 |
D. Для восстановления сертификата из резервной копии выполните следующие действия.
|
|
|
|
1. Перенесите созданный на предыдущем этапе файл с расширениемсертификат.рfх, на компьютер (Вам необходимо вспомнить путь к копии Сертификата).
2. Запустите оснастку Сертификаты, для этого выберите кнопку Пуск панели задач и далее Все программы/Администрирование/Сертификаты
3. Вокне структуры оснастки Сертификаты откройте папку Доверенные корневые сертификаты, затем палку Сертификаты. В правом подокне появится список Ваших сертификатов.
4. Щелкните правой кнопкой мыши на пустом месте правого подокна.
5. В появившемся контекстном меню выберите команду Все задачи.
6. В ее подменю выберите команду Импорт (Import).
7. Запустится Мастер импорта сертификатов.
8. Следуйте указаниям мастера — укажите местоположение файла сертификат.рfх и сообщите пароль защиты данного файла.
9. Для начала операции импорта нажмите кнопки Готово и ОК.
10. После завершения процедуры импорта нажмите кнопку ОК и закройте окно Мастера импорта.
В результате Ваших действий текущий пользователь или Вы сами получите возможность работать с зашифрованными данными на этом компьютере.
Задания для самостоятельной работы
1. Экспортируйте сертификат №2из папки Промежуточные центры сертификации Rоо1 Agency (сохраните иллюстрации для отчета).
2. Импортируйте экспортированный сертификат в папку Личные (сохраните иллюстрации для отчета).
Контрольные вопросы
1. Что входит в криптосистему?
2. Сравните методы шифрования с открытым и закрытым ключом (асимметричное и симметричное шифрование).
3. Что такое mmc?
4. Назначение шифрующей файловой системы EFS.
Тема 3. Методы разграничение доступа
Введение
Цели изучения темы
· изучить методы разграничения доступа пользователей и процессов к ресурсам защищенной информационной системы.
|
|
|
Требования к знаниям и умениям
Студент должен знать:
· методы разграничения доступа;
· методы управления доступом, предусмотренные в руководящих документах Гостехкомиссии.
Студент должен уметь:
· использовать методы разграничения доступа.
Ключевой термин
Ключевой термин: разграничение доступа.
При разграничении доступа устанавливаются полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Второстепенные термины
· мандатное управление доступом;
· дискретное управление доступом;
· матрица полномочий;
· уровень секретности и категория субъекта.
Структурная схема терминов
Методы разграничения доступа
После выполнения идентификации и аутентификации подсистема защиты устанавливает полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю и правами по доступу к каждому ресурсу из списка.
Существуют следующие методы разграничения доступа:
1. Разграничение доступа по спискам.
2. Использование матрицы установления полномочий.
3. Разграничение доступа по уровням секретности и категориям.
4. Парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах безопасности операционных систем и систем управления базами данных.
|
|
|
Пример (операционная система Windows 2000) разграничения доступа по спискам для одного объекта показан на рис.
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Рисунок
Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток – пустые).
Фрагмент матрицы установления полномочий показан в таб.
Таблица
| Субъект | Диск с:\ | Файл d:\prog. exe | Принтер |
| Пользователь 1 | Чтение Запись Удаление | Выполнение Удаление | Печать Настройка параметров |
| Пользователь 2 | Чтение | Выполнение | Печать с 9:00 до 17:00 |
| Пользователь 3 | Чтение Запись | Выполнение | Печать с 17:00 до 9:00 |
Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов информационной системы по уровням секретности и категориям.
При разграничении по степени секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен, например, пользователь имеющий доступ к данным "секретно", также имеет доступ к данным "конфиденциально" и "общий доступ".
При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы информационной системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей. В качестве примера, где используются категории пользователей, приведем операционную систему Windows 2000, подсистема безопасности которой по умолчанию поддерживает следующие категории (группы) пользователей: "администратор", "опытный пользователь", "пользователь" и "гость". Каждая из категорий имеет определенный набор прав. Применение категорий пользователей позволяет упростить процедуры назначения прав пользователей за счет применения групповых политик безопасности.
|
|
|
Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
Разграничение прав доступа является обязательным элементом защищенной информационной системы. Напомним, что еще в "Оранжевой книге США" были введены понятия:
· произвольное управление доступом;
· принудительное управление доступом.
|
|
|
