
Основными понятиями процесса разграничения доступа к объектам информационной системы являются объект доступа, метод доступа к объекту и субъект доступа. Субъекты доступа могут обращаться к объектам доступа с помощью методов доступа.
Объект доступа
Объектом доступа (или объектом, или объектом контролируемого доступа) называют часть информационной системы, доступ к которой может быть ограничен политикой безопасности. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе.
Как правило, объекты доступа имеют составную структуру. Например, объект процесса операционной системы включает в себя регистры процессора, адресное пространство, глобальные переменные, стек, открытые файлы, кучу. С файлом ассоциированы дескриптор, указатель позиции, файловый буфер, режим доступа. Мультимедийный объект состоит из одного или нескольких файлов, а также связанных настроек использования.
Объекты, соответствующие аппаратным ресурсам
Ограничение доступа может касаться аппаратных ресурсов информационной системы. Примеры подобных объектов доступа — процессор, память, периферийное оборудование, диски, ленты, сети передачи данных.
Объекты, соответствующие информационным ресурсам
Может быть ограничен доступ к информационным ресурсам, с которыми работают пользователи. Примеры объектов доступа, соответствующих информационным ресурсам — документы, географические карты, переписка.
Логические объекты системного программного обеспечения
Ограничение доступа может затрагивать логические объекты операционной системы (ОС). Примеры логических объектов доступа, соответствующих ресурсам ОС, — поток или процесс, страница памяти, сокет, порт, файл.
Другие логические объекты контролируемого доступа отвечают за согласованную работу компонентов операционной системы. К подобным объектам относятся именованные и анонимные каналы, очереди сообщений, семафоры, и страницы разделяемой памяти.
В отдельную группу можно вынести объекты системных баз данных, определяющие режим функционирования операционной системы. Примеры таких объектов — список пользователей, набор политик и моделей безопасности, реестр настроек оборудования.
Логические объекты прикладного программного обеспечения
Может быть ограничен доступ к информации, обрабатываемой прикладным программным обеспечением. Примеры соответствующих информационных объектов — пользовательские настройки, информационные ресурсы. К последним относятся документы, карты, графика, видео и звук, а также мультимедийные материалы.
Объекты баз данных
В архитектуре современного программного обеспечения базы данных играют важную роль сохранения целостности и долговременного хранения информации. Объектом доступа в базе данных являются таблица, колонка или строка.
Субъект доступа
Субъектом доступа называют любую сущность, способную инициировать выполнение операций над объектами. В случае программного обеспечения субъектом доступа считается логический пользователь, от имени которого выполняются программные процессы. Конкретному физическому пользователю может соответствовать несколько субъектов доступа с разными уровнями доступа. Также существуют субъекты доступа, не соответствующие конкретным физическим пользователям, от имени которых выполняются системные процессы, например, выполнение действий по обслуживанию системы по расписанию.
Метод доступа
Методом доступа к объекту называется тип действий, выполняемых над объектом. Примеры методов доступа приведены в следующей таблице.
Объект доступа | Методы доступа |
---|---|
Страница памяти | Чтение, запись данных; исполнение программного кода; разделение памяти, в том числе отображение на память системных устройств и копирование по записи |
Процесс | Создание процесса; завершение процесса; приостановка процесса |
Файл | Чтение, перезапись, исполнение файла; чтение информации о файле; дописывание информации в файл; открытие файла; сброс буферов, перемещение указателя позиции; получение текущего значения указателя позиции |
База данных | Подключение к базе данных; добавление таблицы; удаление таблицы; операции с таблицами базы данных и записями таблиц; просмотр журнала операций |
Комментариев нет :
Отправить комментарий