Koti-Hyvä tietää-Standardi yrityksen tiedostotietoresurssien käyttöoikeuksien hallintaan. Järjestelmän käyttöönotto järjestelmänvalvojan käyttöoikeuksien eriyttämiseksi

Standardi yrityksen tiedostotietoresurssien käyttöoikeuksien hallintaan. Järjestelmän käyttöönotto järjestelmänvalvojan käyttöoikeuksien eriyttämiseksi


Venäjän laajuudessa monilla yrityksillä ja pienillä yrityksillä ei ole pysyvästi tai silloin tällöin paikalla olevaa järjestelmänvalvojaa. Yritys kasvaa ja ennemmin tai myöhemmin yksi jaettu kansio verkossa, jossa jokainen voi tehdä mitä haluaa, ei riitä. Kulunvalvontaa tarvitaan eri käyttäjille tai käyttäjäryhmille MS Windows -alustalla. Linux-käyttäjät ja kokeneet järjestelmänvalvojat, älä lue artikkelia.

Paras vaihtoehto on palkata kokenut järjestelmänvalvoja ja harkita palvelimen ostamista. Kokenut ylläpitäjä päättää paikan päällä, asennetaanko MS Windows Server Active Directorylla vai käytetäänkö jotain Linux-maailmasta.

Mutta tämä artikkeli on kirjoitettu niille, jotka ovat päättäneet kärsiä toistaiseksi yksin, käyttämättä nykyaikaisia ​​ohjelmistoratkaisuja. Yritän ainakin selittää, kuinka oikeuksien eriyttäminen toteutetaan oikein.

Ennen kuin aloitamme, haluaisin käsitellä pari kohtaa:

  • Mikä tahansa käyttöjärjestelmä "tunnistaa" ja "erottaa" todelliset ihmiset heidän tiliensä kautta. Sen pitäisi olla näin: yksi henkilö = yksi tili.
  • Artikkelissa kuvataan tilannetta, jossa yrityksellä ei ole omaa järjestelmänvalvojaa eikä se ole ostanut esimerkiksi MS Windows Serveriä. Mikä tahansa tavallinen MS Windows palvelee samanaikaisesti enintään 10 henkilöä WinXP:ssä ja 20 henkilöä Win7:ssä verkon kautta. Microsoft teki tämän nimenomaan, jotta Windows-asiakkaat eivät risteä Windows-palvelimien tiellä etkä pilaa Microsoftin liiketoimintaa. Muista numerot 10-20 ja kun yrityksessäsi on yli 10-20 henkilöä, sinun on harkittava MS Windows Serverin ostamista tai pyydettävä jotakuta asentamaan sinulle ilmainen Linux Samba -palvelin, jolla ei ole tällaisia ​​rajoituksia.
  • Koska sinulla ei ole pätevää järjestelmänvalvojaa, tavallinen tietokoneesi, jossa on asiakas MS Windows, teeskentelee olevansa tiedostopalvelin. Sinun on kopioitava sen käyttäjätilit muista tietokoneista päästäksesi käsiksi jaettuihin tiedostoihin. Toisin sanoen, jos PC1:ssä on kirjanpitäjä Olya, jolla on olya-tili, niin tälle "palvelimelle" (jäljempänä WinServer) on luotava olya-tili samalla salasanalla kuin PC1:ssä.
  • Ihmisiä tulee ja menee. Henkilöstön vaihtuvuus on kaikkialla, ja jos olet se köyhä, joka ei ole järjestelmänvalvoja ja olet määrätty (pakotettu) tukemaan yrityksen IT-asioita, niin tässä on sinulle neuvoja. Luo tilejä, joita ei ole sidottu henkilöön. Luo esimiehille - manager1, manager2. Kirjanpitäjille - buh1, buh2. Tai jotain vastaavaa. Onko henkilö lähtenyt? Joku muu ei loukkaannu, jos hän käyttää manager1:tä. Samaa mieltä, tämä on parempi kuin Semyon, joka käyttää olya-tiliä, koska se on rikki tai kukaan ei tee sitä uudelleen ja kaikki on toiminut 100 vuotta.
  • Unohda sanat, kuten: "tee kansiolle salasana". Ajat, jolloin salasanoja pakotettiin resursseille, ovat kauan menneet. Erilaisten resurssien kanssa työskentelyn filosofia on muuttunut. Nyt käyttäjä kirjautuu järjestelmään tunnuksella (tunniste), vahvistaa itsensä salasanallaan (todennus) ja saa pääsyn kaikkiin valtuutettuihin resursseihin. Kirjaudu sisään kerran ja pääset kaikkeen - se sinun tulee muistaa.
  • On suositeltavaa suorittaa seuraavat toiminnot sisäänrakennetulta järjestelmänvalvojatililtä tai järjestelmän ensimmäiseltä tililtä, ​​joka oletuksena sisältyy Järjestelmänvalvojat-ryhmään.

Valmistautuminen.

Poista Explorerissa yksinkertaistettu pääsy tarvitsemiimme asioihin.

  • MS Windows XP. Valikkotyökalut - Kansion asetukset - Näytä. Poista valinta Käytä ohjattua jakamistoimintoa
  • MS Windows 7. Paina Alt. Valikkotyökalut - Kansion asetukset - Näytä. Poista valinta Käytä yksinkertaista tiedostojen jakamista.

Luo WinServer-tietokoneellesi kansio, joka tallentaa omaisuutesi tilaus-, sopimus- ja niin edelleen tiedostoina. Minulle se on esimerkiksi C:\dostup\. Kansio on luotava osioon, jossa on NTFS.

Verkkoyhteys.

Tässä vaiheessa tarvitset asettaa saataville verkon kautta(jakaa) kansio, jota muut käyttäjät voivat työskennellä tietokoneissaan tässä paikallisessa verkossa.

Ja mikä tärkeintä! Jaa kansio täydellä luvalla kaikille! Kyllä kyllä! Kuulit oikein. Mutta entä kulunvalvonta?

Sallimme kaikkien muodostaa yhteyden kansioon paikallisverkon kautta, MUTTA rajoitamme pääsyä käyttämällä suojaustoimenpiteitä, jotka on tallennettu NTFS-tiedostojärjestelmään, jossa hakemistomme sijaitsee.

  • MS Windows XP. Napsauta hiiren kakkospainikkeella haluttua kansiota (C:\dostup\) ja valitse Ominaisuudet. Pääsy-välilehti - Täysi pääsy.
  • MS Windows 7. Napsauta hiiren kakkospainikkeella haluttua kansiota (C:\dostup\) ja valitse Ominaisuudet. Pääsy-välilehti - Lisäasetukset. Laita rasti Jaa tämä kansio. Täytä huomautus. Napsauta Lupa. Kaikki-ryhmällä on oltava verkkooikeudet Täysi pääsy.

Käyttäjät ja suojausryhmät.

Sinun on luotava tarvittavat käyttäjätilit. Haluan muistuttaa, että jos monet henkilökohtaiset tietokoneesi käyttävät eri käyttäjätilejä, ne tulisi kaikki luoda "palvelimellesi" ja samoilla salasanoilla. Tämä voidaan välttää vain, jos sinulla on pätevä järjestelmänvalvoja ja tietokoneet Active Directoryssa. Ei? Luo sitten tilit huolellisesti.

  • MS Windows XP.
    Paikalliset käyttäjät ja ryhmät - Käyttäjät. Toimintovalikko - Uusi käyttäjä.
  • MS Windows 7. Ohjauspaneeli - Hallinta - Tietokoneen hallinta.
    Paikalliset käyttäjät ja ryhmät - Käyttäjät. Valikkotoiminto - Luo käyttäjä.

Nyt on tärkeimmän - ryhmien - aika! Ryhmien avulla voit sisällyttää käyttäjätilejä ja yksinkertaistaa käsittelyä oikeuksien myöntämisessä ja kulunvalvonnassa.

"Oikeuksien asettaminen" hakemistoille ja tiedostoille selitetään alla, mutta toistaiseksi tärkeintä on ymmärtää yksi idea. Oikeudet kansioihin tai tiedostoihin myönnetään ryhmille, joita voidaan kuvaannollisesti verrata säilöihin. Ja ryhmät "siirtävät" jo oikeudet niihin sisältyville tileille. Eli sinun on ajateltava ryhmien tasolla, ei yksittäisten tilien tasolla.

  • MS Windows XP. Ohjauspaneeli - Hallinta - Tietokoneen hallinta.
  • MS Windows 7. Ohjauspaneeli - Hallinta - Tietokoneen hallinta.
    Paikalliset käyttäjät ja ryhmät - Ryhmät. Valikkotoiminto - Luo ryhmä.

Sinun on sisällytettävä oikeat tilit oikeisiin ryhmiin. Napsauta esimerkiksi Kirjanpitäjät-ryhmässä hiiren kakkospainikkeella ja siellä Lisää ryhmään tai Ominaisuudet ja sitten Lisää-painike. Kentällä Syötä valittujen objektien nimet kirjoita vaaditun tilin nimi ja napsauta Tarkista nimet. Jos kaikki on oikein, tili muuttuu muotoon PALVELIN NIMI\tilin_merkintä. Yllä olevassa kuvassa buh3-tili on yhdistetty WINSERVER\buh3:een.

Joten tarvittavat ryhmät on luotu ja käyttäjätilit on sisällytetty tarvittaviin ryhmiin. Mutta ennen kansioiden ja tiedostojen oikeuksien myöntämistä ryhmien avulla haluaisin keskustella muutamasta kohdasta.

Kannattaako vaivautua ryhmän kanssa, jos siinä on vain yksi tili? Mielestäni se on sen arvoista! Ryhmä antaa joustavuutta ja ohjattavuutta. Huomenna sinun on annettava toiselle henkilölle B samat oikeudet kuin tietylle henkilölle hänen tilillään A. Lisäät vain tilin B siihen ryhmään, jolla on jo A ja se on siinä!

On paljon helpompaa, kun käyttöoikeudet myönnetään ryhmille kuin yksittäisille henkilöille. Sinun tarvitsee vain manipuloida ryhmiä ja sisällyttää niihin tarvittavat tilit.

Käyttöoikeudet.

On suositeltavaa suorittaa seuraavat toiminnot sisäänrakennetulta järjestelmänvalvojatililtä tai järjestelmän ensimmäiseltä tililtä, ​​joka oletuksena sisältyy Järjestelmänvalvojat-ryhmään.

Olemme siis saavuttaneet vaiheen, jossa eri ryhmien ja niiden kautta käyttäjien (tarkemmin sanoen heidän tiliensä) käyttöoikeuksien rajaamisen taika todella tapahtuu.

Meillä on siis hakemisto osoitteessa C:\dostup\, jonka olemme jo saaneet kaikkien verkon työntekijöiden saataville. C:\dostup\-hakemistoon luodaan esimerkin vuoksi kansiot Contracts, Orders, MC Accounting. Oletetaan, että tehtävä on tehtävä:

  • Sopimuskansion tulee olla vain luku -tilassa kirjanpitäjille. Lue ja kirjoita ryhmälle johtajia.
  • AccountingMC-kansion tulee olla kirjanpitäjien saatavilla lukemista ja kirjoittamista varten. Esimiesryhmällä ei ole käyttöoikeutta.
  • Tilaukset-kansion tulee olla vain luku -tilassa kirjanpitäjille ja esimiehille.

Napsauta Sopimus-kansiossa hiiren kakkospainikkeella ja siellä Ominaisuudet - Suojaus-välilehti. Näemme, että joillakin ryhmillä ja käyttäjillä on jo pääsy siihen. Nämä oikeudet perittiin ylätason dostupilta\ ja tämä vuorostaan ​​sen emo-C:ltä:

Keskeytämme tämän oikeuksien perimisen ja luovutamme omat haluamamme oikeutemme.

Napsauta Lisäasetukset-painiketta - Luvat-välilehti -painiketta Muuta käyttöoikeuksia.

Ensin keskeytämme oikeuksien perimisen vanhemmalta. Poista valinta ruudusta Lisää pääobjekteista perityt käyttöoikeudet. Meitä varoitetaan, että pääkäyttäjän oikeudet eivät koske tätä objektia (tässä tapauksessa sopimuskansiota). Valitse: Peruuta tai Poista tai Lisää. Napsauta Lisää ja vanhemman oikeudet jäävät perintöömme, mutta vanhemman oikeudet eivät enää koske meitä. Toisin sanoen, jos jatkossa vanhemman (dostup-kansion) käyttöoikeuksia muutetaan, tämä ei vaikuta Sopimuksen alikansioon. Huomautus laatikossa Peritty kustannuksia ei ole peritty. Se on yhteys vanhempi - lapsi revitty.

Nyt poistamme huolellisesti tarpeettomat oikeudet, jättäen Täysi pääsy Järjestelmänvalvojille ja järjestelmälle. Valitsemme vuorotellen kaikenlaisia Vahvistettu ja vain Käyttäjät ja poista se Poista-painikkeella.

Lisää-painike tässä ikkunassa Lisäsuojausvaihtoehdot on tarkoitettu kokeneille järjestelmänvalvojille, jotka voivat asettaa erityisiä erityisoikeuksia. Artikkeli on suunnattu kokeneen käyttäjän tiedoille.

Me rasti Korvaa kaikki aliobjektin käyttöoikeudet tältä objektilta perityillä käyttöoikeuksilla ja napsauta OK. Palataan takaisin yksinkertaiseen Ominaisuudet-näkymään valitsemalla OK.

Tämän ikkunan avulla on helpompi saavuttaa haluamasi. Muokkaa-painike näyttää Ryhmän käyttöoikeudet -ikkunan.

Napsauta Lisää. Kirjoita uuteen ikkunaan Kirjanpitäjät ja napsauta "Tarkista nimet" - OK. Oletusarvoisesti lukuoikeus annetaan yksinkertaistetussa muodossa. Salli-sarakkeen valintaruudut asetetaan automaattisesti arvoihin "Lue ja suorita", "Lista kansion sisältö", "Lue". Olemme tyytyväisiä tähän ja napsauta OK.

Nyt meidän on teknisten määritystemme mukaan annettava luku- ja kirjoitusoikeudet Johtajaryhmälle. Jos olemme Ominaisuudet-ikkunassa, niin uudelleen Muuta - Lisää - kirjoita Esimiehet - Tarkista nimet. Lisää Muuta- ja Kirjoita-valintaruudut Salli-sarakkeeseen.

Nyt meidän on tarkistettava kaikki!

Seuraa ajatusta. Olemme määränneet, että sopimuskansio ei peri oikeuksia ylätasonsa oikeuksista. Tilasi alikansiot ja tiedostot Sopimuskansiossa periäkseen oikeudet siitä.

Olemme määrittäneet Sopimuskansioon seuraavat käyttöoikeudet: Kirjanpitäjäryhmä saa vain lukea tiedostoja ja avata kansioita ja Esimiehet -ryhmän tulee luoda, muokata tiedostoja ja luoda kansioita.

Siksi, jos asiakirjatiedosto luodaan Sopimushakemistoon, sillä on pääkäyttäjän oikeudet. Käyttäjillä, joilla on oma tili, on pääsy tällaisiin tiedostoihin ja hakemistoihin ryhmiensä kautta.

Siirry Sopimukset-kansioon ja luo testitiedosto sopimus1.txt

Napsauta sitä hiiren kakkospainikkeella ja siellä Ominaisuudet - Suojaus -välilehti - Lisäasetukset - Tehokkaat käyttöoikeudet -välilehti.

Napsauta Valitse ja kirjoita minkä tahansa kirjanpitäjän tili, esimerkiksi buh1. Näemme selvästi, että buh1 on saanut oikeudet kirjanpitäjäryhmästään, jolla on lukuoikeudet ylätason sopimuskansioon, joka "laajentaa" oikeutensa aliobjekteihinsa.

Kokeillaan manager2:ta ja nähdään selvästi, että manageri saa luku- ja kirjoitusoikeudet, koska hän on Managers-ryhmän jäsen, joka antaa tällaiset oikeudet tälle kansiolle.

Täsmälleen samalla tavalla, analogisesti Sopimuskansion kanssa, käyttöoikeudet määrätään muille kansioille teknisten määritelmiesi mukaisesti.

Bottom line.

  • Käytä NTFS-osioita.
  • Kun rajoitat pääsyä kansioihin (ja tiedostoihin), käsittele ryhmiä.
  • Luo tilit jokaiselle käyttäjälle. 1 henkilö = 1 tili.
  • Sisällytä tilit ryhmiin. Tili voi olla eri ryhmien jäsen samaan aikaan. Jos tili on useissa ryhmissä ja yksi ryhmä sallii jotain, se sallitaan tilille.
  • Estä-sarake (oikeuksien kieltäminen) on ensisijainen Salliin nähden. Jos tili on useissa ryhmissä ja yksi ryhmä kieltää jotain ja toinen ryhmä sallii sen, se on kielletty tililtä.
  • Poista tili ryhmästä, jos haluat evätä tämän ryhmän tarjoamat käyttöoikeudet.
  • Harkitse järjestelmänvalvojan palkkaamista äläkä loukkaa häntä rahalla.

Kysy kommenteissa ja kysy, oikein.

Video näyttää erikoistapauksen, jossa sinun tarvitsee vain evätä pääsy kansioon hyödyntäen sitä tosiasiaa, että sääntöjen estäminen menee sääntöjen sallimiseen nähden etusijalle.

imbasoft 21. huhtikuuta 2016 klo 00:04

Standardi yrityksen tiedostotietoresurssien käyttöoikeuksien hallintaan

  • Tietoturva


Mikä voisi olla yksinkertaisempaa kuin kansion oikeuksien erottaminen NTFS:ssä? Mutta tämä yksinkertainen tehtävä voi muuttua todelliseksi painajaiseksi, kun samankaltaisia ​​kansioita on satoja, ellei tuhansia, ja yhden kansion oikeuksien muuttaminen "rikkoo" muiden oikeudet. Toimiakseen tehokkaasti tällaisissa olosuhteissa tarvitaan tietty sopimus tai standardi, jossa kuvataan, kuinka tällaiset ongelmat ratkaistaan. Tässä artikkelissa tarkastelemme yhtä tällaisen standardin vaihtoehdoista.

Laajuus

Yritysten tiedostotietoresurssien käyttöoikeuksien hallintastandardi (jäljempänä standardi) säätelee Microsoft Windows -perheen käyttöjärjestelmiä käyttävissä tietokoneissa sijaitsevien tiedostotietoresurssien käyttöoikeuden tarjoamisen prosesseja. Standardi koskee tapauksia, joissa NTFS:ää käytetään tiedostojärjestelmänä ja SMB/CIFS:ää käytetään verkkoprotokollana tiedostojen jakamiseen.

Termit ja määritelmät

Tietolähde– nimetty tietojoukko, johon sovelletaan menetelmiä ja keinoja tietoturvan varmistamiseksi (esimerkiksi kulunvalvonta).
Tiedoston tietolähde– kokoelma tiedostoja ja kansioita, jotka on tallennettu tiedostojärjestelmähakemistoon (kutsutaan tiedostotietoresurssin juurihakemistoksi), joihin pääsy on rajoitettu.
Yhdistelmätiedoston tietoresurssi– tämä on tiedostotietoresurssi, joka sisältää yhden tai useamman sisäkkäisen tiedostotietoresurssin, jotka eroavat annetusta resurssista käyttöoikeuksiltaan.
Sisäkkäisten tiedostojen tietoresurssi on tiedostotietoresurssi, joka sisältyy yhdistelmätietoresurssiin.
Sisääntulokohta tiedostotietoresurssiin– tiedostojärjestelmähakemisto, johon verkkoyhteys tarjotaan (jaettu kansio) ja jota käytetään pääsyn tarjoamiseen tiedostotietoresurssiin. Tämä hakemisto on yleensä sama kuin tiedostotietoresurssin juurihakemisto, mutta se voi olla myös korkeampi.
Välihakemisto– tiedostojärjestelmähakemisto, joka sijaitsee polulla aloituspisteestä tiedostotietoresurssiin tiedostotietoresurssin juurihakemistoon. Jos tiedostotietoresurssin aloituskohta on tiedostotietoresurssin juurihakemiston ylähakemisto, se on myös välihakemisto.
Käyttäjien käyttöoikeusryhmä– paikallinen tai toimialueen suojausryhmä, joka sisältää viime kädessä käyttäjätilejä, joilla on jokin tiedostotietoresurssin käyttöoikeusvaihtoehdoista.

Perusperiaatteet

  1. Pääsy on rajoitettu vain hakemistotasolla. Yksittäisiin tiedostoihin pääsyä ei ole rajoitettu.
  2. Käyttöoikeudet määrätään suojausryhmien perusteella. Käyttöoikeuksia ei myönnetä yksittäisille käyttäjätileille.
  3. Selkeät estooikeudet eivät ole voimassa.
  4. Käyttöoikeudet erotetaan vain tiedostojärjestelmätasolla. SMB/CIFS-verkkoprotokollien tasolla oikeuksia ei erotella (ryhmä "Kaikki" - luvat "Lue/Kirjoitus" / Kaikki - Muuta).
  5. Kun määrität verkkokäyttöä tiedostotietoresurssille, SMB/CIFS-asetuksissa asetetaan "Pääsypohjainen luettelointi" -vaihtoehto.
  6. Tiedostotietoresurssien luomista käyttäjien työasemille ei voida hyväksyä.
  7. Ei ole suositeltavaa sijoittaa tiedostotietoresursseja palvelimien järjestelmäosioihin.
  8. Ei ole suositeltavaa luoda useita aloituspisteitä tiedostotietoresurssiin.
  9. Sisäkkäisten tiedostojen tietoresurssien luomista tulee välttää aina kun mahdollista, ja jos tiedostojen tai hakemistojen nimet sisältävät luottamuksellisia tietoja, tämä on täysin mahdotonta hyväksyä.

Kulunvalvontamalli

Käyttäjän pääsy tiedostotietoresurssiin annetaan myöntämällä heille yksi valtuutusvaihtoehdoista:
  • Vain luku -oikeus ( R ead O nly)".
  • Luku/kirjoitusoikeus ( R syödä & W riitti)".
Suurimmassa osassa kulunvalvontatehtäviä tällaiset käyttöoikeusvaihtoehdot riittävät, mutta tarvittaessa on mahdollista luoda uusia käyttöoikeusvaihtoehtoja, esimerkiksi "Lue ja kirjoita ilman poistamista". Uusien valtuuksien toteuttamiseksi on tarpeen selventää taulukon 1 kohtaa B.3, muuten standardin soveltaminen säilyy ennallaan.

Säännöt käyttäjien käyttöoikeusryhmien nimeämiseksi

Käyttäjien käyttöoikeusryhmien nimet muodostetaan seuraavan mallin avulla:

FILE-File Information Resurssin nimi – Käyttöoikeuslyhenne

Tiedoston tietoresurssin nimi
täytyy vastata resurssin UNC-nimeä tai koostua palvelimen nimestä ja paikallisesta polusta (jos verkkoyhteyttä resurssiin ei ole annettu). Tarvittaessa lyhenteet ovat sallittuja tässä kentässä. Merkit "\\" jätetään pois, ja "\" ja ":" korvataan merkillä "-".

Viranomaisten lyhenteet:

  • RO - Vain luku -käyttövaihtoehdolle
  • RW - "Lue ja kirjoita" -käyttövaihtoehdolle.
Esimerkki 1
Käyttöoikeusryhmän nimi käyttäjille, joilla on vain luku -oikeudet tiedostotietoresurssille UNC-nimi \\FILESRV\Report, on:
TIEDOSTO-TIEDOSTOT-RAPORTTI-RO

Esimerkki 2
Niiden käyttäjien käyttöryhmän nimi, joilla on luku- ja kirjoitusoikeudet TERMSRV-palvelimella polulla D:\UsersData sijaitsevalle tiedostotietoresurssille, on:
FILE-TERMSRV-D-UsersData-RW

Malli tiedostotietoresurssin hakemistojen käyttöoikeuksista

pöytä 1– Tiedostotietoresurssin juurihakemiston NTFS-käyttöoikeuksien malli.

Aiheet Oikeudet Periytystila
liikuntarajoitteinen
A) Pakolliset oikeudet
Erikoistili:
"JÄRJESTELMÄ"
Täysi pääsy


"Järjestelmänvalvojat"
Täysi pääsy
Tälle kansiolle, alikansioille ja tiedostoille
B.1) Käyttöoikeudet "Vain luku ( R ead O vain)"
Käyttäjien käyttöoikeusryhmä:
"FILE-ResourceName-RO"
Perusoikeudet:
a) lukeminen ja suorittaminen (lue & suorita);
b) luettelo kansion sisällöstä;
c) lukeminen (lue);
Tälle kansiolle, alikansioille ja tiedostoille
B.2) Luvat "Lue ja kirjoita ( R syödä & W riitti)"
Käyttäjien käyttöoikeusryhmä:
"FILE-ResourceName-RW"
Perusoikeudet:
a) muuttaa (muuttaa);
b) lukeminen ja suorittaminen (lue & suorita);
c) luettelo kansion sisällöstä;
d) lukeminen (lue);
e) tallentaa (kirjoittaa);
Tälle kansiolle, alikansioille ja tiedostoille
B.3) Muut mahdolliset valtuudet
Käyttäjien käyttöoikeusryhmä:
"TIEDOSTO-resurssin nimi-lupalyhenne"
Valtuutuksen mukaan
Tälle kansiolle, alikansioille ja tiedostoille

Taulukko 2– NTFS-käyttöoikeuksien malli tiedostotietoresurssin välihakemistoille.
Aiheet
 Oikeudet
 Periytystila
Käyttöoikeudet peritään päähakemistoista mukana, mutta jos tämä hakemisto on parempi kuin tiedostotietoresurssit eikä se sisälly mihinkään muuhun tiedostotietoresurssiin, niin perintö liikuntarajoitteinen
A) Pakolliset oikeudet
Erikoistili:
"JÄRJESTELMÄ"
Täysi pääsy
Tälle kansiolle, alikansioille ja tiedostoille
Paikallinen turvaryhmä:
"Järjestelmänvalvojat"
Täysi pääsy
Tälle kansiolle, alikansioille ja tiedostoille
B.1) Valtuutus "Kävi hakemiston läpi (TRAVERSE
Käytä tietoresurssien käyttäjien ryhmiä, joille tämä hakemisto on välihakemisto
Muita suojausvaihtoehtoja:
a) kulkee kansion läpi / suorittaa tiedostot;
b) kansion sisältö / lue tiedot (luettelokansio / lue tiedot);
c) lukuominaisuudet;
c) laajennettujen attribuuttien lukeminen;
d) lukuoikeudet;
Vain tämä kansio

Liiketoimintaprosessit tiedostojen tietoresurssien käytön hallintaan

A. Tiedoston tietoresurssin luominen
Kun luot tiedostotietoresurssia, suoritetaan seuraavat toimet:
  1. Käyttäjäryhmiä luodaan. Jos tiedostotietoresurssia isännöivä palvelin on toimialueen jäsen, toimialueryhmät luodaan. Jos ei, ryhmät luodaan paikallisesti palvelimelle.
  2. Käyttöoikeudet osoitetaan tiedostotietoresurssin juurihakemistoon ja välihakemistoihin käyttöoikeusmallien mukaisesti.
  3. Käyttäjätilit lisätään käyttäjien käyttöoikeusryhmiin heidän käyttöoikeuksiensa mukaisesti.
  4. Tarvittaessa tiedostotietoresurssille luodaan verkkokansio (jaettu kansio).
B. Käyttäjälle pääsyn tarjoaminen tiedostotietoresurssiin
Käyttäjätili sijoitetaan asianmukaiseen käyttöoikeusryhmään sen käyttöoikeuksien perusteella.

B. Käyttäjän pääsyn muuttaminen tiedostotietoresurssiin
Käyttäjätili siirretään eri käyttöoikeusryhmään määritettyjen käyttöoikeuksien perusteella.

D. Käyttäjän pääsyn estäminen tiedostotietoresursseihin
Käyttäjätili poistetaan tiedostotietoresurssien käyttöoikeusryhmistä. Jos työntekijä lähtee, ryhmän jäsenyys ei muutu, vaan koko tili suljetaan.

D1. Luo sisäkkäisen tiedoston tietoresurssi. Käyttöoikeuden laajentaminen
Tämä tehtävä syntyy, kun on tarpeen antaa pääsy tiedostotietoresurssin tiettyyn hakemistoon toiselle ihmisryhmälle (laajenna pääsy). Tässä tapauksessa suoritetaan seuraavat toiminnot:

  1. Ylemmän tason yhdistelmätiedostotietoresurssin käyttäjien pääsyryhmät lisätään sisäkkäisen tiedostotietoresurssin käyttäjien käyttöoikeusryhmiin.
D 2. Luo sisäkkäisen tiedoston tietoresurssi. Pääsyn kaventaminen
Tämä tehtävä syntyy, kun on tarpeen rajoittaa pääsyä tiettyyn tiedostotietoresurssin hakemistoon ja tarjota se vain rajoitetulle ihmisryhmälle:
  1. Liitteenä olevan tiedoston tietoresurssi on rekisteröity (prosessin A mukaisesti)
  2. Ne käyttäjätilit, joille on myönnettävä käyttöoikeus, sijoitetaan luodun tietoresurssin käyttöoikeusryhmiin.
E. Mallin muuttaminen tiedostotietoresurssiin pääsyn tarjoamiseksi
Tapauksissa, joissa on tarpeen lisätä uudentyyppisiä käyttöoikeuksia vakiolupavaihtoehtoihin "Vain luku" tai "Luku ja kirjoitus", esimerkiksi "Lue ja kirjoita ilman poistamista", suorita seuraavat toimet:
  1. Organisatoriset (tai tekniset, mutta eivät liity tiedostojärjestelmän hakemistojen käyttöoikeuksien muuttamiseen) toimenpiteet estävät käyttäjien pääsyn tähän ja kaikkiin upotettuihin tiedostotietoresursseihin.
  2. Uudet käyttöoikeudet määritetään tiedostotietoresurssin juurihakemistoon, ja kaikkien aliobjektien käyttöoikeudet korvataan (vanha on aktivoitu).
  3. Kaikkien sulautettujen tietoresurssien käyttöoikeudet määritetään uudelleen.
  4. Välihakemistot on määritetty tätä ja sisäkkäisiä tietoresursseja varten.

Esimerkkejä

Tarkastellaan tämän standardin soveltamista käyttämällä esimerkkiä hypoteettisesta organisaatiosta, LLC "InfoCryptoService", jossa palvelin nimeltä "FILESRV" on varattu tiedostotietoresurssien keskitettyyn tallentamiseen. Palvelin käyttää Microsoft Windows Server 2008 R2 -käyttöjärjestelmää ja on Active Directory -toimialueen jäsen, jonka FQDN-nimi on "domain.ics" ja NetBIOS-nimi "ICS".

Valmistellaan tiedostopalvelinta
Luo "FILESRV"-palvelimen "D:"-asemaan "D:\SHARE\"-hakemisto. Tämä hakemisto on kaikkien tällä palvelimella isännöityjen tiedostotietoresurssien ainoa sisääntulopiste. Järjestämme verkkoyhteyden tähän kansioon (käytä "Share and Storage Management" -sovelmaa):


Tiedoston tietoresurssin luominen
Ongelman muotoilu.
Anna organisaatiolla InfoCryptoService LLC olla tietojärjestelmien kehittämisosasto, johon kuuluvat: Osastonjohtaja Ivanov Sergei Leonidovich ( [sähköposti suojattu]), asiantuntija Markin Lev Borisovich ( [sähköposti suojattu]), ja niitä varten sinun on järjestettävä tiedostotietoresurssi osastotietojen tallentamista varten. Molemmat työntekijät tarvitsevat luku- ja kirjoitusoikeudet tähän resurssiin.

Ratkaisu.
Luomme “FILESRV”-palvelimen “D:\SHARE\”-hakemistoon kansion “D:\SHARE\Information Systems Development Department\”, josta tulee tiedostotietoresurssin juurihakemisto. Luomme myös käyttöoikeusryhmiä (globaalit verkkotunnuksen suojausryhmät "ICS") tälle resurssille:

  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-RO"
  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-RW"
Asetetaan käyttöoikeudet hakemistoon "D:\SHARE\Information Systems Development Department\":



ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RO:(OI)(CI)R


D:\SHARE\-hakemisto on tämän resurssin tulo- ja välityshakemisto. Lisätään siihen ryhmien Traverse-oikeudet: "FILE-FILESRV-SHARE-Dep. resoluutio IS-RO" ja "FILE-FILESRV-SHARE-Dep. resoluutio IS-RW"


cacls-komennolla saatujen NTFS-oikeuksien vedos:


NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F

Koska käyttäjät vaativat luku- ja kirjoitusoikeuksia, lisätään heidän tilinsä ryhmään "TIEDOSTOJEN-TIEDOSTOJEN SHARE-Dep. resoluutio IS-RW"

Käyttäjän pääsyn tarjoaminen tiedostotietoresurssiin
Ongelman muotoilu.
Oletetaan, että kehitysosastolle palkattiin toinen työntekijä - asiantuntija Mihail Vladimirovich Egorov ( [sähköposti suojattu]), ja hän, kuten muutkin osaston työntekijät, tarvitsee luku- ja kirjoitusoikeudet osaston tiedostotietoresurssiin.

Ratkaisu.
Työntekijätili on lisättävä ryhmään "FILE-FILESRV-SHARE-Dep. resoluutio IS-RW"

Sisäkkäisen tietoresurssin luominen. Käyttöoikeuden laajentaminen
Ongelman muotoilu.
Oletetaan, että tietojärjestelmien kehittämisosasto päätti parantaa vuorovaikutuksen laatua markkinointiosaston kanssa ja toimittaa sen viimeksi mainitun johtajalle Natalya Evgenievna Kruglikovalle ( [sähköposti suojattu]) - pääsy nykyiseen tuotedokumentaatioon, joka on tallennettu tietojärjestelmien kehittämisosaston tiedostotietoresurssin "Dokumentaatio"-kansioon.

Ratkaisu.
Tämän ongelman ratkaisemiseksi on tarpeen luoda sisäkkäinen resurssi "\\FILESRV\share\Information Systems Development Department\Documentation", johon kaikilla käyttäjillä, joilla oli pääsy "\\FILESRV\share\Department", tulisi olla (säilyttää) pääsy lukea ja kirjoittaa tietojärjestelmien kehitys\ ja lisätä lukuoikeudet käyttäjälle Natalya Evgenievna Kruglikova ( [sähköposti suojattu])

Luomme hakemistoon "D:\SHARE\Information Systems Development Department\" kansion "D:\SHARE\Information Systems Development Department\Documentation", joka on uuden resurssin juurihakemisto. Luomme myös kaksi käyttöoikeusryhmää:

  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-Documentation-RO"
  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-Documentation-RW"
Asetetaan kansion "D:\SHARE\Information Systems Development Department\Documentation" käyttöoikeudet seuraavasti:


cacls-komennolla saatujen NTFS-oikeuksien vedos:

BUILTIN\Järjestelmänvalvojat:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RW:(OI)(CI)C

Koska kaikki käyttäjät, joilla on pääsy "\\FILESRV\share\Information Systems Development Department\" tarvitsevat samanlaisen pääsyn \\FILESRV\share\Information Systems Development Department\Documentation, lisäämme ryhmän "FILE-FILESRV-SHARE- osasto. resoluutio IS-RO" kohdassa "FILE-FILESRV-SHARE-Dep. resoluutio IS-Documentation-RO" ja "FILE-FILESRV-SHARE-Dep. resoluutio IS-RW" kohdassa "FILE-FILESRV-SHARE-Dep. resoluutio IS-Documentation-RW" vastaavasti. Lisätään Natalya Evgenievna Kruglikovan tili ( [sähköposti suojattu]) ryhmään "FILE-FILESRV-SHARE-Dep. resoluutio IS-Documentation-RW"

Jos nyt Natalya Evgenievna Kruglikova ( [sähköposti suojattu]) käyttää linkkiä “\\FILESRV\share\Information Systems Development Department\Documentation”, niin se pääsee kiinnostavaan kansioon, mutta koko polun käyttö ei ole aina kätevää, joten määritämme passin- tähän pakettiin sisääntulopisteestä "\\ FILESRV\share\"("D:\SHARE\"). Tätä varten määritämme käyttöoikeudet välihakemistoihin "D:\SHARE\" ja "D:\SHARE\Information Systems Development Department\".

Määritetään "D:\SHARE\":


cacls-komennolla saatujen NTFS-oikeuksien vedos:
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RO:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RW:R


NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F

Ja "D:\SHARE\Information Systems Development Department":


cacls-komennolla saatujen NTFS-oikeuksien vedos:

ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RW:R

ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F

Sisäkkäisen tietoresurssin luominen. Pääsyn kaventaminen
Ongelman muotoilu
Järjestääkseen varmuuskopion tietojärjestelmien kehittämisosaston kehityksestä osaston johtaja Sergei Leonidovich Ivanov ( [sähköposti suojattu]), osana osaston tiedostotietoresurssia tarvittiin verkkokansio ”Arkisto”, johon vain hänellä olisi pääsy.

Ratkaisu.
Tämän ongelman ratkaisemiseksi sinun on luotava osaston tiedostotietoresurssiin sisäkkäinen resurssi "Arkisto" ("\\FILESRV\share\Information Systems Development Department\Archive"), johon pääsy tulee myöntää vain osastonjohtaja.

Luomme hakemistoon "D:\SHARE\Information Systems Development Department\" kansion "D:\SHARE\Information Systems Development Department\Archive", joka on uuden resurssin juurihakemisto. Luomme myös kaksi käyttöoikeusryhmää:

  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-Arkisto-RO"
  • "TIEDOSTOJEN TIEDOSTOT resoluutio IS-Arkisto-RW"
Määritetään käyttöoikeudet hakemistoihin "D:\SHARE\Information Systems Development Department\Archive":


cacls-komennolla saatujen NTFS-oikeuksien vedos:
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Arkisto-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Arkisto-RW:(OI)(CI)C

"D:\SHARE\Tietojärjestelmien kehitysosasto"


cacls-komennolla saatujen NTFS-oikeuksien vedos:
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RO:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RW:R


ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F

Ja "D:\SHARE\":


cacls-komennolla saatujen NTFS-oikeuksien vedos:
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RO:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-RW:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RO:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Documentation-RW:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Arkisto-RO:R
ICS\FILE-FILESRV-SHARE-Dept. resoluutio IS-Arkisto-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Järjestelmänvalvojat:(OI)(CI)F

Lisäämme Sergey Leonidovich Ivanovin ([email protected]) käyttäjätilin FILE-FILESRV-osasto ryhmään. kertaa.IS-Archive-RW.

Tietojen ja taitojen vaatimukset

Opiskelijan tulee tietää:

  • kulunvalvontamenetelmät;

  • Valtion teknisen toimikunnan ohjeasiakirjoissa säädetyt kulunvalvontamenetelmät.

Opiskelijan tulee kyetä:

  • käyttää kulunvalvontamenetelmiä.

Keskeinen termi

Avainsana: Kulunvalvontamenetelmät.

Pääsyä rajattaessa perustetaan subjektin valtuudet (oikeusjoukko) tietojärjestelmän objektien luvan käytön myöhempää valvontaa varten.

Pienet ehdot

  • Kulunvalvontamenetelmät.

  • Pakollinen ja erillinen kulunvalvonta.

Termien rakennekaavio

4.3.1 Kulunvalvontamenetelmät

Kun tunnistaminen ja todennus on suoritettu, turvaalijärjestelmä määrittää kohteen toimivaltuudet (oikeusjoukot) tietojärjestelmän objektien luvan käytön myöhempää valvontaa varten.

Yleensä subjektin valtuudet ovat edustettuina: luettelo resursseista, käyttäjän saatavilla ja käyttöoikeudet jokaiseen luettelon resurssiin.

Seuraavat pääsynhallintamenetelmät ovat olemassa:

  1. pääsynhallinta luetteloihin perustuen;

  2. voimaantumismatriisin käyttö;

  3. pääsyn valvonta yksityisyyden tasojen ja luokkien mukaan;

  4. salasanan pääsynhallinta.

Kun pääsyä rajoitetaan luetteloilla, vastaavuus määritetään: jokaiselle käyttäjälle - luettelo resursseista ja niiden käyttöoikeuksista tai jokaiselle resurssille - luettelo käyttäjistä ja heidän käyttöoikeuksistaan ​​tiettyyn resurssiin

Listojen avulla voit määrittää oikeudet käyttäjälle. Ei ole vaikeaa lisätä oikeuksia tai kieltää pääsy tähän. Listoja käytetään käyttöjärjestelmien ja tietokantojen hallintajärjestelmien turvallisuusalijärjestelmissä.

Kuvassa 1 on esimerkki (Windows 2000 -käyttöjärjestelmä) pääsynhallinnasta, jossa käytetään yhden objektin luetteloita.

Valtuutusmatriisin käyttö edellyttää pääsymatriisin (valtuutustaulukon) käyttöä. Määritetyssä matriisissa rivit ovat tietojärjestelmään pääsyn saaneiden subjektien tunnisteita ja sarakkeet tietojärjestelmän objekteja (resursseja). Jokainen matriisin elementti voi sisältää tarjotun resurssin nimen ja koon, käyttöoikeuden (luku, kirjoitus jne.), linkin toiseen tietorakenteeseen, joka määrittää käyttöoikeudet, linkin käyttöoikeuksia hallitsevaan ohjelmaan jne. .

Kuva 1

Tämä menetelmä tarjoaa yhtenäisemmän ja kätevämmän lähestymistavan, koska kaikki tiedot käyttöoikeuksista tallennetaan yhden taulukon muodossa, ei erityyppisten luetteloiden muodossa. Matriisin haittoja ovat sen mahdollinen tilavuus ja epäoptimaalisuus (useimmat solut ovat tyhjiä).

Osa valtuutusmatriisista on esitetty taulukossa 1.

pöytä 1

Aihe

Aja c:\

Tiedostodprog.exe

Tulostin

Käyttäjä 1

Lukeminen

Ennätys

Poistaminen

Esitys

Poistaminen

Tiiviste

asetukset

Käyttäjä 2

Lukeminen

Esitys

Tiiviste

9.00-17.00

Käyttäjä 3

Lukeminen

Ennätys

Esitys

Tiiviste

klo 17.00-9.00

Pääsyiden erottelu yksityisyyden tasojen ja luokkien mukaan koostuu tietojärjestelmän resurssien jakamisesta yksityisyyden tasojen ja luokkien mukaan.

Salassapitotason perusteella erotettaessa erotetaan useita tasoja, esimerkiksi: yleinen pääsy, luottamuksellinen, salainen, huippusalainen. Jokaisen käyttäjän käyttöoikeudet asetetaan sen suurimman yksityisyyden tason mukaisesti, jolle hän on hyväksytty. Käyttäjällä on pääsy kaikkiin tietoihin, joiden tietosuojataso ei ole korkeampi kuin hänelle määritetty; esimerkiksi käyttäjällä, jolla on pääsy "salaisiin" tietoihin, on pääsy myös "luottamuksellisiin" ja "julkisiin" tietoihin.

Luokan perusteella erotettaessa käyttäjäluokan sijoitus asetetaan ja sitä ohjataan. Vastaavasti kaikki tietojärjestelmän resurssit on jaettu tärkeystasoille, joiden käyttäjäluokka vastaa tiettyä tasoa. Esimerkkinä käyttäjäkategorioiden käytöstä voidaan harkita Windows 2000 -käyttöjärjestelmää, jonka suojausalijärjestelmä tukee oletuksena seuraavia käyttäjäluokkia (ryhmiä): "järjestelmänvalvoja", "tehokäyttäjä", "käyttäjä" ja "vieras". Jokaisella luokalla on tietyt oikeudet. Käyttäjäluokkien avulla voit yksinkertaistaa käyttäjäoikeuksien myöntämistä ryhmäsuojauskäytäntöjen avulla.

Salasanan erottelu edustaa ilmeisesti menetelmien käyttöä, joilla kohteet pääsevät käsiksi objekteihin salasanan avulla. Kaikki salasanasuojausmenetelmät ovat käytössä. On selvää, että salasanojen jatkuva käyttö aiheuttaa haittaa käyttäjille ja viiveitä. Siksi näitä menetelmiä käytetään poikkeustilanteissa.

Käytännössä ne yleensä yhdistävät erilaisia ​​kulunvalvontamenetelmiä. Esimerkiksi kolmea ensimmäistä menetelmää vahvistetaan salasanasuojauksella.

Käyttöoikeuksien eriyttäminen on pakollinen osa suojattua tietojärjestelmää. Muistakaamme, että seuraavat käsitteet esiteltiin "Orange Book of USA:ssa":

— satunnaispääsyn valvonta;

— pakotettu kulunvalvonta.

4.3.2 Pakollinen ja erillinen kulunvalvonta

GOST R 50739-95 "ja Venäjän federaation valtion teknisen toimikunnan asiakirjat määrittelevät kaksi pääsynvalvonnan tyyppiä (periaatetta):

  • diskreetti kulunvalvonta;

  • pakollinen kulunvalvonta.

Diskreetti ohjaus pääsy on pääsyn erottelu nimettyjen subjektien ja nimettyjen objektien välillä. Tietyn käyttöoikeuden omaava taho voi siirtää tämän oikeuden mille tahansa toiselle taholle. Tämä tyyppi on järjestetty luetteloiden rajaamisen menetelmien tai matriisin avulla.

- perustuu esineiden (tiedostot, kansiot, kuvat) sisältämien tietojen luottamuksellisuusmerkintöjen ja tutkittavan virallisen luvan (pääsyn) vertailuun asianmukaisen luottamuksellisuustason tietoihin.

Tarkemmin tarkasteltuna huomaat, että diskreetti kulunvalvonta ei ole muuta kuin satunnaisen pääsyn valvontaa (US Orange Bookin mukaan), ja pakollinen valvonta toteuttaa pakotetun kulunvalvonnan.

Johtopäätökset aiheesta

  1. Kohteen valtuuksien (oikeusjoukon) määrittäminen hänen tietojärjestelmäobjektien luvallisen käytön myöhempään hallintaan suoritetaan turvallisuusalijärjestelmän tunnistamisen ja todentamisen jälkeen.

  2. Seuraavat pääsynhallintamenetelmät ovat olemassa:

  • pääsynhallinta luetteloihin perustuen;

  • voimaantumismatriisin käyttö;

  • pääsyn valvonta yksityisyyden tasojen ja luokkien mukaan;

  • salasanan pääsynhallinta.

  1. Kun pääsyä rajoitetaan luetteloilla, vastaavuus määritetään: jokaiselle käyttäjälle - luettelo resursseista ja niiden käyttöoikeuksista tai jokaiselle resurssille - luettelo käyttäjistä ja heidän käyttöoikeuksistaan ​​tiettyyn resurssiin.

  2. Valtuutusmatriisin käyttö edellyttää pääsymatriisin (valtuutustaulukon) käyttöä. Määritetyssä matriisissa rivit ovat tietojärjestelmään pääsyn saaneiden subjektien tunnisteita ja sarakkeet tietojärjestelmän objekteja (resursseja).

    3. Salassapitotason perusteella erotettaessa erotetaan useita tasoja, esimerkiksi: yleinen pääsy, luottamuksellinen, salainen, huippusalainen. Jokaisen käyttäjän käyttöoikeudet asetetaan sen suurimman yksityisyyden tason mukaisesti, jolle hän on hyväksytty. Käyttäjällä on pääsy kaikkiin tietoihin, joiden tietosuojataso ei ole korkeampi kuin hänelle määritetty.

  3. Salasanan erottelu perustuu salasanojen käyttöön, jotta kohteet pääsevät käsiksi objekteihin.

  4. GOST R 50739-95 " Tietokonetilat. Suojaus tietojen luvattomalta pääsyltä" ja Venäjän federaation valtion teknisen toimikunnan asiakirjoissa määritellään kaksi kulunvalvontatyyppiä (periaatetta): diskreetti kulunvalvonta ja pakollinen kulunvalvonta.

  5. Diskreetti ohjaus pääsy on pääsyn erottelu nimettyjen subjektien ja nimettyjen objektien välillä.

  6. Pakollinen kulunvalvonta- perustuu esineiden (tiedostot, kansiot, kuvat) sisältämien tietojen luottamuksellisuusmerkintöjen ja tutkittavan virallisen luvan (pääsyn) vertailuun asianmukaisen luottamuksellisuustason tietoihin.

Tavoite: hallitsee tiedostojen vaihtotekniikat paikallisen tietokoneverkon käyttäjien välillä. Teoreettista tietoa laboratoriotyöskentelyyn Tärkeimmät laitteet nopeaan tiedonsiirtoon pitkiä matkoja ovat tällä hetkellä lennätin, radio, puhelin, televisiolähetin ja tietoliikenneverkot. Tietojen siirtoa tietokoneiden välillä on ollut olemassa tietokoneiden syntymisestä lähtien. Sen avulla voit järjestää yksittäisten tietokoneiden yhteisen työn, ratkaista yhden ongelman useiden tietokoneiden avulla, jakaa resursseja ja ratkaista monia muita ongelmia. Alla tietokoneverkko ymmärtää joukon laitteistoja ja ohjelmistoja, jotka on suunniteltu tiedonvaihtoon ja käyttäjien pääsyyn yleisiin verkkoresursseihin. Tietokoneverkkojen päätarkoitus on tarjota käyttäjille jaettu pääsy tietoihin (tietokannat, asiakirjat jne.) ja resursseihin (kiintolevyt, tulostimet, CD-ROM-asemat, modeemit, pääsy globaaliin verkkoon jne.). Verkon tilaajat– objektit, jotka tuottavat tai kuluttavat tietoa. Verkkotilaajia voivat olla yksittäiset tietokoneet, teollisuusrobotit, CNC-koneet (tietokoneen numeeriset ohjauskoneet) jne. Mikä tahansa verkon tilaaja on kytketty asemaan. asema- laitteet, jotka suorittavat tiedon lähettämiseen ja vastaanottamiseen liittyviä toimintoja. Tilaajien ja asemien välisen vuorovaikutuksen järjestämiseksi tarvitaan fyysinen lähetysväline. Fyysinen siirtoväline– viestintälinjat tai tila, jossa sähköiset signaalit leviävät, ja tiedonsiirtolaitteet. Yksi viestintälinjojen tai -kanavien pääominaisuuksista on tiedonsiirtonopeus (kaistanleveys). Tiedonsiirtonopeus- aikayksikköä kohti lähetettyjen informaatiobittien lukumäärä. Tyypillisesti tiedonsiirtonopeudet mitataan bitteinä sekunnissa (bps) ja Kbps:n ja Mbps:n kerrannaisina. Mittayksiköiden väliset suhteet: 1 Kbit/s = 1024 bit/s; 1 Mbit/s = 1024 Kbit/s; 1 Gbit/s = 1024 Mbit/s. Viestintäverkko rakennetaan fyysisen siirtovälineen pohjalta. Näin ollen tietokoneverkko on kokoelma tilaajajärjestelmiä ja viestintäverkkoa. Verkkojen tyypit. Käytettyjen tietokoneiden tyypin mukaan niitä on homogeeninen Ja heterogeeniset verkot. Heterogeeniset verkot sisältävät ohjelmistojen kanssa yhteensopimattomia tietokoneita. Alueellisten ominaisuuksien perusteella verkostot jaetaan paikallinen Ja maailmanlaajuisesti. Perus viestintäverkon komponentit:
  • lähetin;
  • vastaanotin;
  • viestit (tietyn muodon digitaaliset tiedot: tietokantatiedosto, taulukko, vastaus pyyntöön, teksti tai kuva);
  • siirtovälineet (fyysinen siirtoväline ja erityislaitteet, jotka varmistavat tiedonsiirron).
  • Paikallisten verkkojen topologia. Tietokoneverkon topologialla tarkoitetaan yleensä tietokoneiden fyysistä sijaintia verkossa suhteessa toisiinsa ja tapaa, jolla ne on kytketty linjoilla.
  • Topologia määrittää laitevaatimukset, käytetyn kaapelin tyypin, tiedonsiirron ohjaustavat, toimintavarmuuden ja verkon laajentamismahdollisuuden. Verkkotopologioita on kolme päätyyppiä: väylä, tähti ja rengas.
Väylä, jossa kaikki tietokoneet on kytketty rinnakkain yhteen tietoliikennelinjaan ja kunkin tietokoneen tiedot välitetään samanaikaisesti kaikille muille tietokoneille. Tämän topologian mukaan luodaan vertaisverkko. Tällaisella yhteydellä tietokoneet voivat lähettää tietoja vain yksi kerrallaan, koska viestintälinjaa on vain yksi.
Paikalliset verkot(LAN, Local Area Network) yhdistävät tilaajat, jotka sijaitsevat pienellä alueella, yleensä enintään 2–2,5 km:n päässä. Paikalliset tietokoneverkot mahdollistavat yksittäisten yritysten ja laitosten työn organisoinnin, mukaan lukien koulutuslaitokset, sekä yhteisten teknisten ja tietoresurssien saatavuuden järjestämisongelman ratkaisemisen. Globaalit verkot(WAN, Wide Area Network) yhdistävät tilaajat, jotka sijaitsevat huomattavien etäisyyksien päässä toisistaan: kaupungin eri alueilla, eri kaupungeissa, maissa, eri mantereilla (esimerkiksi Internet). Vuorovaikutus tällaisen verkon tilaajien välillä voidaan toteuttaa puhelinviestintälinjojen, radioviestinnän ja satelliittiviestintäjärjestelmien perusteella. Globaalit tietokoneverkot ratkaisevat ongelman koko ihmiskunnan tietoresurssien yhdistämisestä ja näiden resurssien saatavuuden järjestämisestä.

Edut:


  • uusien solmujen lisäämisen helppous verkkoon (tämä on mahdollista myös verkon ollessa käynnissä);

  • verkko toimii edelleen, vaikka yksittäiset tietokoneet epäonnistuvat;

  • edullisia verkkolaitteita tämän topologian laajan käytön vuoksi.

Virheet:


  • verkkolaitteiden monimutkaisuus;

  • vaikeus diagnosoida verkkolaitteiden toimintahäiriöitä, koska kaikki sovittimet on kytketty rinnan;

  • kaapelin katkeaminen johtaa koko verkon epäonnistumiseen;

  • Tiedonsiirtolinjojen enimmäispituuden rajoitus johtuu siitä, että signaalit vaimentuvat lähetyksen aikana eikä niitä voida palauttaa millään tavalla.

Tähti (tähti), jossa muut oheislaitteet on kytketty yhteen keskustietokoneeseen, joista jokainen käyttää omaa erillistä tietoliikennelinjaa. Kaikki tiedonvaihto tapahtuu yksinomaan keskustietokoneen kautta, joka kantaa erittäin raskaan kuorman, joten se on tarkoitettu vain verkon ylläpitoon.

Edut:


  • oheistietokoneen vika ei millään tavalla vaikuta muun verkon toimintaan;

  • käytettävien verkkolaitteiden yksinkertaisuus;

  • kaikki liitäntäpisteet kerätään yhteen paikkaan, mikä helpottaa verkon toiminnan hallintaa ja verkkovikojen paikallistamista irrottamalla tietyt oheislaitteet keskuksesta;

  • signaalin vaimennusta ei ole.

Virheet:


  • keskustietokoneen vika tekee verkosta täysin käyttökelvottoman;

  • oheislaitteiden lukumäärän tiukka rajoitus;

  • huomattava kaapelin kulutus.

Rengas, jossa jokainen tietokone lähettää aina tietoa vain yhdelle ketjun seuraavalle tietokoneelle ja vastaanottaa tietoja vain ketjun edelliseltä tietokoneelta, ja tämä ketju on suljettu. Renkaan erikoisuus on, että jokainen tietokone palauttaa sille tulevan signaalin, joten signaalin vaimenemisella koko renkaan aikana ei ole väliä, vain viereisten tietokoneiden välinen vaimennus on tärkeä.

Edut:


  • uusien solmujen yhdistäminen on helppoa, vaikka tämä vaatii verkon keskeyttämisen;

  • suuri määrä solmuja, jotka voidaan yhdistää verkkoon (yli 1000);

  • korkea ylikuormituksenkestävyys.

Virheet:


  • vähintään yhden tietokoneen vika häiritsee verkon toimintaa;

  • Kaapelikatkos ainakin yhdessä paikassa häiritsee verkon toimintaa.

Joissakin tapauksissa verkkoa suunniteltaessa käytetään yhdistettyä topologiaa. Esimerkiksi puu on useiden tähtien yhdistelmä.

Jokaisessa paikallisessa verkossa toimivassa tietokoneessa on oltava verkkosovitin (verkkokortti). Verkkosovittimen tehtävänä on lähettää ja vastaanottaa tietoliikennekaapeleiden kautta jaettuja signaaleja. Lisäksi tietokoneessa on oltava verkkokäyttöjärjestelmä.

Verkkoja rakennettaessa käytetään seuraavan tyyppisiä kaapeleita:

suojaamaton kierretty pari. Suurin etäisyys, jolle tällä kaapelilla kytketyt tietokoneet voidaan sijoittaa, on 90 m. Tiedonsiirtonopeus on 10 - 155 Mbit/s; suojattu kierretty pari. Tiedonsiirtonopeus on 16 Mbit/s jopa 300 metrin etäisyydellä.

koaksiaalikaapeli. Sille on ominaista korkeampi mekaaninen lujuus, melunsieto ja se mahdollistaa tiedon siirron jopa 2000 m etäisyydellä nopeudella 2-44 Mbit/s;

valokuitukaapeli. Ihanteellinen siirtoväline, johon sähkömagneettiset kentät eivät vaikuta, mahdollistaa tiedon siirtämisen jopa 10 000 m etäisyydelle nopeudella 10 Gbit/s.

Globaalien verkostojen käsite. Maailmanlaajuinen verkosto - Nämä ovat etäetäisyydellä sijaitsevien tietokoneiden yhteenliittymiä maailman tietoresurssien yhteiskäyttöön. Nykyään niitä on maailmassa yli 200. Näistä tunnetuin ja suosituin on Internet.

Toisin kuin paikallisissa verkoissa, globaaleissa verkoissa ei ole yhtä ohjauskeskusta. Verkko perustuu kymmeniin ja satoihin tuhansiin tietokoneisiin, jotka on yhdistetty jollakin viestintäkanavalla. Jokaisella tietokoneella on yksilöllinen tunniste, jonka avulla voit "piirtää reitin siihen" tiedon toimittamista varten. Tyypillisesti globaali verkko yhdistää tietokoneita, jotka toimivat eri sääntöjen mukaan (joilla on eri arkkitehtuurit, järjestelmäohjelmistot jne.). Siksi yhdyskäytäviä käytetään tiedon siirtämiseen yhden tyyppisestä verkosta toiseen.

yhdyskäytävät – Nämä ovat laitteita (tietokoneita), jotka yhdistävät verkkoja täysin erilaisilla vaihtoprotokollalla.

Vaihtoprotokolla - Tämä on joukko sääntöjä (sopimus, standardi), joka määrittelee verkon eri tietokoneiden välisen tiedonvaihdon periaatteet.

Protokollat ​​on perinteisesti jaettu perus- (alempi taso), jotka vastaavat kaikentyyppisten tietojen siirrosta, ja sovellukset (korkeampi taso), jotka vastaavat erikoispalveluiden toiminnasta.

Verkon isäntätietokone, joka tarjoaa pääsyn yhteiseen tietokantaan, mahdollistaa syöttö-/tulostuslaitteiden jakamisen ja käyttäjän vuorovaikutuksen on ns. palvelin.

Verkkotietokonetta, joka käyttää vain verkkoresursseja, mutta ei anna resurssejaan verkolle, kutsutaan asiakas(kutsutaan usein myös työasema).

Jotta käyttäjä voi työskennellä maailmanlaajuisessa verkossa, hänellä on oltava asianmukaiset laitteistot ja ohjelmistot.

Ohjelmistot voidaan jakaa kahteen luokkaan:


  • palvelinohjelmat, jotka sijaitsevat käyttäjän tietokonetta palvelevassa verkkosolmussa;

  • asiakasohjelmat, jotka sijaitsevat käyttäjän tietokoneella ja käyttävät palvelimen palveluita.

Globaalit verkot tarjoavat käyttäjille erilaisia ​​palveluita: sähköpostin, etäyhteyden mihin tahansa verkon tietokoneeseen, tietojen ja ohjelmien etsimiseen ja niin edelleen.

Tehtävä nro 1.


  1. Luo "Omat asiakirjat" -kansioon kansio nimeltä Mail_1 (nimessä oleva numero vastaa tietokoneesi numeroa).

  2. Luo kirje luokkatovereillesi tekstieditorilla Word tai WordPad.

  3. Tallenna tämä teksti tietokoneesi Mail_1-kansioon letter1.doc-tiedostoon, jossa 1 on tietokoneen numero.

  4. Avaa kansio toisella tietokoneella, esimerkiksi Mail_2, ja kopioi tiedosto letter1 Mail_1-kansiostasi siihen.

  5. Lue Mail_1-kansiossasi muiden käyttäjien kirjeitä, esimerkiksi kirje2. Lisää vastauksesi niihin.

  6. Nimeä tiedosto letter2 .doc uudelleen tiedostoksi letter2_answer1.doc

  7. Siirrä tiedosto letter2_answer1.doc Mail _2 -kansioon ja poista se kansiostasi

  8. Toista seuraavaksi vaiheet 2–4 muille tietokoneille.

  9. Lue muiden käyttäjien viestit kansiossasi ja toista vaiheet 5-8 heille.

Tehtävä nro 2. Vastaa kysymyksiin ja kirjoita ne muistikirjaasi:

  1. Ilmoita tietokoneverkon päätarkoitus.
  1. Määritä objekti, joka on verkon tilaaja.
  1. Ilmoita viestintäkanavien tärkeimmät ominaisuudet.
  1. Mikä on lähiverkko, globaali verkko?
  1. Mitä paikallisverkon topologialla tarkoitetaan?
  1. Millaisia ​​paikallisverkon topologioita on olemassa?
  1. Kuvaile lyhyesti väylä-, tähti- ja rengastopologioita.
  1. Mikä on vaihtoprotokolla?
  1. Ratkaise ongelma. Paikallisverkon suurin tiedonsiirtonopeus on 100 Mbit/s. Kuinka monta sivua tekstiä voidaan lähettää 1 sekunnissa, jos 1 tekstisivu sisältää 50 riviä ja jokainen rivi on 70 merkkiä

Peruskonseptit

Tietoturvakysymyksiä pohdittaessa käytetään käsitteitä subjekti ja käyttökohde. Käyttöoikeuskohde voi suorittaa tietyn joukon toimintoja kullekin pääsyobjektille. Nämä toiminnot voidaan sallia tai kieltää tietylle aiheelle tai aiheryhmälle. Objektien käyttöoikeus määräytyy yleensä käyttöjärjestelmän tasolla sen arkkitehtuurin ja nykyisen suojauspolitiikan mukaan. Tarkastellaanpa joitain määritelmiä menetelmistä ja keinoista rajata subjektien pääsy esineisiin.

Määritelmä 1

Objektin käyttötapa– toiminto, joka on määritelty tietylle objektille. Objektiin pääsyä voidaan rajoittaa rajoittamalla mahdollisia pääsymenetelmiä.

Määritelmä 2

Objektin omistaja– kohteen luonut kohde on vastuussa esineen sisältämien tietojen luottamuksellisuudesta ja pääsystä niihin.

Määritelmä 3

Objektin käyttöoikeus– oikeus päästä käsiksi kohteeseen yhdellä tai useammalla pääsymenetelmällä.

Määritelmä 4

Kulunvalvonta– Sääntöjoukko, joka määrittää kullekin subjektille, objektille ja menetelmälle käyttöoikeuksien olemassaolon tai puuttumisen tietyllä menetelmällä.

Kulunvalvontamallit

Yleisimmät kulunvalvontamallit:

  • harkinnanvarainen (valikoiva) kulunvalvontamalli;
  • arvovaltainen (pakollinen) kulunvalvontamalli.

Harkinnanvarainen

  • kaikilla esineillä on omistaja;
  • omistajalla on oikeus mielivaltaisesti rajoittaa kohteiden pääsyä tähän esineeseen;
  • kullekin subjekti-objekti-menetelmäjoukolle käyttöoikeus on määritelty yksilöllisesti;
  • vähintään yhden etuoikeutetun käyttäjän (esimerkiksi järjestelmänvalvojan) läsnäolo, jolla on mahdollisuus käyttää mitä tahansa objektia millä tahansa pääsymenetelmällä.

Harkinnanvaraisessa mallissa käyttöoikeuksien määritelmä on tallennettu pääsymatriisiin: riveillä luetellaan aiheet ja sarakkeilla objektit. Jokainen matriisisolu tallentaa tietyn kohteen käyttöoikeudet tiettyyn kohteeseen. Nykyaikaisen käyttöjärjestelmän pääsymatriisi vie kymmeniä megatavuja.

Valtuutettu Mallille on ominaista seuraavat säännöt:

  • Jokainen kohde on luokiteltu luottamukselliseksi. Salassapitoluokituksella on numeerinen arvo: mitä suurempi se on, sitä korkeampi on kohteen salaisuus;
  • Jokaisella pääsykohteella on selvitystaso.

Tässä mallissa kohde saa pääsyn kohteeseen vain, jos kohteen turvataso ei ole pienempi kuin kohteen suojausluokitus.

Auktoritatiivisen mallin etuna on, että ei tarvitse tallentaa suuria määriä kulunvalvontainformaatiota. Jokainen subjekti tallentaa vain käyttöoikeustasonsa arvon ja jokainen objekti tallentaa suojausluokituksensa arvon.

Kulunvalvontamenetelmät

Kulunvalvontamenetelmien tyypit:

    Kulunvalvonta luetteloiden perusteella

    Menetelmän ydin on vastaavuuksien asettaminen: jokaiselle käyttäjälle määritetään luettelo resursseista ja niiden käyttöoikeuksista tai jokaiselle resurssille määritetään luettelo käyttäjistä ja käyttöoikeuksista näihin resursseihin. Listojen avulla on mahdollista määrittää oikeudet jokaiselle käyttäjälle. On mahdollista lisätä oikeuksia tai kieltää pääsy. Listapääsymenetelmää käytetään käyttöjärjestelmien ja tietokantojen hallintajärjestelmien turvallisuusalijärjestelmissä.

    Auktoriteettimatriisin käyttö

    Valtuutusmatriisia käytettäessä käytetään pääsymatriisia (authority table). Pääsymatriisissa tietokonejärjestelmään pääsyn saaneiden henkilöiden tunnisteet kirjataan riveille ja tietokonejärjestelmän objektit (resurssit) sarakkeisiin.

    Jokainen matriisisolu voi sisältää resurssin nimen ja koon, käyttöoikeuden (luku-, kirjoitus- jne.), linkin toiseen tietorakenteeseen, joka määrittää käyttöoikeudet, linkin käyttöoikeuksia hallitsevaan ohjelmaan jne.

    Tämä menetelmä on varsin kätevä, koska kaikki tiedot käyttöoikeuksista on tallennettu yhteen taulukkoon. Matriisin haittana on sen mahdollinen hankalia.

    Pääsyn hallinta yksityisyystasojen ja luokkien mukaan

    Salassapitoasteen mukainen ero on jaettu useisiin tasoihin. Jokaisen käyttäjän käyttöoikeudet voidaan asettaa sen enimmäisyksityisyyden tason mukaan, jolle hän on hyväksytty.

    Salasanan pääsynhallinta

    Salasanaerottelu käyttää menetelmiä, joiden avulla kohteet pääsevät objekteihin salasanalla. Jatkuva salasanojen käyttö aiheuttaa haittaa käyttäjille ja viiveitä. Tästä syystä salasanaerottelumenetelmiä käytetään poikkeustilanteissa.

Käytännössä on yleistä yhdistää erilaisia ​​kulunvalvontamenetelmiä. Esimerkiksi kolmea ensimmäistä menetelmää tehostetaan salasanasuojauksella. Kulunvalvonnan käyttö on suojatun tietokonejärjestelmän edellytys.

Aiheeseen liittyviä julkaisuja: