından daha birleşik ve uygun bir yaklaşım sağlar. Matrisin dezavantajları, olası hantallığı ve kaynakların optimal kullanımı değil (hücrelerin çoğu boş).

Erişimin gizlilik seviyelerine ve kategorilere göre farklılaştırılması, AU kaynaklarının gizlilik veya kategorilere göre bölünmesi gerçeğinden oluşur.

Gizlilik düzeyine göre ayrım yapılırken, örneğin genel erişim, gizli, gizli, çok gizli gibi çeşitli düzeyler ayırt edilir. Her kullanıcının yetkisi, izin verilen maksimum gizlilik düzeyine göre belirlenir. Kullanıcı, sahip olduğundan daha yüksek olmayan bir güvenlik seviyesi (damga) ile tüm verilere erişebilir.

Kategorilere göre ayrım yapılırken, kullanıcıya karşılık gelen kategorinin rankı ayarlanır ve kontrol edilir. Buna göre, tüm AS kaynakları önem derecesine göre ayrıştırılır ve belirli bir personel seviyesi belirli bir seviyeye (yönetici, yönetici, kullanıcı gibi) karşılık gelir.

Parola sınırlaması, açıkçası, nesnelere parola ile erişmek için yöntemlerin kullanımını temsil eder. Bu durumda, tüm şifre koruma yöntemleri kullanılır. Parolaların sürekli kullanımının kullanıcılar için rahatsızlık ve zaman gecikmeleri yarattığı aşikardır. Bu nedenle istisnai durumlarda bu yöntemler kullanılmaktadır.

Uygulamada, genellikle farklı erişim denetimi yöntemlerini birleştirirler. Örneğin, ilk üç yöntem parola korumasıyla geliştirilmiştir.

Alt bölümün sonunda, geçerli belgelerin iki tür (ilke) erişim kontrolünü düzenleyebileceğini not ediyoruz:

Ayrık erişim kontrolü;

Zorunlu erişim kontrolü.

Ayrık erişim kontrolü, adlandırılmış özneler ve adlandırılmış nesneler arasındaki erişimin farklılaştırılmasıdır. Belirli bir erişim hakkına sahip bir özne, bu hakkını başka bir özneye devredebilir. Bu tür, listelerle veya bir matris kullanılarak sınırlandırma yöntemleri temelinde düzenlenir.

Zorunlu erişim kontrolü, gizlilik etiketi ile karakterize edilen nesnelerde bulunan bilgilere ve öznelerin bu gizlilik seviyesindeki bilgilere erişim için resmi iznine (kabulüne) dayalı olarak nesnelerin nesnelere erişiminin farklılaşmasını düzenler. Aksi takdirde, zorunlu erişim kontrolünü uygulamak için her özneye ve her nesneye, ilgili hiyerarşideki yerlerini yansıtan sınıflandırma etiketleri atanır. Bu etiketlerle, öznelere ve nesnelere, hiyerarşik sınıflandırma düzeyi ve hiyerarşik kategorilerin kombinasyonları olan sınıflandırma düzeyleri atanmalıdır. Bu etiketler, erişim kontrolünün zorunlu ilkesinin temeli olarak hizmet etmelidir. Erişimi gizlilik düzeylerine ve kategorilere göre ayırma yöntemlerinin zorunlu erişim kontrolü örnekleri olduğu açıktır.

Giriş kontrolu.

Karmaşıklığına ve gerçekleştirilen görevlere bağlı olarak otomatik bir sistem bir, iki, üç vb. odaya, katlara, binalara yerleştirilebilir. İşlevsel sorumlulukların farklı olması ve farklı dokümanlarla çalışılması nedeniyle, kullanıcıların işyerlerine, donanımlarına ve bilgilerine erişimlerinin sınırlandırılmasının sağlanması gerekmektedir. Bu, kullanıcıların işyerlerinin ayrı odalara yerleştirilmesi, giriş kapılarında güvenlik alarm sensörlerinin takılı olduğu çeşitli kilitlerle kapatılması veya özel bir kodlu jeton veya kartlar kullanılarak tesislere özel bir otomatik geçiş kontrol sistemi kullanılarak sağlanır. sahibinin hafızasına kaydedilmiştir.

Otomatik bir sistemde erişimin farklılaştırılması, içinde dolaşan bilgilerin bölümlere ayrılmasından ve görevliler için işlevsel görev ve yetkilerine göre erişimin düzenlenmesinden oluşur. Bilgiye erişimin bu şekilde sınırlandırılmasının görevi, işlevlerini yerine getirirken bilgiyle ilgisi olmayan görevlilerin sayısını azaltmaktır, yani. meşru kullanıcılar arasında bir davetsiz misafirden bilgilerin korunması.

Erişimin kontrolü ve farklılaştırılmasının (PCRD) ana görevi, korunacak bilgilere yetkisiz erişimin engellenmesi, kontrol edilmesi ve sınırlandırılmasıdır. Aynı zamanda, işlenmesi için bilgi ve yazılıma erişimin sınırlandırılması, görevliler-kullanıcılar, hizmet personeli ve iş yöneticilerinin işlevsel sorumluluklarına ve yetkilerine uygun olarak yapılmalıdır.

PCRD'nin yapısının temel ilkesi, yalnızca izin verilen yetkilerin karşılık gelen işaretlerini içeren bilgilere bu tür referanslara izin verilmesi ve yürütülmesidir. Bu amaçlar için, kullanıcıların, cihazların vb. kimliklerinin ve kimliklerinin doğrulanması, bilgilerin ve işlenmesinin işlevlerinin, erişimin farklılaştırılması için belirlenen gereksinimlere uygun olarak bölünmesi, kullanıcı haklarının kurulumu ve girişi gerçekleştirilir.

Bilginin bölünmesi ve işlenmesinin işlevleri genellikle aşağıdaki gerekçelerle gerçekleştirilir:

Önem derecesine göre;

Gizlilik derecesine göre;

Kullanıcılar, cihazlar tarafından gerçekleştirilen işlevlere göre;

Belgelerin adına göre;

Belge türlerine göre;

Veri türüne göre;

Birimler, dosyalar, diziler, kayıtlar adına;

Kullanıcı adı ile;

Bilgi işleme işlevleriyle: okuma, yazma, yürütme;

Günün saatine göre.

Erişimin çeşitli teknik araçlardan gerçekleştiği dikkate alındığında, teknik araçlara erişimi ayrı odalara yerleştirerek sınırlandırarak farklılaşmaya başlamak mümkündür. Ekipman bakımı, onarımı, bakımı, yazılımın yeniden başlatılması ve diğerlerinin tüm hazırlık işlevleri, sistemin ana görevlerinden teknik ve organizasyonel olarak ayrılmalıdır. Otomasyon araçları kompleksi ve bakımının organizasyonu aşağıdaki gibi inşa edilmelidir:

İşletim sırasında IS'nin bakımı, korunacak bilgilere erişim olmaksızın özel teknik personel tarafından yapılmalıdır;

Bilgi güvenliği işlevleri, IS, bilgisayar ağı veya ACS'ye sahip kuruluşta özel bir birim tarafından gerçekleştirilmelidir;

IS belleğine kullanıcı erişiminin organizasyonu, içinde depolanan bilgilere erişimi, yeterli derecede ayrıntıyla ve belirtilen kullanıcı yetkisi seviyelerine uygun olarak sınırlandırma yeteneği sağlamalıdır;

Teknolojik ve operasyonel bilgilerin kaydı ve dokümantasyonu ayrılmalıdır.

Kullanıcının ve IS'nin hafızasında saklanan şifre kodlarının kullanımı, sınırlandırmanın uygulanması için kişisel tanımlayıcılar olarak yaygın olarak kullanılmaktadır. Kullanıcıya artan gereksinimlere sahip sistemlerde yardımcı olmak için, özel ortamlara - elektronik anahtarlar, jetonlar, akıllı kartlar vb. - büyük şifre kodları değerleri kaydedilir.

Belirtilen parametrelere göre temel farklılaşma olasılığı IS projesi tarafından sağlanmalıdır. Ve IS'nin işleyişindeki özel sınırlama, tüketici tarafından belirlenir ve bilgi güvenliğinden sorumlu birimi tarafından sisteme girilir.

Bu amaçlar için, IS'leri oluşturmak için bilgi işlem tesislerinin tasarımında aşağıdakiler gerçekleştirilir:

Bir bilgisayarın, bilgisayarın, sunucunun belleğinde depolanan bilgilere erişimin farklılaşmasını uygulama yeteneğine sahip bir işletim sisteminin geliştirilmesi;

Erişim alanlarının izolasyonu;

Veritabanını gruplara ayırma;

Listelenen işlevler için kontrol prosedürleri.

Hem bu IS hem de ACS (ağ) çerçevesinde bir bütün olarak ekipman ve bilgiye erişimin sınırlandırılması ve kontrolü için işlevsel görevlerin geliştirilmesi ve uygulanması;

Kullanıcı tanımlama ve doğrulama için donanım geliştirme;

Erişim kontrolünün kontrolü ve yönetimi için yazılım araçlarının geliştirilmesi;

Tanımlama, kimlik doğrulama, sınırlandırma ve erişim kontrolü araçları için ayrı operasyonel belgelerin geliştirilmesi.

Belirli erişim kontrolü işaretleri ve bunların kombinasyonlarının seçimi, otomatik bir sistem için yazılım tasarlanırken referans şartlarına uygun olarak yapılır.

Korunacak bilgiler örtüşmeyen bellek alanlarında bulunmalıdır. Bu alanların herhangi birinde, her biri korumaya tabi olan bir dizi bilgi nesnesi saklanır. Bu durumda koruma, bilgi nesnesine erişimin tek bir korunan giriş yoluyla gerçekleştirilmesi gerçeğine indirgenmiştir. "Koruma" işlevi, kullanıcının adı (veya koşullu numarası) ve sunulan parolanın koduyla tanımlanmasını içerir. Kontrolün olumlu sonuçlanması halinde kendisine verilen yetkiler çerçevesinde bilgi almasına izin verilir. Bu prosedürler, her kullanıcı isteğinde gerçekleştirilir: istek, komutların verilmesi, vb. Her seferinde şifre yazmamak için, sunulan şifrenin bilgisayar sistemine girmeden önce kullanıcı tarafından özel bir AWS yuvasına takılması gereken özel bir fiziksel ortamda (anahtar, kart) saklanması uygundur. Ayrıca şifreli ortam yuvadan çıkarıldıktan sonra sisteme giriş anında bloke edilir.

Belirli bir sistem için bilgilerin korunmasına ilişkin gereksinimler, manuel bir şifre setinin kullanılmasına izin veriyorsa, bilgi ile çalışma sürecinde tekrarlanan çağrılar sırasında sunulan şifrenin bu AWP'nin hafızasında olduğundan emin olmak gerekir. . Merkezi bilgisayarda depolamaya, yalnızca verilen AWP'nin koşullu numarasıyla bağlantılıysa izin verilir, yani. merkezi bilgisayardaki sonraki tüm aramalar, yalnızca saklanan şifre kodunun sunulduğu koşullu AWP numarası ile işlenmek üzere kabul edilmelidir. Çalışmanın sonunda, yetkisiz kullanıcılar tarafından yetkisiz erişim olasılığını dışlamak için, daha önce sunulan ve saklanan şifrenin silinmesine göre AWS'den uygun komutun girilmesi gerekir. Kullanıcının AWS'sinde silindiği gerçeği hakkında bir mesaj görüntülenmelidir. Son işlemi kontrol etmek için önceki aramalardan birini şifresiz tekrarlamak ve buna bilgisayar sisteminin olumsuz tepkisi ile ikna olmakta fayda var.