• Разграничение прав доступа пользователей к информации. Реализация механизма разграничения прав доступа к админ-части

    Цель: освоение приемов обмена файлами между пользователями локальной компьютерной сети; осуществление защиты информации.

    Сведения из теории

    1. Виды компьютерных сетей.

    Одним из самых значительных достижений прошлого века считается развитие информационных технологий - компьютерных технологий хранения, преобразования и передачи информации. Важнейшую роль в информационном скачке человечества сыграло создание коммуникационных компьютерных сетей.

    Совокупность компьютеров, взаимосвязанных между собой каналами передачи информации и распределенных по некоторой территории, называется компьютерной сетью. Существующие в настоящий момент многочисленные компьютерные сети принято делить по так называемому территориальному признаку:

      GAN (Global Area Network – глобальная сеть), общее планетное соединение компьютерных сетей - Интернет;

      WAN (Wide Area Network – широкомасштабная сеть), континентальное на уровне государства объединение компьютерных сетей;

      MAN (Metropolitan Area Network – междугородняя сеть), междугороднее и областное объединение компьютерных сетей;

      LAN (Local Area Network – локальная сеть) сетевое соединение, функционирующее обычно в стенах одной организации.

    WAN и MAN – региональные сети. Деление на WAN и MAN компьютерные сети в настоящее время является весьма условным, поскольку сейчас каждая региональная сеть представляет собой, как правило, часть какой-нибудь глобальной сети.

    Многие организации, заинтересованные в защите информации от несанкционированного доступа (например, военные, банковские и пр.), создают собственные, так называемые корпоративные сети. Корпоративная сеть может объединять тысячи и десятки тысяч компьютеров, размещенных в различных странах и городах (в качестве примера можно привести сеть корпорации Microsoft, MSN).

    2. Локальная компьютерная сеть.

    Важной отличительной особенностью любой локальной сети является то, что для соединения компьютеров в такой сети не нужно использовать телефонную сеть - компьютеры расположены достаточно близко друг от друга и соединяются кабелем.

    Посредством ЛС в систему объединяются персональные компьютеры, расположенные на многих удаленных рабочих станциях, которые используют совместно оборудование, программные средства и информацию. Рабочие места сотрудников перестают быть изолированными и объединяются в единую систему.

    Рассмотрим преимущества, получаемые при сетевом объединении персональных компьютеров в виде внутрипроизводственной вычислительной сети.

      Разделение ресурсов: разделение ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такие как лазерное печатающее устройство, со всех присоединенных рабочих станций.

      Разделение данных: разделение данных предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации.

      Разделение программных средств: разделение программных средств, предоставляет возможность одновременного использования централизованных, ранее установленных программных средств.

      Разделение ресурсов процессора: при разделение ресурсов процессора возможно использование компьютерных мощностей для обработки данных другими системами, входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не "набрасываются" моментально, а только лишь через специальный процессор, доступный каждой рабочей станции.

      Многопользовательский режим: многопользовательские свойства системы содействуют одновременному использованию централизованных прикладных программных средств, ранее установленных и управляемых, например, если пользователь системы работает с другими заданиями, то текущая выполняемая работа отодвигается на задний план.

      Электронная почта: с помощью электронной почты происходит интерактивный обмен информацией между рабочей станцией и другими станциями, установленными в вычислительной сети.

    Разграничение доступа.

    Автоматизированная система в зависимости от ее сложности и выполняемых задач может размещаться в одной, двух, трех и т. д. помещениях, этажах, зданиях. В силу различия функциональных обязанностей и работы с разными документами необходимо обеспечить разграничение доступа пользователей к их рабочим местам, аппаратуре и информации. Это обеспечивается размещением рабочих мест пользователей в отдельных помещениях, закрываемых разного рода замками на входных дверях с устанавливаемыми на них датчиками охранной сигнализации или применением специальной автоматической системы контроля доступа в помещения по жетонам или карточкам с индивидуальным кодом ее владельца, записанным в ее память.

    Разграничение доступа в автоматизированной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача такого разграничения доступа к информации: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди законных пользователей.

    Основная задача контроля и разграничения доступа (ПКРД) – это блокировка несанкционированного, контроль и разграничение санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц-пользователей, обслуживающего персонала и руководителей работ.

    Основной принцип построения ПКРД состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий. В указанных целях осуществляются идентификация и аутентификация пользователей, устройств и т.д., деление информации и функций ее обработки согласно установленным требованиям разграничения доступа, установка и ввод полномочий пользователей

    Деление информации и функций ее обработки обычно производится по следующим признакам:

    По степени важности;

    По степени секретности;

    По выполняемым функциям пользователей, устройств;

    По наименованию документов;

    По видам документов;

    По видам данных;

    По наименованию томов, файлов, массивов, записей;

    По имени пользователя;

    По функциям обработки информации: чтению, записи, исполнению;

    По времени дня.

    Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и другие должны быть технически и организационно отделены от основных задач системы. Комплекс средств автоматизации и организация его обслуживания должны быть построены следующим образом:

    Техническое обслуживание ИС в процессе эксплуатации должно выполняться специальным техническим персоналом без доступа к информации, подлежащей защите;

    Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации-владельце ИС, вычислительной сети или АСУ;

    Организация доступа пользователей к памяти ИС должна обеспечивать возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;

    Регистрация и документирование технологической и оперативной информации должны быть разделены.

    В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и ИС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители – электронные ключи, жетоны, смарт-карты и т.д.

    Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом ИС. А конкретное разграничение при эксплуатации ИС устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

    В указанных целях при проектировании вычислительных средств для построения ИС проводятся:

    Разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ЭВМ, ПК, сервера;

    Изоляция областей доступа;

    Разделение базы данных на группы;

    Процедуры контроля перечисленных функций.

    Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного ИС, так и АСУ (сети) в целом;

    Разработка аппаратных средств идентификации и аутентификации пользователя;

    Разработка программных средств контроля и управления разграничением доступа;

    Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

    Выбор конкретных признаков разграничения доступа и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения автоматизированной системы.

    Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, что доступ к информационному объекту осуществляется через единственный охраняемый вход. В функцию «охраны» входят опознание пользователя по имени (или условному номеру) и коду предъявленного пароля. При положительном результате проверки разрешается допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т.д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен вставляться пользователем в специальное гнездо АРМ. Кроме того, после изъятия носителя с паролем из гнезда вход в систему сразу блокируется.

    Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную, необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного АРМ. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного АРМ, т.е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером АРМ, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с АРМ ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на АРМ пользователя должно быть выдано сообщение. Для проверки последней операции полезно повторить одно из предыдущих обращений без пароля и убедиться в этом по отрицательной реакции вычислительной системы.

    Цель: освоение приемов обмена файлами между пользователями локальной компьютерной сети. Теоретические сведения к лабораторной работе Основными устройствами для быстрой передачи информации на большие расстояния в настоящее время являются телеграф, радио, телефон, телевизионный передатчик, телекоммуникационные сети на базе вычислительных систем. Передача информации между компьютерами существует с самого момента возникновения ЭВМ. Она позволяет организовать совместную работу отдельных компьютеров, решать одну задачу с помощью нескольких компьютеров, совместно использовать ресурсы и решать множество других проблем. Под компьютерной сетью понимают комплекс аппаратных и программных средств, предназначенных для обмена информацией и доступа пользователей к единым ресурсам сети. Основное назначение компьютерных сетей - обеспечить совместный доступ пользователей к информации (базам данных, документам и т.д.) и ресурсам (жесткие диски, принтеры, накопители CD-ROM, модемы, выход в глобальную сеть и т.д.). Абоненты сети – объекты, генерирующие или потребляющие информацию. Абонентами сети могут быть отдельные ЭВМ, промышленные роботы, станки с ЧПУ (станки с числовым программным управлением) и т.д. Любой абонент сети подключён к станции. Станция– аппаратура, которая выполняет функции, связанные с передачей и приёмом информации. Для организации взаимодействия абонентов и станции необходима физическая передающая среда. Физическая передающая среда – линии связи или пространство, в котором распространяются электрические сигналы, и аппаратура передачи данных. Одной из основных характеристик линий или каналов связи является скорость передачи данных (пропускная способность). Скорость передачи данных– количество бит информации, передаваемой за единицу времени. Обычно скорость передачи данных измеряется в битах в секунду (бит/с) и кратных единицах Кбит/с и Мбит/с. Соотношения между единицами измерения: 1 Кбит/с =1024 бит/с; 1 Мбит/с =1024 Кбит/с; 1 Гбит/с =1024 Мбит/с. На базе физической передающей среды строится коммуникационная сеть. Таким образом, компьютерная сеть – это совокупность абонентских систем и коммуникационной сети. Виды сетей. По типу используемых ЭВМ выделяют однородные и неоднородные сети . В неоднородных сетях содержатся программно несовместимые компьютеры. По территориальному признаку сети делят на локальные и глобальные. Основные компоненты коммуникационной сети:
    • передатчик;
    • приёмник;
    • сообщения (цифровые данные определённого формата: файл базы данных, таблица, ответ на запрос, текст или изображение);
    • средства передачи (физическая передающая среда и специальная аппаратура, обеспечивающая передачу информации).
    • Топология локальных сетей. Под топологией компьютерной сети обычно понимают физическое расположение компьютеров сети относительно друг друга и способ соединения их линиями.
    • Топология определяет требования к оборудованию, тип используемого кабеля, методы управления обменом, надежность работы, возможность расширения сети. Существует три основных вида топологии сети: шина, звезда и кольцо.
    Шина (bus), при которой все компьютеры параллельно подключаются к одной линии связи, и информация от каждого компьютера одновременно передается ко всем остальным компьютерам. Согласно этой топологии создается одноранговая сеть. При таком соединении компьютеры могут передавать информацию только по очереди, так как линия связи единственная.
    Локальные сети (LAN, Local Area Network)объединяют абонентов, расположенных в пределах небольшой территории, обычно не более 2–2.5 км. Локальные компьютерные сети позволят организовать работу отдельных предприятий и учреждений, в том числе и образовательных, решить задачу организации доступа к общим техническим и информационным ресурсам. Глобальные сети (WAN, Wide Area Network)объединяют абонентов, расположенных друг от друга на значительных расстояниях: в разных районах города, в разных городах, странах, на разных континентах (например, сеть Интернет). Взаимодействие между абонентами такой сети может осуществляться на базе телефонных линий связи, радиосвязи и систем спутниковой связи. Глобальные компьютерные сети позволят решить проблему объединения информационных ресурсов всего человечества и организации доступа к этим ресурсам.

    Достоинства:


    • простота добавления новых узлов в сеть (это возможно даже во время работы сети);

    • сеть продолжает функционировать, даже если отдельные компьютеры вышли из строя;

    • недорогое сетевое оборудование за счет широкого распространения такой топологии.

    Недостатки:


    • сложность сетевого оборудования;

    • сложность диагностики неисправности сетевого оборудования из-за того, что все адаптеры включены параллельно;

    • обрыв кабеля влечет за собой выход из строя всей сети;

    • ограничение на максимальную длину линий связи из-за того, что сигналы при передаче ослабляются и никак не восстанавливаются.

    Звезда (star), при которой к одному центральному компьютеру присоединяются остальные периферийные компьютеры, причем каждый из них использует свою отдельную линию связи. Весь обмен информацией идет исключительно через центральный компьютер, на который ложится очень большая нагрузка, поэтому он предназначен только для обслуживания сети.

    Достоинства:


    • выход из строя периферийного компьютера никак не отражается на функционировании оставшейся части сети;

    • простота используемого сетевого оборудования;

    • все точки подключения собраны в одном месте, что позволяет легко контролировать работу сети, локализовать неисправности сети путем отключения от центра тех или иных периферийных устройств;

    • не происходит затухания сигналов.

    Недостатки:


    • выход из строя центрального компьютера делает сеть полностью неработоспособной;

    • жесткое ограничение количества периферийных компьютеров;

    • значительный расход кабеля.

    Кольцо (ring), при котором каждый компьютер передает информацию всегда только одному компьютеру, следующему в цепочке, а получает информацию только от предыдущего в цепочке компьютера, и эта цепочка замкнута. Особенностью кольца является то, что каждый компьютер восстанавливает приходящий к нему сигнал, поэтому затухание сигнала во всем кольце не имеет никакого значения, важно только затухание между соседними компьютерами.

    Достоинства:


    • легко подключить новые узлы, хотя для этого нужно приостановить работу сети;

    • большое количество узлов, которое можно подключить к сети (более 1000);

    • высокая устойчивость к перегрузкам.

    Недостатки:


    • выход из строя хотя бы одного компьютера нарушает работу сети;

    • обрыв кабеля хотя бы в одном месте нарушает работу сети.

    В отдельных случаях при конструировании сети используют комбинированную топологию. Например, дерево (tree)– комбинация нескольких звезд.

    Каждый компьютер, который функционирует в локальной сети, должен иметь сетевой адаптер (сетевую карту). Функцией сетевого адаптера является передача и прием сигналов, распространяемых по кабелям связи. Кроме того, компьютер должен быть оснащен сетевой операционной системой.

    При конструировании сетей используют следующие виды кабелей:

    неэкранированная витая пара. Максимальное расстояние, на котором могут быть расположены компьютеры, соединенные этим кабелем, достигает 90 м. Скорость передачи информации - от 10 до 155 Мбит/с; экранированная витая пара. Скорость передачи информации - 16 Мбит/с на расстояние до 300 м.

    коаксиальный кабель. Отличается более высокой механической прочностью, помехозащищённостью и позволяет передавать информацию на расстояние до 2000 м со скоростью 2-44 Мбит/с;

    волоконно-оптический кабель. Идеальная передающая среда, он не подвержен действию электромагнитных полей, позволяет передавать информацию на расстояние до 10 000 м со скоростью до 10 Гбит/с.

    Понятие о глобальных сетях. Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.

    В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.

    Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.

    Протокол обмена– это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.

    Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.

    Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.

    Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией ).

    Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.

    Программное обеспечение можно разделить на два класса:


    • программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;

    • программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.

    Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.

    Задание №1.


    1. Создайте в папке «Мои документы» папку под именем Почта_1 (цифра в имени соответствует номеру вашего компьютера).

    2. С помощью текстового редактора Word или WordPad создайте письмо к одногруппникам.

    3. Сохраните данный текст в папке Почта_1 своего компьютера в файле письмо1.doc, где 1 – номер компьютера.

    4. Откройте папку другого компьютера, например, Почта_2 и скопируйте в него файл письмо1 из своей папки Почта_1.

    5. В своей папке Почта_1 прочитайте письма от других пользователей, например письмо2. Допишите в них свой ответ.

    6. Переименуйте файл письмо2 .doc в файл письмо2_ответ1.doc

    7. Переместите файл письмо2_ответ1.doc в папку Почта _2 и удалите его из своей папки

    8. Далее повторите п.2-4 для других компьютеров.

    9. Прочитайте сообщения от других пользователей в своей папке и повторите для них действия п.5-8.

    Задание №2. Ответить на вопросы и запишите их в тетрадь:

    1. Укажите основное назначение компьютерной сети.
    1. Укажите объект, который является абонентом сети.
    1. Укажите основную характеристику каналов связи.
    1. Что такое локальная сеть, глобальная сеть?
    1. Что понимается под топологией локальной сети?
    1. Какие существуют виды топологии локальной сети?
    1. Охарактеризуйте кратко топологию «шина», «звезда», «кольцо».
    1. Что такое протокол обмена?
    1. Решите задачу. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов

    Методические указания к практическому занятию № 10

    Тема : Разграничение прав доступа в сети, общее дисковое пространство в локальной сети. Защита информации, антивирусная защита.

    Количество часов : 2

    Цель: научиться разграничивать права доступа в компьютерной сети и пользоваться антивирусной защитой

    Задание: Ознакомиться с теоретическими положениями по данной теме, выполнить задания практического занятия, сформулировать вывод.

    Отчет должен содержать:

    1.Название работы

    2.Цель работы

    3.Результаты выполнения задания 1, 2, 3, 4, 5, 6

    4.Вывод по работе (необходимо указать виды выполняемых работ, достигнутые цели, какие умения и навыки приобретены в ходе ее выполнения)

    Методические указания к выполнению:

    Теоретические сведения 1.

    1. Разграничение прав доступа в сети

    Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.

    В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.

    Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.

    Протокол обмена – это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.

    Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.

    Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.

    Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией).

    Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.

    Программное обеспечение можно разделить на два класса:

      программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;

      программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.

    Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.

    2.Задание:

    Задание №1. Определите общий ресурс компьютера. Для этого:

      В операционной системе Windows найти на рабочем столе значок Сеть.

      Открыть папку, где будут видны все компьютеры, которые подключены в одну сеть.

    В данном окне появятся все компьютеры, которые подключены к сети.

      Открыть один из них. Посмотреть ресурсы компьютера, которыми можно воспользоваться. Такие ресурсы называются общими.

    Задание № 2.Предоставьте доступ для пользователей локальной сети к папке на своем компьютере, подключенном к локальной сети. Для этого:

      В операционной системе Windows открыть окно папки Компьютер и на диске D: создать свою папку. Назвать ее номером своей группы.

      Щелкнуть правой кнопкой мыши по значку папки и в контекстном меню папки выберите команду Общий доступ.

      Выбрать нужное подменю: Конкретные пользователи

    В списке Сеть внизу появится новая папка: поездка 27.07.2016

      Если все правильно сделано, то на диске (у вашей папки) появится значок, который показывает, что папка является общей.

    Задание №3. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов?

    Решение:

    50*70=3500 символов на страницу.

    Так как не указано, сколько символов в алфавите, возьмем 1 байт на символ. Итого 3500 байт или (умножить на 8) 28000 бит.

    Теперь делим 100,000,000 на 28,000. Получаем 3571.43 страниц.

    Решить самостоятельно по следующим данным :

    1 страница текста содержит 70 строк и на каждой строке - 50 символов?

    Задание №4. Ответьте на вопросы:

    Теоретические сведения 2

    1. Защита информации, антивирусная защита.

    Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере.

    Признаки заражения:

        прекращение работы или неправильная работа ранее функционировавших программ

        медленная работа компьютера

        невозможность загрузки ОС

        исчезновение файлов и каталогов или искажение их содержимого

        изменение размеров файлов и их времени модификации

        уменьшение размера оперативной памяти

        непредусмотренные сообщения, изображения и звуковые сигналы

        частые сбои и зависания компьютера и др.

    Классификация компьютерных вирусов:

        по среде обитания;

        по способу заражения;

        по воздействию;

        по особенностям алгоритма.

    По среде обитания

        Сетевые – распространяются по различным компьютерным сетям.

        Файловые – внедряются в исполняемые модули (COM, EXE).

        Загрузочные – внедряются в загрузочные сектора диска или сектора, содержащие программу загрузки диска.

        Файлово - загрузочные – внедряются и в загрузочные сектора и в исполняемые модули.

    По способу заражения

        Резидентные – при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая потом. перехватывает обращения ОС к объектам заражения.

        Нерезидентные – не заражают оперативную память и активны ограниченное время.

    По воздействию:

        Неопасные – не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках.

        Опасные – приводят к различным нарушениям в работе компьютера.

        Очень опасные – могут приводить к потере программ, данных, стиранию информации в системных областях дисков.

    По особенностям алгоритма:

        Черви – вычисляют адреса сетевых компьютеров и отправляют по ним свои копии.

        Стелсы – перехватывают обращение ОС к пораженным файлам и секторам и подставляют вместо них чистые области.

        Трояны – не способны к самораспространению, но маскируясь под полезную, разрушают загрузочный сектор и файловую систему.

    Основные меры по защите от вирусов:

        оснастите свой компьютер одной из современных антивирусных программ: Doctor Weber, Norton Antivirus, AVP

        постоянно обновляйте антивирусные базы

        делайте архивные копии ценной для Вас информации (гибкие диски, CD)

    Классификация антивирусного программного обеспечения:

        Сканеры (детекторы)

        Мониторы

        Ревизоры

    Сканера . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.

    Мониторы . Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распространение вируса на самой ранней стадии.

    Ревизоры. Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, информацию о структуре каталогов, иногда - объем установленной оперативной памяти.

    Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием.

    2. Задание

    Задание №5.Укажите основные антивирусные программы и охарактеризуйте их (достоинства и недостатки, основные особенности)

    Задание№6.Проведите проверку своего ПК антивирусными программами.

    3. Контрольные вопросы

    1.Что такое глобальная сеть?

    2.Что такое шлюзы?

    3.Что такое протокол обмена?

    4.На какие два класса можно разделить программное обеспечение?

    5.Что такое компьютерный вирус?

    6.Назовите три признаки заражения вирусами ПК?

    7.Как классифицируется антивирусное программное обеспечение?

    8.Назовите основные меры по защите от вирусов?

    Требования к знаниям и умениям

    Студент должен знать:

    • методы разграничения доступа;

    • методы управления доступом, предусмотренные в руководящих документах Гостехкомиссии.

    Студент должен уметь:

    • использовать методы разграничения доступа.

    Ключевой термин

    Ключевой термин: Методы разграничение доступа.

    При разграничении доступа устанавливаются полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.

    Второстепенные термины

    • Методы разграничения доступа.

    • Мандатное и дискретное управление доступом.

    Структурная схема терминов

    4.3.1 Методы разграничения доступа

    После выполнения идентификации и аутентификации подсистема защиты устанавливает полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.

    Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю и правами по доступу к каждому ресурсу из списка.

    Существуют следующие методы разграничения доступа:

    1. разграничение доступа по спискам;

    2. использование матрицы установления полномочий;

    3. разграничение доступа по уровням секретности и категориям;

    4. парольное разграничение доступа.

    При разграничении доступа по спискам задаются соответствия: каждому пользователю - список ресурсов и прав доступа к ним или каждому ресурсу - список пользователей и их прав доступа к данному ресурсу

    Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах безопасности операционных систем и систем управления базами данных.

    Пример (операционная система Windows 2000) разграничения доступа по спискам для одного объекта показан на рисунке 1.

    Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами - объекты (ресурсы) информационной системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.

    Рисунок 1

    Данный метод предоставляет более унифицированный и удобный подход, т.к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток — пустые).

    Фрагмент матрицы установления полномочий показан в таблице 1.

    Таблица 1

    Субъект

    Диск с:\

    Файл d prog.exe

    Принтер

    Пользователь 1

    Чтение

    Запись

    Удаление

    Выполнение

    Удаление

    Печать

    Настройка параметров

    Пользователь 2

    Чтение

    Выполнение

    Печать

    9:00 до 17:00

    Пользователь 3

    Чтение

    Запись

    Выполнение

    Печать

    c 17:00 до 9:00

    Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов информационной системы по уровням секретности и категориям.

    При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен, например, пользователь имеющий доступ к данным «секретно» также имеет доступ к данным «конфиденциально» и «общий доступ».

    При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы информационной системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей. В качестве примера, где используются категории пользователей, приведем операционную систему Windows 2000, подсистема безопасности которой по умолчанию поддерживает следующие категории (группы) пользователей: «администратор», «опытный пользователь», «пользователь» и «гость». Каждая из категорий имеет определенный набор прав. Применение категорий пользователей позволяет упростить процедуры назначения прав пользователей за счет применения групповых политик безопасности.

    Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.

    На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.

    Разграничение прав доступа является обязательным элементом защищенной информационной системы. Напомним, что еще в «Оранжевой книге США» были введены понятия:

    — произвольное управление доступом;

    — принудительное управление доступом.

    4.3.2 Мандатное и дискретное управление доступом

    В ГОСТ Р 50739-95 « и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:

    • дискретное управление доступом;

    • мандатное управление доступом.

    Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.

    - основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.

    При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по «Оранжевой книге США»), а мандатное управление реализует принудительное управление доступом.

    Выводы по теме

    1. Определение полномочий (совокупность прав) субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.

    2. Существуют следующие методы разграничения доступа:

    • разграничение доступа по спискам;

    • использование матрицы установления полномочий;

    • разграничение доступа по уровням секретности и категориям;

    • парольное разграничение доступа.

    1. При разграничении доступа по спискам задаются соответствия: каждому пользователю - список ресурсов и прав доступа к ним или каждому ресурсу - список пользователей и их прав доступа к данному ресурсу.

    2. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами - объекты (ресурсы) информационной системы.

      3. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.

    3. Парольное разграничение основано на использовании пароля доступа субъектов к объектам.

    4. В ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации» и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа: дискретное управление доступом и мандатное управление доступом.

    5. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами.

    6. Мандатное управление доступом - основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.

    Читать еще: