Для чего создается система разграничения доступа (срд) компьютерной системы, какие функциональные блоки она включает. Поясните работу функциональной схемы диспетчера доступа.
СРД - Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
Функциональная схема диспетчера доступа:
Рис. 1.
Диспетчер доступа реализуется в виде аппаратно-программных механизмов и обеспечивает необходимую дисциплину разграничения доступа субъектов к объектам доступа.
Диспетчер доступа разграничивает доступ к внутренним ресурсам компьютерной системе субъектов уже получивших доступ к этим системам.
Запрос на доступ i-го субъекта к j-му объекту поступает в блок управления БД, полномочий и характеристик доступа, а также в блок регистрации событий. Полномочия субъекта и характеристики объекта доступа анализируются в блоке принятия решений, который выдает сигнал разрешения выполнения запроса, либо сигнал отказа в допуске.
Если число попыток субъектов допуска получить доступ к запрещенным для него объектам превысит определенную границу (обычно 3 раза), то блок принятия решения на основании данных блока регистрации выдаст сигнал «НСД к информации (НСДИ)» администратору системы безопасности (СБ).
Администратор может блокировать работу субъекта, нарушающего правила доступа в системе и выявить причину нарушения.
Кроме преднамеренных попыток НСДИ диспетчер фиксирует нарушения правил разграничений явившихся следствием отказов, сбоев аппаратных и программных средств.
Полномочия пользователей устанавливаются администратором СУБД. Обычно стандартным идентификатором пользователя является пароль, передаваемый в зашифрованном виде.
Функции системы разграничения доступа
реализация правил разграничения доступа субъектов и их процессов к данным;
реализация ПРД субъектов и их процессов к устройствам создания твёрдых копий;
изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.
Кроме того, вышеуказанный руководящий документ предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:
идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
регистрацию действий субъекта и его процесса;
предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
тестирование;
очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
учёт выходных печатных и графических форм и твёрдых копий в АС;
контроль целостности программной и информационной части как СРД, так и обеспечивающих её средств.