Рассмотрены методы контроля и разграничения прав доступа к статичным и к создаваемым файлам - к типам файлов по их расширениям. На примерах проиллюстрированы их возможности, многообразие которых обусловливается многообразием типов файлов, обрабатываемых в современных информационных системах. Сформулировано ключевое требование к корректности реализации контроля доступа к типам файлов по их расширениям. Рассмотрены запатентованные, реализованные и апробированные при построении коммерческой системы защиты информации, сертифицированной ФСТЭК России, технические решения. Проиллюстрирована универсальность подхода к построению разграничительной политики доступа, заключающегося в том, что правила доступа должны не назначаться объектам в качестве их атрибутов, а присваиваться субъектам в качестве их прав доступа к объектам.
Идентификаторы и классификаторы
Каждый тип файлов имеет определенный уникальный формат, соответствующий его спецификации. Таким образом, при доступе к файлу существует возможность анализа формата этого файла. Однако имеются две причины, ограничивающие практическое использование данной возможности. Во-первых, это достаточно существенная дополнительная загрузка вычислительных ресурсов (придется анализировать форматы всех файлов, включая системные, права доступа к которым могут разграничиваться). Во-вторых, спецификации далеко не всех типов файлов доступны, некоторые разработчики приложений относят эту информацию к коммерческой тайне.
Список литературы
1. Щеглов А. Ю. З Щеглов К. А., Щеглов А. Ю. Реализация контроля и разграничения прав доступа к статичным объектам // Вестник компьютерных и информационных технологий. 2015. № 11. С. 52-60. EDN: UNDULH
2. Щеглов К. А., Щеглов А. Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. 2013. Вып. 101. № 2. С. 36-43. EDN: QAVHRX
3. Щеглов К. А., Щеглов А. Ю. Защита от атак со стороны приложений, наделяемых вредоносными функциями. Модели контроля доступа // Вопросы защиты информации. 2012. Вып. 99. № 4. С. 31-36. EDN: PJOJGL
4. Щеглов К. А., Щеглов А. Ю. Принцип и методы контроля доступа к создаваемым файловым объектам // Вестник компьютерных и информационных технологий. 2012. № 7. С. 43-47. EDN: PEYZDX
5. Щеглов К. А., Щеглов А. Ю. Практическая реализация дискреционного метода контроля доступа к создаваемым файловым объектам // Вестник компьютерных и информационных технологий. 2013. № 4. С. 43-49. EDN: PYCHVZ
6. Щеглов К. А., Щеглов А. Ю. Технология изолированной обработки данных критичными приложениями // Вопросы защиты информации. 2015. Вып. 108. № 1. С. 15-22. EDN: TMLCMD
7. Щеглов К. А., Щеглов А. Ю. Защита на виртуальные машины от атак, использующих вредоносный код // Вестник компьютерных и информационных технологий. 2014. № 2. С. 45-51. EDN: UHHHYJ
8. Щеглов А. Ю., Щеглов К. А. Система контроля доступа к ресурсам компьютерной системы с субъектом “исходный пользователь, эффективный пользователь, процесс”. Патент на изобретение № 2534488. Приоритет изобретения 18.06.2013.
9. Щеглов А. Ю., Паличенко И. П., Корнетов С. В., Щеглов К. А. Комплексная система защиты информации “Панцирь+” для ОС Microsoft Windows. Свидетельство о регистрации программы для ЭВМ № 2014660889 от 17.10.2014.
10. Щеглов К. А. Постановка и подходы к решению задачи защиты информации от несанкционированного доступа в общем виде // Вестник компьютерных и информационных технологий. 2016. № 1. С. 32-44. EDN: VHITJF
11. Щеглов А. Ю., Щеглов К. А. Система разграничения доступа по расширениям файлов. Патент на изобретение №2572385. Приоритет изобретения 15.01.2014.
12. Щеглов А. Ю., Щеглов К. А. Система контроля доступа к файлам на основе их автоматической разметки. Патент на изобретение № 2524566. Приоритет изобретения 18.03.2013.
Выпуск
Другие статьи выпуска
Представлена реализация нового способа распространения лицензий на программное обеспечение (ПО), рассмотрены его функциональность и актуальность.
Изложен взгляд на вопросы обеспечения информационной безопасности в медицинских информационных системах. Обосновывается необходимость внедрения информационной безопасности и предлагаются общие схемы защиты с учетом специфики медицинской информации. Рассмотрены этапы внедрения. Предложены методы обеспечения информационной безопасности. Раскрываются перспективы использования медицинских информационных систем.
Рассмотрен механизм обеспечения информационно-правовой безопасности (ИПБ) производственного объекта (ПО), основанный на правовом регулировании в области защиты конфиденциальной информации и охраны интеллектуальной собственности ПО. Конфиденциальная информация (КИ) и интеллектуальная собственность - это различные самостоятельные объекты гражданских прав Российской Федерации в интерпретации Гражданского кодекса РФ.
В современных условиях остро стоит проблема выявления инсайдеров - сотрудников предприятия, имеющих доступ к информации ограниченного доступа и намеренно или случайно разглашающих эту информацию лицам, не имеющим к ней доступа. Решение указанной проблемы - оценка и контроль уязвимости субъектов защищенных информационных технологий (персонала) предприятия. Первым шагом вычисления уязвимости персонала является выбор критериев оценки, что и изложено в данной статье.
Рассмотрены новые типы протоколов утверждаемой групповой подписи: коллективная подпись для групповых подписантов и коллективная групповая подпись для групповых и индивидуальных подписантов. Описаны реализации протоколов указанного типа с использованием задачи дискретного логарифмирования и задачи извлечения корня большой простой степени по простому модулю, имеющему специальное строение. Показана возможность реализации новых протоколов с использованием стандарта ЭЦП ГОСТ Р 34.10-2012.
Описаны два метода обновления защищенных микрокомпьютеров: с изменением и без изменения состояния ПЗУ.
Изложены варианты использования модема в устройстве M&M! (МАРШ! и модем). Рассмотрены примеры применения этого устройства в различных системах.
МАРШ!, МОДЕМ
Показана необходимость контролировать отдельные элементы, входящие в состав архивов. Приведены конкретные примеры, показывающие актуальность проблемы.
Представлен алгоритм работы дополнительного преобразующего слоя в сети на основе “неокогнитрона”. Ранее авторы рассматривали общий принцип работы данного вида сети. Описанный метод улучшает работу сети путем дополнительного преобразования данных. Проведен анализ входных данных при распознавании. Разработан алгоритм, который преобразует данные для более удобного распознавания сети.
Рассмотрены особенности и проблемы функционального тестирования средств защиты информации от несанкционированного доступа в виртуальной инфраструктуре. Предлагается способ их решения при помощи средств автоматизации тестирования и разделения процесса тестирования на два независимых этапа.
Предложена методика администрирования дискреционной политики безопасности, в основу которой заложен принцип аналогий между свойствами субъектов и объектов компьютерной системы. В качестве таких свойств выбраны атрибуты субъектов и объектов. Введенное на множестве атрибутов отношение порядка позволило разработать алгоритм автоматического заполнения матрицы доступов.
Предложен новый способ отрицаемого шифрования, основанный на коммутативных преобразованиях. На основе способа разработан протокол, обеспечивающий стойкость к принудительным атакам со стороны пассивного нарушителя и не требующий использования заранее согласованных секретных или открытых ключей. Для обеспечения безопасности к атакам со стороны активного нарушителя протокол следует дополнить процедурой аутентификации передаваемых сообщений.
Классические алгоритмы шифрования предоставляют гарантированную защиту информации при использовании ключа определенного размера, обычно 256 бит. Однако на практике возникает задача гарантированной защиты информации в условиях ограниченности ключевого материала. В работе рассматриваются концепция построения протоколов стойкого шифрования по ключу малого размера и подход к построению протоколов, взлом которых требует одновременного решения задач факторизации и дискретного логарифмирования по простому модулю. С их учетом разработан новый протокол бесключевого шифрования, взлом которого требует от атакующего одновременного решения задач факторизации и дискретного логарифмирования, отличающийся использованием нового механизма аутентификации. Разработанный протокол позволяет достичь необходимого уровня стойкости одновременно по двум вычислительно сложным задачам в условиях ограниченности ключевого материала.
Издательство
- Издательство
- НТЦ ОК "КОМПАС"
- Регион
- Россия, Москва
- Почтовый адрес
- 125424, город Москва, Волоколамское ш., д. 77
- Юр. адрес
- 125424, город Москва, Волоколамское ш., д. 77
- ФИО
- Лукашук Владимир Евгеньевич (ДИРЕКТОР)
- E-mail адрес
- secretariat@ntckompas.ru
- Контактный телефон
- +7 (495) 4915797
- Сайт
- https://ntckompas.ru