Recherche

Littérature
Nature
Pour les enfants
Physique
Le monde qui nous entoure
Saisons

Les probabilités d'événements indépendants sont multipliées. Théorème d'addition de probabilités d'événements conjoints

Maison Littérature

Contrôle d'accès

Nom du paramètre Signification
Sujet de l'article : Contrôle d'accès
Rubrique (catégorie thématique) Affaires militaires

Figure 8.2. Coût et niveau des technologies d'authentification

4. La nouvelle direction l'authentification est prouver l'authenticité d'un utilisateur distant par emplacement . Donné mécanisme de défense basé sur l’utilisation d’un système de navigation spatiale tel que le GPS (Global Positioning System). Un utilisateur disposant d'un équipement GPS envoie à plusieurs reprises les coordonnées de satellites spécifiés situés dans la ligne de mire. Le sous-système d’authentification, connaissant les orbites des satellites, peut déterminer la position de l’utilisateur avec une précision allant jusqu’à un mètre. L'équipement GPS est simple et fiable à utiliser et relativement peu coûteux. Cela lui permet d'être utilisé dans les cas où un utilisateur distant autorisé doit se trouver dans un emplacement spécifique.

Résumant les capacités des mécanismes et moyens d'authentification, par niveau sécurité des informations Soulignons trois types d'authentification: 1) statique ; 2) durable ; 3) constante.

Authentification statique fournit une protection uniquement contre les accès non autorisés dans les systèmes où un attaquant ne peut pas lire les informations d'authentification pendant une session de travail. Les mots de passe persistants traditionnels sont un exemple d'outil d'authentification statique. Leur efficacité dépend principalement de la difficulté de deviner les mots de passe et de leur protection. Pour compromettre l'authentification statique, un attaquant peut espionner, deviner, deviner ou intercepter les données d'authentification.

Authentification forte utilise des données d'authentification dynamique qui changent à chaque session. Les implémentations d'authentification forte sont des systèmes qui utilisent des mots de passe à usage unique et des signatures électroniques. L'authentification forte offre une protection contre les attaques dans lesquelles un attaquant peut intercepter les informations d'authentification et les utiliser lors de sessions ultérieures. Dans le même temps, l'authentification forte n'offre pas de protection contre les attaques actives, au cours desquelles un attaquant masqué peut rapidement (pendant la session d'authentification) intercepter, modifier les informations et les insérer dans le flux de données transmis.

Authentification constante assure l'identification de chaque bloc de données transmis, ce qui le protège de toute modification ou insertion non autorisée. Exemple de mise en œuvre type spécifié l'authentification est l'utilisation d'algorithmes pour générer des signatures électroniques pour chaque bit d'information transmis.

Une fois l'identification et l'authentification terminées, il est extrêmement important d'établir les pouvoirs (ensemble de droits) du sujet pour le contrôle ultérieur de l'utilisation autorisée des ressources informatiques disponibles dans l'AS. Ce processus est généralement appelé délimitation ( contrôle logique) accéder.

Typiquement, les pouvoirs du sujet sont représentés par : une liste de ressources, accessible à l'utilisateur, et les droits d'accès à chaque ressource de la liste. Les ressources informatiques comprennent les programmes, les données, les périphériques logiques, la mémoire, le temps processeur, la priorité, etc.

On peut distinguer ce qui suit méthodes de contrôle d'accès: 1) selon les listes ; 2) en utilisant la matrice d'établissement des autorités ; 3) par niveaux et catégories de confidentialité ; 4) mot de passe.

1. Quand contrôle d'accès basé sur des listes les correspondances suivantes sont précisées : pour chaque utilisateur - une liste des ressources et des droits d'accès à celles-ci, ou pour chaque ressource - une liste des utilisateurs et leurs droits d'accès à cette ressource. Les listes vous permettent de définir les droits de l'utilisateur. Il n'est pas difficile d'ajouter des droits ou de refuser explicitement l'accès ici. Les listes sont utilisées dans la plupart des systèmes d'exploitation et des SGBD.

2. Utiliser la matrice d'autorité implique l’utilisation d’une matrice d’accès (table d’autorité). Dans la matrice spécifiée, les lignes sont les identifiants des sujets qui ont accès à l'AS, et les colonnes sont les objets (ressources d'information) de l'AS. Chaque élément de la matrice peut contenir le nom et la taille de la ressource fournie, des droits d'accès (lecture, écriture, etc.), un lien vers une autre structure de l'information, précisant les droits d'accès, un lien vers le programme qui gère les droits d'accès, etc.
Publié sur réf.rf
(Tableau 8.3). Cette méthode fournit une approche plus unifiée et plus pratique, puisque toutes les informations sur les autorisations sont stockées sous la forme d'un seul tableau, et non sous la forme de différents types de listes. Les inconvénients de la matrice sont son éventuel encombrement et son caractère non optimal (la plupart des cellules sont vides).

Tableau 8.3

Contrôle d'accès - concept et types. Classement et caractéristiques de la catégorie « Contrôle d'accès » 2017, 2018.

Système automatisé ASOMI prévoit la possibilité d'une différenciation flexible des droits d'accès des utilisateurs aux informations métrologiques stockées. Cette démarche assure la protection des informations stockées et traitées, à savoir :

  • limiter les droits de lecture, de modification ou de destruction ;
  • la possibilité de stocker et de transférer des informations entre les objets ASOMI sous une forme qui complique considérablement sa reconnaissance en cas d'accès non autorisé ou entretien(notamment en utilisant des technologies de cryptage) ;
  • assurer l'intégrité des informations, ainsi que la disponibilité des informations pour les organes de direction et les utilisateurs autorisés ;
  • éliminer les fuites d'informations pendant le traitement et le transfert entre les objets informatiques.

Le contrôle d'accès des utilisateurs du système ASOMI est mis en œuvre dans le cadre des groupes d'entités suivants : données de reporting et opérationnelles (protocoles), données de référence, journaux d'historique (enregistrement des actions des utilisateurs et données sur l'historique des modifications des entités), données comptables (Cartes SI). Examinons chacun des groupes en détail ci-dessous.

L'accès aux informations d'identification est défini à travers les concepts conceptuels suivants :

  • Personne responsable du traitement état actuel les instruments de mesure sont un employé de l'entreprise qui, dans le statut actuel de l'instrument de mesure, doit effectuer les actions déterminées par ce statut et transférer l'instrument de mesure à un statut ultérieur dans le cycle de travail de l'un des ouvrages métrologiques. Déterminé à partir des paramètres de l’état actuel du SI. Par exemple, une telle personne est une personne jouant le rôle d'un répartiteur (ci-après dénommé le répartiteur), qui a accepté le SI pour effectuer des réparations et est ensuite obligée de le transférer à la personne jouant le rôle de réparateur (ci-après dénommé le Réparateur).
  • La personne matériellement responsable de l'instrument de mesure est un employé de l'entreprise qui est financièrement responsable de l'instrument de mesure ou qui l'exploite. Déterminé dans la carte d'enregistrement SI. En règle générale, une telle personne est le maître en charge de ce SI.
  • Dirigeants des « deux premières » personnes - littéralement par définition. Déterminé à partir de structure organisationnelle entreprises pour au principe suivant: ils sont les gestionnaires des personnes des deux premières catégories « Personne responsable du traitement de l'état actuel du SI » et « Personne matériellement responsable du SI » ; ou bien ils sont à la tête d'une division supérieure de l'entreprise, qui comprend (subordonnée à) une unité structurelle où les personnes des deux premières catégories travaillent comme artistes interprètes ou exécutants. Dans le cadre d'ASOMI, ce principe conceptuel conduit au fait que les informations sur les instruments de mesure sont accessibles à la fois à tous les cadres supérieurs du Métrologue et à tous les cadres supérieurs des interprètes de certains MR (par exemple, le chef d'atelier a accès à informations sur les instruments de mesure dont ses contremaîtres sont responsables).
  • La personne responsable de la surveillance et du contrôle métrologiques est par exemple un employé d'un service d'étalonnage, de réparation ou un métrologue. unité structurelle, exerçant des fonctions de surveillance et de contrôle. Conformément à ses fonctions, il a le droit d'avoir accès à la lecture des informations comptables relatives à tous les SI qui lui sont attribués.

Ainsi, les salariés de l'entreprise qui appartiennent à l'une des quatre (éventuellement plusieurs) catégories énumérées ci-dessus, en relation avec un SI spécifique, ont la possibilité de consulter sur leur lieu de travail des informations sur l'état actuel de chaque SI et, par conséquent, le les données de la carte d'enregistrement SI, y compris les données sur l'historique des travaux métrologiques.

Parallèlement, un salarié de l'entreprise qui est à l'heure actuelle time est responsable du traitement de l'état actuel du SI, a le droit de modifier les informations SI associées à ce statut et de transférer le SI vers un statut ultérieur correspondant au cycle de travail MR actuel, mais n'a pas le droit d'influencer le historique des transitions selon le diagramme de statut SI.

Examinons maintenant les règles et procédures d'accès aux données de référence. Des fonctions telles que la visualisation et l'utilisation des données de référence pour remplir leurs responsabilités de support métrologique sont disponibles pour tous les utilisateurs d'ASOMI.

Dans le même temps, l'accès au réapprovisionnement et à la modification des données de référence n'est autorisé qu'aux employés de l'entreprise qui remplissent le rôle d'administrateur ou de contrôleur dans le système ASOMI. Ils sont entièrement responsables de la pertinence et de l'exactitude des informations contenues dans les annuaires. Lors du remplissage des annuaires concernant la structure des droits d'accès dans ASOMI, les données des annuaires inclus dans le bloc de référence « Structure des droits d'accès dans ASOMI » sont utilisées. Lors du remplissage d'ouvrages de référence spécifiques (supplémentaires), les données de la NTD (documentation normative et technique) sur les instruments de mesure, les données du Registre national des instruments de mesure approuvés pour une utilisation dans la Fédération de Russie et d'autres sources fiables sont utilisées.

Les règles et procédures d’accès au reporting et aux données opérationnelles (protocoles) sont organisées comme suit. L'accès aux rapports standards implémentés dans ASOMI est organisé par rôles dans le système. Parallèlement, pour chaque poste, est indiquée une liste de rapports standards (une sélection dans la liste générale de tous les rapports standards ASOMI) qu'un salarié occupant ce poste peut générer depuis son lieu de travail.

Dans le cadre du reporting, l'accès à des fonctions spéciales peut être organisé. Un exemple d'une telle fonction pourrait être la recherche et l'obtention d'informations sur n'importe lequel des instruments de mesure enregistrés dans le système en fonction de ses différents paramètres. Par exemple, le maître pourra afficher sous forme de rapport une liste de tous les instruments de mesure ; enregistré auprès d'ASOMI, afin, par exemple, de trouver des options de remplacement de votre propre instrument de mesure par le même instrument de mesure, qui est conservé dans un atelier voisin.

L'accès aux données opérationnelles (protocoles de travail des utilisateurs) est autorisé uniquement aux administrateurs ASOMI et au métrologue en chef de l'entreprise.

Les règles et la procédure d'attribution et de modification de l'accès aux données d'information ne peuvent être attribuées ou modifiées que par l'administrateur ASOMI.


Si vous êtes intéressé par ce produit ou si vous avez des questions,
questions que vous aimeriez poser, écrivez :

Objectif : maîtriser les techniques d'échange de fichiers entre utilisateurs d'un réseau informatique local. Informations théoriquesÀ travail de laboratoire Principaux appareils pour transfert rapide des informations sur longues distances il existe actuellement des réseaux de télégraphe, de radio, de téléphone, de télévision, de télécommunication basés sur des systèmes informatiques. Le transfert d'informations entre ordinateurs existe depuis l'émergence des ordinateurs. Il vous permet d'organiser travailler ensemble séparer les ordinateurs, résoudre un problème en utilisant plusieurs ordinateurs, partager des ressources et résoudre de nombreux autres problèmes. Sous réseau informatique comprendre l'ensemble du matériel et des logiciels conçus pour l'échange d'informations et l'accès des utilisateurs à ressources communes réseaux. L'objectif principal des réseaux informatiques est de fournir un accès partagé des utilisateurs à des informations (bases de données, documents, etc.) et à des ressources ( disques durs, imprimantes, lecteurs de CD-ROM, modems, accès au réseau mondial, etc.). Abonnés au réseau– les objets qui génèrent ou consomment des informations. Les abonnés au réseau peuvent être des ordinateurs individuels, des robots industriels, des machines CNC (machines à commande numérique par ordinateur), etc. Tout abonné au réseau est connecté à la station. Gare-équipement qui remplit des fonctions liées à la transmission et à la réception d’informations. Pour organiser l'interaction entre les abonnés et les stations, un support de transmission physique est nécessaire. Support de transmission physique– les lignes ou espaces de communication dans lesquels se propagent les signaux électriques et les équipements de transmission de données. L'une des principales caractéristiques des lignes ou canaux de communication est le taux de transfert de données (bande passante). Taux de transfert de données– le nombre de bits d'information transmis par unité de temps. Généralement, les taux de transfert de données sont mesurés en bits par seconde (bps) et en multiples de Kbps et Mbps. Relations entre unités de mesure : 1 Kbit/s = 1024 bit/s ; 1 Mbit/s = 1 024 Kbit/s ; 1 Gbit/s =1024 Mbit/s. Un réseau de communication est construit sur la base du support de transmission physique. Ainsi, un réseau informatique est un ensemble de systèmes d'abonnés et d'un réseau de communication. Types de réseaux. Selon le type d'ordinateurs utilisés, il existe homogène Et réseaux hétérogènes . Les réseaux hétérogènes contiennent des ordinateurs incompatibles avec les logiciels. En fonction des caractéristiques territoriales, les réseaux sont divisés en locale Et mondial.
  • Basique
  • composants du réseau de communication :
  • émetteur;
  • récepteur;
  • messages (données numériques d'un certain format : fichier de base de données, tableau, réponse à une requête, texte ou image) ; supports de transmission (support de transmission physique et équipements spéciaux qui assurent la transmission de l'information). Topologie des réseaux locaux. La topologie d'un réseau informatique est généralement comprise comme
  • La topologie détermine les exigences en matière d'équipement, le type de câble utilisé, les méthodes de contrôle des communications, la fiabilité opérationnelle et la possibilité d'extension du réseau. Il existe trois principaux types de topologies de réseau : en bus, en étoile et en anneau.
Un bus dans lequel tous les ordinateurs sont connectés en parallèle à une ligne de communication et les informations de chaque ordinateur sont transmises simultanément à tous les autres ordinateurs. Selon cette topologie, un réseau peer-to-peer est créé. Avec une telle connexion, les ordinateurs ne peuvent transmettre des informations qu'une seule à la fois, puisqu'il n'y a qu'une seule ligne de communication.
Réseaux locaux(LAN, Local Area Network) connectent des abonnés situés dans une petite zone, généralement pas plus de 2 à 2,5 km. Locale réseaux informatiques permettra d'organiser le travail des entreprises et des institutions individuelles, y compris éducatives, et de résoudre le problème de l'organisation de l'accès aux ressources techniques et informationnelles communes. Réseaux mondiaux(WAN, Wide Area Network) connectent des abonnés situés à des distances considérables les uns des autres : dans différents quartiers de la ville, dans différentes villes, pays, différents continents(par exemple, Internet).

L'interaction entre les abonnés d'un tel réseau peut s'effectuer sur la base de lignes de communication téléphonique, de communications radio et de systèmes de communication par satellite. Les réseaux informatiques mondiaux résoudront le problème de l'unification des ressources d'information de toute l'humanité et de l'organisation de l'accès à ces ressources.


  • Avantages :

  • facilité d'ajout de nouveaux nœuds au réseau (cela est possible même lorsque le réseau est en cours d'exécution) ;

  • le réseau continue de fonctionner même en cas de panne d'ordinateurs individuels ;

équipement réseau peu coûteux en raison de l'utilisation généralisée de cette topologie.


  • Défauts:

  • complexité des équipements réseau ;

  • difficulté à diagnostiquer les dysfonctionnements des équipements réseau en raison du fait que tous les adaptateurs sont connectés en parallèle ;

  • une rupture de câble entraîne la panne de l'ensemble du réseau ; limitation sur longueur maximale

lignes de communication en raison du fait que les signaux sont affaiblis pendant la transmission et ne peuvent en aucun cas être restaurés.

L'interaction entre les abonnés d'un tel réseau peut s'effectuer sur la base de lignes de communication téléphonique, de communications radio et de systèmes de communication par satellite. Les réseaux informatiques mondiaux résoudront le problème de l'unification des ressources d'information de toute l'humanité et de l'organisation de l'accès à ces ressources.


  • Étoile (étoile), dans laquelle d'autres ordinateurs périphériques sont connectés à un ordinateur central, chacun utilisant sa propre ligne de communication distincte. Tous les échanges d'informations s'effectuent exclusivement via l'ordinateur central, qui supporte une charge très lourde et est donc destiné uniquement à la maintenance du réseau.

  • la panne d'un ordinateur périphérique n'affecte en rien le fonctionnement du reste du réseau ;

  • tous les points de connexion sont regroupés en un seul endroit, ce qui permet de contrôler facilement le fonctionnement du réseau et de localiser les défauts du réseau en déconnectant certains périphériques du centre ;

  • il n'y a pas d'atténuation du signal.

équipement réseau peu coûteux en raison de l'utilisation généralisée de cette topologie.


  • une panne de l'ordinateur central rend le réseau totalement inutilisable ;

  • limitation stricte du nombre d'ordinateurs périphériques ;

  • consommation de câble importante.

Anneau, dans lequel chaque ordinateur transmet toujours des informations à un seul ordinateur suivant dans la chaîne et reçoit des informations uniquement de l'ordinateur précédent dans la chaîne, et cette chaîne est fermée. La particularité de l'anneau est que chaque ordinateur restitue le signal qui lui arrive, donc l'atténuation du signal dans tout l'anneau n'a pas d'importance, seule l'atténuation entre ordinateurs voisins est importante.

L'interaction entre les abonnés d'un tel réseau peut s'effectuer sur la base de lignes de communication téléphonique, de communications radio et de systèmes de communication par satellite. Les réseaux informatiques mondiaux résoudront le problème de l'unification des ressources d'information de toute l'humanité et de l'organisation de l'accès à ces ressources.


  • il est facile de connecter de nouveaux nœuds, même si cela nécessite de suspendre le réseau ;

  • grand nombre nœuds pouvant être connectés au réseau (plus de 1000) ;

  • haute résistance aux surcharges.

équipement réseau peu coûteux en raison de l'utilisation généralisée de cette topologie.


  • la panne d'au moins un ordinateur perturbe le fonctionnement du réseau ;

  • Une rupture de câble à au moins un endroit perturbe le fonctionnement du réseau.

DANS dans certains cas Lors de la conception d'un réseau, une topologie combinée est utilisée. Par exemple, un arbre est une combinaison de plusieurs étoiles.

Chaque ordinateur qui fonctionne dans réseau local, doit disposer d'un adaptateur réseau ( carte réseau). La fonction de l'adaptateur réseau est de transmettre et de recevoir des signaux distribués via des câbles de communication. De plus, l'ordinateur doit être équipé d'un système d'exploitation réseau.

Lors de la construction de réseaux, les types de câbles suivants sont utilisés :

paire torsadée non blindée. La distance maximale à laquelle les ordinateurs connectés par ce câble peuvent être localisés atteint 90 m. La vitesse de transfert des informations est de 10 à 155 Mbit/s ; paire torsadée blindée. La vitesse de transfert des informations est de 16 Mbit/s sur une distance allant jusqu'à 300 m.

câble coaxial. Il se caractérise par une résistance mécanique plus élevée, une immunité au bruit et vous permet de transmettre des informations sur une distance allant jusqu'à 2000 m à une vitesse de 2 à 44 Mbit/s ;

câble à fibre optique. Support de transmission idéal, il n'est pas affecté par les champs électromagnétiques, permet de transmettre des informations sur une distance allant jusqu'à 10 000 m à une vitesse allant jusqu'à 10 Gbit/s.

Le concept de réseaux mondiaux. Réseau mondial – ce sont des associations d'ordinateurs situés à distance pour usage général ressources d'information mondiales. Il en existe aujourd’hui plus de 200 dans le monde, le plus connu et le plus populaire étant Internet.

Contrairement aux réseaux locaux, les réseaux mondiaux ne disposent pas d’un centre de contrôle unique. Le réseau repose sur des dizaines et des centaines de milliers d'ordinateurs connectés par l'un ou l'autre canal de communication. Chaque ordinateur possède un identifiant unique, qui vous permet de « tracer un itinéraire vers celui-ci » pour la transmission des informations. Généralement, un réseau mondial connecte les ordinateurs fonctionnant sur règles différentes(ayant une architecture, un logiciel système différent, etc.). Les passerelles sont donc utilisées pour transférer des informations d’un type de réseau à un autre.

Passerelles– Il s'agit d'appareils (ordinateurs) qui servent à connecter des réseaux avec des protocoles d'échange complètement différents.

Protocole d'échange– il s'agit d'un ensemble de règles (accord, norme) qui définissent les principes d'échange de données entre les différents ordinateurs du réseau.

Les protocoles sont classiquement divisés en basiques (plus niveau bas), chargé de transmettre des informations de tout type, et appliqué (plus haut niveau), responsable du fonctionnement des services spécialisés.

L'ordinateur principal du réseau, qui donne accès à la base de données commune, fournit partage les périphériques d'entrée/sortie et l'interaction de l'utilisateur sont appelés serveur.

Un ordinateur réseau qui utilise uniquement les ressources du réseau, mais ne donne pas ses ressources au réseau, est appelé client(souvent aussi appelé poste de travail).

Pour travailler sur le réseau mondial, l'utilisateur doit disposer du matériel et des logiciels appropriés.

Logiciel peut être divisé en deux classes :


  • les programmes serveur situés sur le nœud de réseau desservant l'ordinateur de l'utilisateur ;

  • programmes clients situés sur l’ordinateur de l’utilisateur et utilisant les services du serveur.

Les réseaux mondiaux offrent aux utilisateurs une variété de services : e-mail, accès à distance vers n'importe quel ordinateur du réseau, en recherchant des données et des programmes, etc.

Tâche n°1.


  1. Créez un dossier dans le dossier « Mes documents » appelé Mail_1 (le numéro dans le nom correspond au numéro de votre ordinateur).

  2. À l'aide de l'éditeur de texte Word ou WordPad, créez une lettre à vos camarades de classe.

  3. Sauvegarder ce texte dans le dossier Mail_1 de votre ordinateur dans le fichier letter1.doc, où 1 est le numéro de l'ordinateur.

  4. Ouvrez un dossier sur un autre ordinateur, par exemple Mail_2 et copiez-y le fichier letter1 de votre dossier Mail_1.

  5. Dans votre dossier Mail_1, lisez les lettres des autres utilisateurs, par exemple letter2. Ajoutez-y votre réponse.

  6. Renommez le fichier letter2 .doc en fichier letter2_answer1.doc

  7. Déplacez le fichier letter2_answer1.doc vers le dossier Mail _2 et supprimez-le de votre dossier

  8. Ensuite, répétez les étapes 2 à 4 pour les autres ordinateurs.

  9. Lisez les messages des autres utilisateurs de votre dossier et répétez les étapes 5 à 8 pour eux.

Tâche n°2. Répondez aux questions et notez-les dans votre cahier :

  1. Indiquez l'objectif principal d'un réseau informatique.
  1. Spécifiez un objet qui est un abonné au réseau.
  1. Indiquer les principales caractéristiques des canaux de communication.
  1. Qu'est-ce qu'un réseau local, un réseau mondial ?
  1. Qu’entend-on par topologie de réseau local ?
  1. Quels types de topologie de réseau local existe-t-il ?
  1. Décrivez brièvement les topologies en bus, en étoile et en anneau.
  1. Qu'est-ce qu'un protocole d'échange ?
  1. Résolvez le problème. Vitesse maximale transfert de données sur le réseau local 100 Mbit/s. Combien de pages de texte peuvent être transmises en 1 seconde si 1 page de texte contient 50 lignes et chaque ligne comporte 70 caractères

Concepts de base

Lors de l'examen des questions de sécurité de l'information, les concepts de sujet et d'objet d'accès sont utilisés. Un sujet d'accès peut effectuer un certain ensemble d'opérations sur chaque objet d'accès. Ces opérations peuvent être autorisées ou refusées à un sujet ou à un groupe de sujets spécifique. L'accès aux objets est généralement déterminé au niveau système opérateur son architecture et sa politique de sécurité actuelle. Considérons quelques définitions concernant les méthodes et moyens de délimitation de l'accès des sujets aux objets.

Définition 1

Méthode d'accès aux objets– une opération définie pour un objet donné. Il est possible de restreindre l'accès à un objet à l'aide d'une restriction méthodes possibles accéder.

Définition 2

Propriétaire de l'objet– le sujet qui a créé l'objet est responsable de la confidentialité des informations contenues dans l'objet et de l'accès à celui-ci.

Définition 3

Droit d'accès aux objets– le droit d'accéder à un objet en utilisant une ou plusieurs méthodes d'accès.

Définition 4

Contrôle d'accès– un ensemble de règles qui déterminent pour chaque sujet, objet et méthode s'il a ou non le droit d'accéder selon une méthode spécifiée.

Modèles de contrôle d'accès

Les modèles de contrôle d'accès les plus courants :

  • modèle de contrôle d'accès discrétionnaire (sélectif) ;
  • modèle de contrôle d’accès faisant autorité (obligatoire).

Discrétionnaire

  • tout objet a un propriétaire ;
  • le propriétaire a le droit de limiter arbitrairement l'accès des sujets à cet objet ;
  • pour chaque sujet – objet – défini méthode correcte l'accès est clairement défini;
  • la présence d'au moins un utilisateur privilégié (par exemple, un administrateur) qui a la possibilité d'accéder à n'importe quel objet en utilisant n'importe quelle méthode d'accès.

Dans le modèle discrétionnaire, la définition des droits d'accès est stockée dans une matrice d'accès : les lignes répertorient les sujets et les colonnes répertorient les objets. Dans chaque cellule matrices les droits d'accès d'un sujet donné à un objet donné sont stockés. La matrice d'accès d'un système d'exploitation moderne occupe des dizaines de mégaoctets.

Plénipotentiaire Le modèle est caractérisé par les règles suivantes :

  • Chaque objet est classé comme confidentiel. Le cachet du secret porte valeur numérique: plus il est grand, plus le secret de l'objet est élevé ;
  • Chaque sujet d'accès a un niveau d'autorisation.

Dans ce modèle, un sujet reçoit l'accès à un objet uniquement si la valeur du niveau d'accès du sujet n'est pas inférieur à la valeur classement de l'objet.

L’avantage du modèle faisant autorité est qu’il n’y a pas besoin de stockage. gros volumes informations sur le contrôle d'accès. Chaque sujet stocke uniquement la valeur de son niveau d'accès et chaque objet stocke la valeur de sa classification de sécurité.

Méthodes de contrôle d'accès

Types de méthodes de contrôle d'accès :

    Contrôle d'accès basé sur des listes

    L'essence de la méthode est de définir des correspondances : pour chaque utilisateur une liste est spécifiée ressources et des droits d'accès à celles-ci ou pour chaque ressource une liste d'utilisateurs et des droits d'accès à ces ressources sont déterminés. A l'aide de listes, il est possible d'attribuer des droits à chaque utilisateur. Il est possible d'ajouter des droits ou de refuser explicitement l'accès. La méthode d'accès par liste est utilisée dans les sous-systèmes de sécurité systèmes d'exploitation et les systèmes de gestion de bases de données.

    Utiliser la matrice d'autorité

    Lors de l'utilisation de la matrice d'autorisation, une matrice d'accès (table d'autorité) est utilisée. Dans la matrice d'accès, les lignes enregistrent les identifiants des sujets qui ont accès à système informatique, et dans les colonnes - les objets (ressources) du système informatique.

    Chaque cellule de la matrice peut contenir le nom et la taille d'une ressource, un droit d'accès (lecture, écriture, etc.), un lien vers une autre structure d'information qui précise les droits d'accès, un lien vers un programme qui gère les droits d'accès, etc.

    Cette méthode est très pratique car toutes les informations sur les autorités sont stockées dans un seul tableau. L'inconvénient de la matrice est son éventuelle encombrement.

    Contrôle d'accès par niveaux et catégories de confidentialité

    La distinction selon le degré de secret se divise en plusieurs niveaux. Les autorisations de chaque utilisateur peuvent être définies en fonction du niveau de confidentialité maximum auquel il est admis.

    Contrôle d'accès par mot de passe

    La séparation des mots de passe utilise des méthodes permettant aux sujets d'accéder aux objets à l'aide d'un mot de passe. Utilisation constante les mots de passe entraînent des désagréments pour les utilisateurs et des retards. Pour cette raison, les méthodes de séparation des mots de passe sont utilisées dans des situations exceptionnelles.

En pratique, il est courant de combiner différentes méthodes restrictions d'accès. Par exemple, les trois premières méthodes sont renforcées par une protection par mot de passe. Le recours au contrôle d’accès est une condition préalable à un système informatique sécurisé.



Avez-vous aimé l'article? Partagez avec vos amis !
Lire aussi
Résumé de la leçon
Résumé de la leçon "Complexe scientifique de Russie" Bref résumé sur le sujet complexe scientifique
Expansion de l'OTAN vers l'est : étapes d'avancement Présentation des marques d'identification des chars des pays de l'OTAN
Expansion de l'OTAN vers l'est : étapes d'avancement Présentation des marques d'identification des chars des pays de l'OTAN
Unité de longueur – kilomètre
Unité de longueur - kilomètre"
La photographie montre une vue de la Terre depuis l'orbite lunaire.
La photographie montre une vue de la Terre depuis l'orbite lunaire.
Bienvenue à la bibliothèque rurale de Trenkasinskaya
Bienvenue à la bibliothèque rurale de Trenkasinskaya
Une sphère inscrite dans un cylindre Une sphère est dite inscrite dans un cylindre si elle touche sa base et sa surface latérale (touche chaque génératrice)
Une sphère inscrite dans un cylindre Une sphère est dite inscrite dans un cylindre si elle touche sa base et sa surface latérale (touche chaque génératrice)
Présentation informatique sur le sujet
Présentation sur l'informatique sur le thème "l'enseignement à distance à l'école" Présentation sur l'enseignement à distance dans les cours de technologie
Présentation - temps troublés
Présentation - temps troublés