- •Вопросы к экзамену по защите информации.
- •Реальная эффективность Экономический аспект
- •Технический аспект
- •Основные причины проблем
- •Системность при защите информации
- •Качество и его подтверждение
- •Модели разграничения доступа
- •Снифферы пакетов
- •Отказ в обслуживании (Denial of Service - DoS)
- •Парольные атаки
- •Атаки типа Man-in-the-Middle
- •Атаки на уровне приложений
- •Сетевая разведка
- •Злоупотребление доверием
- •Переадресация портов
- •Несанкционированный доступ
- •Вирусы и приложения типа "троянский конь"
- •8.3. Обеспечение целостности информации в пэвм
- •3. Разграничение доступа к элементам защищаемой информации.
- •IpSec в работе
- •Технические средства пространственного и линейного зашумления.
- •Механизм применения разрешений
- •Порядок применения разрешений
- •Владение папкой или файлом
- •Возможности применения криптографических методов в асод
- •Основные требования к криптографическому закрытию информации в асод.
- •Методы криптографического преобразования данных.
- •Усложненные замены или подстановки (таблица Вижинера)
- •Борьба со спамом и вирусами
- •Основные методы и средства защиты от атак на электронную переписку
- •«Сильные» криптоалгоритмы
- •Защита корпоративной почтовой системы
- •Государственная система защиты информации
- •Лицензирование
- •Сертификация средств защиты и аттестование объектов информатизации
- •Аттестация
- •Основные цели планирования
- •4.1.2. Отечественная нормативно-правовая база, под действие которой подпадают ас различного назначения
- •6.2.1.2. Свойства нечетких множеств.
- •6.2.1.3 Операции над нечеткими множествами.
- •6.2.2. Нечеткие отношения
- •Оранжевая книга Национального центра защиты компьютеров сша (tcsec)
- •1. Концепция безопасности системы защиты
- •2. Гарантированность системы защиты
- •Гармонизированные критерии Европейских стран (itsec)
- •Концепция защиты от нсд Госкомиссии при Президенте рф
- •Рекомендации х.800
- •Действие 1. С чего начинать?
- •Установить перечень персональных данных, обрабатываемых на предприятии
- •Способы обработки персональных данных?
- •Определить состав и объем обрабатываемых персональных данных?
- •Провести предварительную классификацию информационных систем пДн
- •Полученные результаты и способы защиты персональных данных
- •Действие 2. Подача уведомления в уполномоченный орган Обработка персональных данных без уведомления.
- •Подача уведомления в Роскомнадзор.
- •Действие 3. Организационные меры защиты персональных данных
- •Действие 4. Техническая защита персональных данных
- •Действие 5. Выбор исполнителя
- •Выполнение работ своими силами
- •Привлечение специализированной организации
- •Асимметричные алгоритмы
Механизм применения разрешений
В пункте 5.1 было сказано, что каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List). Структура ACL приведена в табл. 5.4. Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry).
Таблица 5.4. |
|||
ACL |
|
Идентификаторы безопасности |
Разрешения |
ACE1 |
SID1 |
Разрешения для SID1 |
|
ACE2 |
SID2 |
Разрешения для SID2 |
|
ACE3 |
SID3 |
Разрешения для SID3 |
|
,,, |
,,, |
,,, |
|
ACEn |
SIDn |
Разрешения для SIDn |
|
В таблице перечислены идентификаторы безопасности учетных записей пользователей, групп или компьютеров (SID) и соответствующие разрешения для них. На рисунках 5.36 или 5.37 вместо SID-ов показаны имена занесенных в ACL пользователей и групп. В разделе 4 говорилось, что при входе пользователя в сеть (при его регистрации в домене) в текущую сессию пользователя на компьютере контроллер домена пересылает маркер доступа, содержащий SID-ы самого пользователя и групп, членом которых он является. Когда пользователь пытается выполнить какое-либо действие с папкой или файлом (и при этом запрашивает определенный вид доступа к объекту), система сопоставляет идентификаторы безопасности в маркере доступа пользователя и идентификаторы безопасности, содержащиеся в ACL объекта. При совпадении тех или иных SID-ов пользователю предоставляются соответствующие разрешения на доступ к папке или файлу.
Заметим, что когда администратор изменяет членство пользователя в группах (включает пользователя в новую группу или удаляет из какой-либо группы), то маркер доступа пользователя при этом автоматически НЕ изменяется. Для получения нового маркера доступа пользователь должен выйти из системы и снова войти в нее. Тогда он получит от контроллера домена новый маркер доступа, отражающий смену членства пользователя в группах
Порядок применения разрешений
Принцип применения NTFS-разрешений на доступ к файлу или папке тот же, что и для сетевых разрешений:
сначала проверяются запреты на какие-либо виды доступа (если есть запреты, то данный вид доступа не разрешается);
затем проверяется набор разрешений (если есть разные виды разрешений для какого-либо пользователя и групп, в которые входит данный пользователь, то применяется суммарный набор разрешений).
Но для разрешений NTFS схема немного усложняется. Разрешения применяются в следующем порядке:
явные запреты;
явные разрешения;
унаследованные запреты;
унаследованные разрешения.
Если SID пользователя или SID-ы групп, членом которых является данный пользователь, не указаны ни в явных, ни в унаследованных разрешениях, то доступ пользователю будет запрещен.