V Международная студенческая научная конференция Студенческий научный форум - 2013

В настоящее время особенно остро стоит вопрос защиты информации. Одной из важнейших проблем данной теории является проблема защиты от несанкционированного доступа, так как помимо чтения и модификации информации, этот вид угроз способствует внедрению вредоносного программного обеспечения.

Одним из эффективных методов защиты от НСД является введение мандатного контроля доступа в современные операционные системы, использующие дискреционную схему авторизации. Основная задача работы заключается в исследовании основных свойств полученной модели.

В настоящее время существует несколько способов защиты от несанкционированного доступа [5]:

1) ограничение физического доступа к компьютеру;

2) встроенная и добавочная защита.

Под ограничением физического доступа понимают использование аппаратных средств защиты информации, которые срабатывают до запуска операционной системы. Встроенная защита — реализованные в операционных системах механизмы, обеспечивающие безопасную работу пользователей. На практике такие подсистемы обнаруживают уязвимости, поэтому необходимо использование дополнительных средств, которые называются добавочной защитой и представляет собой программное обеспечение, функциональное назначение которого состоит только в защите информации. Существует два подхода к построению добавочной защиты [5]:

1. Реализация механизмов, отсутствующих в операционной системе, усиление

встроенных средств.

2. Замена всех механизмов добавочными и дальнейшее использование их наравне с встроенными.

Очевидно, что реализация и поддержка первого подхода является достаточно трудоёмкой задачей, требующей больших затрат. Большей простотой отличается второй подход, чем объясняется его популярность среди пользователей.

Системы защиты от несанкционированного доступа реализуют так называемый механизм авторизации, который представляет собой совокупность процессов идентификации и аутентификации. Идентификация — процедура, ставящая политику доступа к ресурсам в соответствие с пользователем. Аутентификация служит контролем идентификации и представляет собой введение пароля.

Разделяют две основных модели доступа: дискреционную и мандатную. Дискреционное управление доступом (также называемое избирательным) основано на решениях владельца ресурса о наделении субъектов правом пользования объектами. Более жёсткой и структурированной является модель мандатного доступа, основанная на системе меток безопасности. Субъекты доступа и владельцы ресурсов не могут самостоятельно определять правила доступа к данным [1, 2].

В операционных системах семейства Windows разграничение прав доступа основано на дискреционной модели. Доступ в ОС Windows разграничивается собственным механизмом для каждого ресурса. Так же существует возможность разграничения прав доступа к файлам (для файловой системы NTFS) благодаря расширенным атрибутам доступа. Однако здесь наблюдается существенный недостаток, который заключается в том, что нет полных гарантий того, что информация не станет доступна пользователям, не имеющим к ним доступа. В связи с этим необходима реализация механизма обязательного доступа. Документы помечаются определенной меткой безопасности («Совершенно секретно», «Секретно», «Конфиденциально», «Общедоступно»), доступ к ним имеют пользователи только с определённым уровнем доступа [2]. Обмен данными возможен только на одном уровне. Основная идея предлагаемой системы состоит в проецировании прав доступа, задаваемых при регистрации в мандатной схеме, на дискреционную модель доступа ОС. Проводится соответствие метки доступа определённой группе, заданной в операционной системе, затем уже происходит разграничение доступа при помощи назначения ресурсам определённых правил.

В предполагаемом исследовании основной целью исследования является математическое описание и реализация добавочного механизма защиты от НСД в ОС Windows с использованием мандатной схемы авторизации пользователя, а также выявление её свойств, оценка эффективности работы системы авторизации и анализ рисков несанкционированного доступа.

Список литературы:

1. Harris S. CISSP All-in-One Exam Guide, Fifth Edition [текст] — McGraw-Hill Osborne Media, January, 2010 — 1216 с.
2. Цирлов В.Л. Основы информационной безопасности автоматизированных систем [текст] — Феникс, 2008 — 173 с.
3. Киреенко А.Е. Метод контроля информационных потоков в ОС с дискреционным разграничением доступа к объектам [текст] — Психолого-педагогический журнал Гаудеамус, №2, 2012 — 178-180 с.
4. Хореев П.Б. Методы и средства защиты информации в компьютерных системах [текст] — Академия, 2008 — 256 с.
5. Щеглов А.Ю. Защита информации компьютерной информации от несанкционированного доступа [текст] — Наука и техника, 2004 — 382 с.