 |
Описание Мандатного принципа контроля доступа
|
|
|
|
Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
Комплекс средств защиты (КСЗ) при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и иерархические категории вклассификационном уровне субъекта включают в себя все иерархические категории вклассификационном уровне объекта;
субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории вклассификационном уровне субъекта включаются в иерархические категории вклассификационном уровне объекта.
|
|
|
Реализация мандатных правил разграничения доступа должна предусматривать возможность сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными правилами разграничения доступа.
Задача № 10
В автоматизированной информационной системе имеется шесть санкционированных пользователей (субъектов) и двенадцать информационных единиц (объектов). Управление доступом субъектов к объектам осуществляется на основе мандатного принципа разграничения доступа. Классификационные уровни объектов и субъектов приведены в таблицах.
| Объекты доступа | ||||||||||||
| F1 | F2 | F3 | F4 | F5 | F6 | F7 | F8 | F9 | F10 | F11 | F12 | |
| Категории секрет-ности объектов |
Категории секретности:
1 – особой важности;
2 – совершенно секретно;
3 – секретно.
| Субъекты доступа | ||||||
| User_1 | User_2 | User_3 | Admin | User_4 | User_5 | |
| Категории секрет-ности субъектов |
Матрица доступа
| Объекты доступа | ||||||||||||||
| F1 | F2 | F3 | F4 | F5 | F6 | F7 | F8 | F9 | F10 | F11 | F12 | |||
| Субъекты доступа | User_1 | RW | - | - | - | - | R | - | W | - | - | - | RW | |
| User_2 | - | R | - | RW | R | - | - | - | - | - | - | - | ||
| User_3 | - | - | - | - | - | - | - | - | W | - | R | - | ||
| Admin | - | - | - | - | - | - | - | - | - | - | - | - | ||
| User_4 | - | - | - | RW | - | - | - | W | - | - | R | RW | ||
| User_5 | - | - | - | - | R | - | RW | - | - | - | - | W | ||
Допустимые типы доступа:
R – чтение;
W – запись;
RW – чтение и запись.
Определить результаты предоставления доступа субъектам к объектам для следующих комбинаций запросов:
| Запрос на доступ | ||
| Субъект | Операция | Объект |
| User_1 | Чтение | File_1 |
| User_1 | Запись | File_1 |
| User_2 | Чтение | File_4 |
| User_2 | Запись | File_3 |
| User_3 | Запись | File_3 |
| Admin | Чтение | File_1 |
| User_4 | Чтение | File_12 |
| User_5 | Запись | File_11 |
|
|
|
Задача № 11
Придумайте запоминающийся лозунг, состоящий из десяти букв, и зашифруйте нижеприведенное сообщение с использованием простого квадратного шифра.
Сообщение:
АБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ
Простой квадратный шифр.
Запоминается лозунг, состоящий из десяти букв, например: “эта коробка”. Затем составляется квадрат 10 ´ 10, лозунг записывается в первый столбец квадрата, далее по горизонталям таблицы записываются буквы в порядке алфавита. Лозунг придумывается таким образом, чтобы в таблице появились все буквы алфавита. Теперь каждая буква алфавита шифруется с помощью двузначных чисел – номеров строки и столбца.
Пример Простого квадратного шифра.
| Э | Ю | Я | А | Б | В | Г | Д | Е | Ж | |||||||||||||
| Т | У | Ф | Х | Ц | Ч | Ш | Щ | Ъ | Ы | |||||||||||||
| А | Б | В | Г | Д | Е | Ж | З | И | 
| |||||||||||||
| К | Л | М | Н | О | П | Р | С | Т | У | |||||||||||||
| О | П | Р | С | Т | У | Ф | Х | Ц | Ч | |||||||||||||
| Р | С | Т | У | Ф | Х | Ц | Ч | Ш | Щ | |||||||||||||
| О | П | Р | С | Т | У | Ф | Х | Ц | Ч | |||||||||||||
| Б | В | Г | Д | Е | Ж | З | И |
| Й | |||||||||||||
| К | Л | М | Н | О | П | Р | С | Т | У | |||||||||||||
| А | Б | В | Г | Д | Е | Ж | З | И |
| |||||||||||||
Задача № 12
Придумайте запоминающийся ключ и зашифруйте нижеприведенное сообщение с использованием Периодического раздельного шифра.
Сообщение:
«Информационная безопасность»
Пример:
Периодический раздельный шифр («гамбеттовский»).
Буквы открытого текста, преобразованные в числовой ряд в соответствии с алфавитным порядком, видоизменяются числовым же ключом (короткой гаммой), накладываемым последовательно, периодически.
Например, зашифруем фразу «письма не получила». Подставляем вместо букв числовые значения их места в русском алфавите. Пусть ключом будет слово «Европа», которое в числовом выражении имеет вид: 6, 3, 18, 16, 17, 1. Наложим ключ (гамму) на цифровой текст (фразу) столько раз, сколько он на ней уместится, и произведём сложение вертикальных пар чисел. В результате получаем шифротекст.
Ключ: 6 3 18 16 17 1 6 3 18 16 17 1 6 3 18 16
Текст: 17 9 19 30 14 1 15 6 17 16 13 21 25 9 13 1
|
|
|
Шифротекст: 23 12 37 46 31 2 21 9 35 32 30 22 31 12 31 17
Справочная информация:
А Б В Г Д Е Ё Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Ъ Ы Ь Э Ю Я
1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930313233
|
|
|
