კომუნიკაციები და ინტერნეტი 

წვდომის კონტროლის განმარტება. ქსელში წვდომის უფლებების დიფერენციაცია, საერთო დისკის სივრცე ლოკალურ ქსელში. ტერმინების სტრუქტურული დიაგრამა

ავტომატური სისტემა ASOMIითვალისწინებს შენახულ მეტროლოგიურ ინფორმაციაზე მომხმარებლის წვდომის უფლებების მოქნილი დიფერენციაციის შესაძლებლობას. ეს მიდგომა უზრუნველყოფს შენახული და დამუშავებული ინფორმაციის დაცვას, კერძოდ:

  • წაკითხვის, შეცვლის ან განადგურების უფლებების შეზღუდვა;
  • ინფორმაციის შენახვისა და გადაცემის შესაძლებლობა ASOMI ობიექტებს შორის ისეთი ფორმით, რომელიც მნიშვნელოვნად ართულებს მის ამოცნობას არასანქცირებული წვდომის ან შენარჩუნების დროს (კერძოდ, დაშიფვრის ტექნოლოგიების გამოყენებით);
  • ინფორმაციის მთლიანობის, ასევე ინფორმაციის ხელმისაწვდომობის უზრუნველყოფა მართვის ორგანოებისა და ავტორიზებული მომხმარებლებისთვის;
  • ინფორმაციის გაჟონვის აღმოფხვრა დამუშავებისა და კომპიუტერის ობიექტებს შორის გადაცემის დროს.

ASOMI სისტემის მომხმარებლებისთვის წვდომის კონტროლი ხორციელდება ერთეულების შემდეგი ჯგუფების კონტექსტში: საანგარიშო და ოპერატიული მონაცემები (პროტოკოლები), საცნობარო მონაცემები, ისტორიის ჟურნალები (მომხმარებლის ქმედებების ჩაწერა და მონაცემები ერთეულებში ცვლილებების ისტორიაზე), სააღრიცხვო მონაცემები. (SI ბარათები). მოდით განვიხილოთ თითოეული ჯგუფი დეტალურად ქვემოთ.

რწმუნებათა სიგელების ხელმისაწვდომობა განისაზღვრება შემდეგი კონცეპტუალური ცნებებით:

  • საზომი ხელსაწყოს ამჟამინდელი სტატუსის დამუშავებაზე პასუხისმგებელი პირი არის საწარმოს თანამშრომელი, რომელიც საზომი ხელსაწყოს ამჟამინდელ სტატუსში უნდა შეასრულოს ამ სტატუსით განსაზღვრული მოქმედებები და სამუშაო ციკლის ფარგლებში საზომი ინსტრუმენტი გადაიტანოს შემდგომ სტატუსზე. ერთ-ერთი მეტროლოგიური სამუშაოს. განისაზღვრება SI-ის მიმდინარე სტატუსის პარამეტრებიდან. მაგალითად, ასეთი პირი არის პირი, რომელიც ასრულებს დისპეტჩერის როლს (შემდგომში - დისპეტჩერი), რომელმაც მიიღო SI რემონტის შესასრულებლად და შემდეგ ვალდებულია გადასცეს იგი რემონტის შემსრულებლის როლის შემსრულებელს (შემდგომში). მოიხსენიება როგორც სარემონტო შემსრულებელი).
  • გაზომვის ინსტრუმენტზე მატერიალურად პასუხისმგებელი პირი არის საწარმოს თანამშრომელი, რომელიც ფინანსურად პასუხისმგებელია საზომ ინსტრუმენტზე ან მართავს მას. განსაზღვრულია SI სარეგისტრაციო ბარათში. როგორც წესი, ასეთი ადამიანი არის ამ SI-ის ოსტატი.
  • "პირველი ორი" პიროვნების ლიდერები - სიტყვასიტყვით განმარტებით. ისინი განისაზღვრება საწარმოს ორგანიზაციული სტრუქტურიდან შემდეგი პრინციპით: ისინი არიან პირების მენეჯერები პირველი ორი კატეგორიიდან „სს-ის ამჟამინდელი სტატუსის დამუშავებაზე პასუხისმგებელი პირი“ და „SI-ზე მატერიალურად პასუხისმგებელი პირი“ ; ან ისინი არიან საწარმოს უფრო მაღალი განყოფილების ხელმძღვანელები, რომლებიც მოიცავს (დაქვემდებარებული) სტრუქტურულ ერთეულს, სადაც პირველი ორი კატეგორიის პირები მუშაობენ შემსრულებლებად. ASOMI-ს ფარგლებში, ეს კონცეპტუალური პრინციპი მივყავართ იმ ფაქტს, რომ საზომი ხელსაწყოების შესახებ ინფორმაცია ხელმისაწვდომია როგორც მეტროლოგის ყველა უმაღლესი მენეჯერისთვის, ასევე გარკვეული MR-ის შემსრულებლების ყველა უფროსი მენეჯერისთვის (მაგალითად, სახელოსნოს ხელმძღვანელს აქვს წვდომა ინფორმაცია საზომი ხელსაწყოების შესახებ, რომლებზეც პასუხისმგებელია მისი წინამძღოლები).
  • მეტროლოგიურ ზედამხედველობასა და კონტროლზე პასუხისმგებელი პირია, მაგალითად, კალიბრაციის, სარემონტო განყოფილების თანამშრომელი ან სტრუქტურული ერთეულის მეტროლოგი, რომელიც ასრულებს ზედამხედველობისა და კონტროლის მოვალეობებს. თავისი მოვალეობების შესაბამისად, მას უფლება აქვს ჰქონდეს წვდომა სააღრიცხვო ინფორმაციის წაკითხვაზე მისთვის მინიჭებული ყველა SI-ის შესახებ.

ამრიგად, საწარმოს იმ თანამშრომლებს, რომლებიც მიეკუთვნებიან ზემოთ ჩამოთვლილ ოთხ (შესაძლოა რამდენიმე) კატეგორიიდან ერთ-ერთს, კონკრეტულ SI-სთან დაკავშირებით, აქვთ შესაძლებლობა თავიანთ სამუშაო ადგილზე ნახონ ინფორმაცია თითოეული SI-ის მიმდინარე სტატუსის შესახებ და, შესაბამისად, SI სარეგისტრაციო ბარათის მონაცემები, მათ შორის მონაცემები მეტროლოგიური სამუშაოების ისტორიის შესახებ.

ამ შემთხვევაში, საწარმოს თანამშრომელს, რომელიც ამჟამად პასუხისმგებელია SI-ის მიმდინარე სტატუსის დამუშავებაზე, უფლება აქვს შეცვალოს ამ სტატუსთან დაკავშირებული SI ინფორმაცია და გადასცეს SI შემდგომ სტატუსზე, რომელიც შეესაბამება მიმდინარე MR სამუშაო ციკლს, მაგრამ არ აქვს უფლება გავლენა მოახდინოს გადასვლების ისტორიაზე SI სტატუსის დიაგრამის მიხედვით.

ახლა მოდით გადავხედოთ საცნობარო მონაცემებზე წვდომის წესებსა და პროცედურას. ისეთი ფუნქციები, როგორიცაა საცნობარო მონაცემების ნახვა და გამოყენება მათი მეტროლოგიური მხარდაჭერის პასუხისმგებლობის შესასრულებლად, ხელმისაწვდომია ASOMI-ის ყველა მომხმარებლისთვის.

ამავდროულად, საცნობარო მონაცემების შევსებასა და რედაქტირებაზე წვდომა ნებადართულია მხოლოდ საწარმოს თანამშრომლებისთვის, რომლებიც ასრულებენ ადმინისტრატორის ან კონტროლერის როლს ASOMI სისტემაში. ისინი სრულად არიან პასუხისმგებელი დირექტორიებში მოცემული ინფორმაციის შესაბამისობასა და სისწორეზე. ASOMI-ში წვდომის უფლებების სტრუქტურასთან დაკავშირებული დირექტორიების შევსებისას გამოიყენება მონაცემები საცნობარო ბლოკში შეტანილი დირექტორიებიდან "ASOMI-ში წვდომის უფლებების სტრუქტურა". კონკრეტული (დამატებითი) საცნობარო წიგნების შევსებისას გამოიყენება NTD-ის (ნორმატიული და ტექნიკური დოკუმენტაციის) მონაცემები საზომი ხელსაწყოების შესახებ, მონაცემები რუსეთის ფედერაციაში გამოსაყენებლად დამტკიცებული საზომი ხელსაწყოების სახელმწიფო რეესტრიდან და სხვა სანდო წყაროები.

ანგარიშგების და ოპერატიული მონაცემების (ოქმების) ხელმისაწვდომობის წესები და პროცედურა ორგანიზებულია შემდეგნაირად. ASOMI-ში დანერგილი სტანდარტული ანგარიშგების ხელმისაწვდომობა ორგანიზებულია სისტემაში არსებული როლების მიხედვით. ამავდროულად, თითოეული თანამდებობისთვის, მითითებულია სტანდარტული მოხსენებების სია (შერჩევა ყველა სტანდარტული ASOMI მოხსენების ზოგადი სიიდან), რომელიც ამ თანამდებობის მქონე თანამშრომელს შეუძლია შექმნას თავისი სამუშაო ადგილიდან.

როგორც მოხსენების ნაწილი, შესაძლებელია სპეციალური ფუნქციების ხელმისაწვდომობის ორგანიზება. ასეთი ფუნქციის მაგალითი შეიძლება იყოს სისტემაში რეგისტრირებული რომელიმე საზომი ხელსაწყოს შესახებ ინფორმაციის მოძიება და მოპოვება მისი სხვადასხვა პარამეტრების მიხედვით, მაგალითად, მასტერს შეუძლია ანგარიშის სახით გამოაჩინოს ყველა საზომი ხელსაწყოს სია რეგისტრირებულია ASOMI-ში, რათა, მაგალითად, იპოვოთ თქვენი საკუთარი საზომი ხელსაწყოს ჩანაცვლების ვარიანტები იმავე საზომ ინსტრუმენტზე, რომელიც ინახება მეზობელ სახელოსნოში.

ოპერატიულ მონაცემებზე (მომხმარებლის სამუშაო პროტოკოლებზე) წვდომა მხოლოდ ASOMI-ს ადმინისტრატორებსა და საწარმოს მთავარ მეტროლოგის აქვს.

ინფორმაციის მონაცემებზე წვდომის მინიჭებისა და შეცვლის წესები და პროცედურა შეიძლება დანიშნოს ან შეიცვალოს მხოლოდ ASOMI ადმინისტრატორის მიერ.


თუ თქვენ დაინტერესებული ხართ ამ პროდუქტით ან გაქვთ რაიმე შეკითხვები,
კითხვები, რომელთა დასმა გსურთ, დაწერეთ:

Ძირითადი ცნებები

ინფორმაციული უსაფრთხოების საკითხების განხილვისას გამოიყენება წვდომის სუბიექტისა და ობიექტის ცნებები. წვდომის სუბიექტს შეუძლია შეასრულოს ოპერაციების გარკვეული ნაკრები თითოეულ წვდომის ობიექტზე. ეს ოპერაციები შეიძლება დაშვებული ან უარყოფილი იყოს კონკრეტული სუბიექტისთვის ან სუბიექტების ჯგუფზე. ობიექტებზე წვდომა ჩვეულებრივ განისაზღვრება ოპერაციული სისტემის დონეზე მისი არქიტექტურითა და უსაფრთხოების პოლიტიკით. განვიხილოთ რამდენიმე განმარტება საგნების წვდომის დელიმიტაციის მეთოდებსა და საშუალებებთან დაკავშირებით.

განმარტება 1

ობიექტზე წვდომის მეთოდი– ოპერაცია, რომელიც განსაზღვრულია მოცემული ობიექტისთვის. შესაძლებელია ობიექტზე წვდომის შეზღუდვა შესაძლო წვდომის მეთოდების შეზღუდვით.

განმარტება 2

ობიექტის მფლობელი– სუბიექტი, რომელმაც შექმნა ობიექტი, პასუხისმგებელია ობიექტში არსებული ინფორმაციის კონფიდენციალურობაზე და მასზე წვდომაზე.

განმარტება 3

ობიექტზე წვდომის უფლება– ობიექტზე წვდომის უფლება ერთი ან მეტი წვდომის მეთოდის გამოყენებით.

განმარტება 4

წვდომის კონტროლი– წესების ნაკრები, რომელიც განსაზღვრავს თითოეული სუბიექტის, ობიექტისა და მეთოდისთვის წვდომის უფლებების არსებობას ან არარსებობას მითითებული მეთოდის გამოყენებით.

წვდომის კონტროლის მოდელები

წვდომის კონტროლის ყველაზე გავრცელებული მოდელები:

  • დისკრეციული (შერჩევითი) წვდომის კონტროლის მოდელი;
  • ავტორიტეტული (სავალდებულო) წვდომის კონტროლის მოდელი.

დისკრეციული

  • ნებისმიერ ობიექტს ჰყავს მფლობელი;
  • მფლობელს უფლება აქვს თვითნებურად შეზღუდოს სუბიექტების წვდომა ამ ობიექტზე;
  • სუბიექტის - ობიექტის - მეთოდის თითოეული ნაკრებისთვის ცალსახად არის განსაზღვრული წვდომის უფლება;
  • მინიმუმ ერთი პრივილეგირებული მომხმარებლის (მაგალითად, ადმინისტრატორის) არსებობა, რომელსაც აქვს წვდომის შესაძლებლობა ნებისმიერ ობიექტზე წვდომის ნებისმიერი მეთოდის გამოყენებით.

დისკრეციულ მოდელში წვდომის უფლებების განმარტება ინახება წვდომის მატრიცაში: სტრიქონები ჩამოთვლის საგნებს, ხოლო სვეტები ობიექტებს. თითოეული მატრიცული უჯრედი ინახავს მოცემული საგნის წვდომის უფლებებს მოცემულ ობიექტზე. თანამედროვე ოპერაციული სისტემის წვდომის მატრიცა ათეულ მეგაბაიტს იკავებს.

სრულუფლებიანიმოდელი ხასიათდება შემდეგი წესებით:

  • თითოეული ობიექტი კლასიფიცირებულია, როგორც კონფიდენციალური. საიდუმლოების შეფასებას აქვს რიცხვითი მნიშვნელობა: რაც უფრო დიდია ის, მით უფრო მაღალია ობიექტის საიდუმლოება;
  • თითოეულ წვდომის საგანს აქვს კლირენსის დონე.

ამ მოდელში, სუბიექტი იღებს წვდომას ობიექტზე მხოლოდ იმ შემთხვევაში, თუ სუბიექტის უსაფრთხოების დონე არ არის ნაკლები ობიექტის უსაფრთხოების კლასიფიკაციაზე.

ავტორიტეტული მოდელის უპირატესობა ის არის, რომ არ არის საჭირო დიდი რაოდენობით წვდომის კონტროლის ინფორმაციის შენახვა. თითოეული სუბიექტი ინახავს მხოლოდ მისი წვდომის დონის მნიშვნელობას და თითოეული ობიექტი ინახავს უსაფრთხოების კლასიფიკაციის მნიშვნელობას.

წვდომის კონტროლის მეთოდები

წვდომის კონტროლის მეთოდების ტიპები:

    წვდომის კონტროლი სიების საფუძველზე

    მეთოდის არსი არის კორესპონდენციების დაყენება: თითოეული მომხმარებლისთვის მითითებულია რესურსების სია და მათზე წვდომის უფლებები, ან თითოეული რესურსისთვის განისაზღვრება მომხმარებლების სია და ამ რესურსებზე წვდომის უფლებები. სიების გამოყენებით შესაძლებელია თითოეული მომხმარებლის უფლებების დადგენა. შესაძლებელია უფლებების დამატება ან წვდომის ცალსახად უარყოფა. სიაში წვდომის მეთოდი გამოიყენება ოპერაციული სისტემებისა და მონაცემთა ბაზის მართვის სისტემების უსაფრთხოების ქვესისტემებში.

    ავტორიტეტის მატრიცის გამოყენება

    ავტორიზაციის მატრიცის გამოყენებისას გამოიყენება წვდომის მატრიცა (ავტორის ცხრილი). წვდომის მატრიცაში სტრიქონებში ჩაიწერება სუბიექტების იდენტიფიკატორები, რომლებსაც აქვთ წვდომა კომპიუტერულ სისტემაზე, ხოლო კომპიუტერული სისტემის ობიექტები (რესურსები) - სვეტებში.

    თითოეული მატრიცული უჯრედი შეიძლება შეიცავდეს რესურსის სახელს და ზომას, წვდომის უფლებას (წაკითხვა, ჩაწერა და ა.შ.), სხვა ინფორმაციის სტრუქტურის ბმულს, რომელიც განსაზღვრავს წვდომის უფლებებს, პროგრამის ბმულს, რომელიც მართავს წვდომის უფლებებს და ა.შ.

    ეს მეთოდი საკმაოდ მოსახერხებელია, რადგან ავტორიტეტების შესახებ ყველა ინფორმაცია ინახება ერთ ცხრილში. მატრიცის მინუსი არის მისი შესაძლო უხერხულობა.

    წვდომის კონტროლი კონფიდენციალურობის დონეებისა და კატეგორიების მიხედვით

    საიდუმლოების ხარისხის მიხედვით განსხვავება დაყოფილია რამდენიმე დონეზე. თითოეული მომხმარებლის ნებართვების დაყენება შესაძლებელია უსაფრთხოების მაქსიმალური დონის შესაბამისად, რომელზედაც ის დაშვებულია.

    პაროლის წვდომის კონტროლი

    პაროლის გამოყოფა იყენებს მეთოდებს სუბიექტებისთვის პაროლის გამოყენებით ობიექტებზე წვდომისთვის. პაროლების მუდმივი გამოყენება იწვევს მომხმარებლისთვის უხერხულობას და დროის შეფერხებას. ამ მიზეზით, პაროლის გამოყოფის მეთოდები გამოიყენება გამონაკლის სიტუაციებში.

პრაქტიკაში ჩვეულებრივია წვდომის კონტროლის სხვადასხვა მეთოდების გაერთიანება. მაგალითად, პირველი სამი მეთოდი გაუმჯობესებულია პაროლით დაცვით. დაშვების კონტროლის გამოყენება უსაფრთხო კომპიუტერული სისტემის წინაპირობაა.

imbasoft 2016 წლის 21 აპრილი 00:04 საათზე

სტანდარტი კორპორატიული ფაილების ინფორმაციის რესურსებზე წვდომის უფლებების მართვისთვის

  • Ინფორმაციის დაცვა


რა შეიძლება იყოს უფრო მარტივი, ვიდრე NTFS-ში საქაღალდეზე უფლებების დიფერენცირება? მაგრამ ეს მარტივი ამოცანა შეიძლება გადაიქცეს ნამდვილ კოშმარად, როდესაც არის ასობით, თუ არა ათასობით, მსგავსი საქაღალდე და ერთი საქაღალდეზე უფლებების შეცვლა „არღვევს“ უფლებებს სხვებზე. ასეთ პირობებში ეფექტური მუშაობისთვის საჭიროა გარკვეული შეთანხმება, ან სტანდარტი, რომელიც აღწერს, თუ როგორ უნდა მოგვარდეს ასეთი პრობლემები. ამ სტატიაში ჩვენ განვიხილავთ ასეთი სტანდარტის ერთ-ერთ ვარიანტს.

ფარგლები

კორპორატიული ფაილების ინფორმაციის რესურსებზე წვდომის უფლებების მართვის სტანდარტი (შემდგომში სტანდარტი) არეგულირებს Microsoft Windows-ის ოჯახის ოპერაციულ სისტემებზე მდებარე კომპიუტერებზე წვდომის პროცესს. სტანდარტი ვრცელდება იმ შემთხვევებზე, როდესაც NTFS გამოიყენება როგორც ფაილური სისტემა, ხოლო SMB/CIFS გამოიყენება როგორც ქსელის პროტოკოლი ფაილის გაზიარებისთვის.

ტერმინები და განმარტებები

საინფორმაციო რესურსი– მონაცემთა დასახელებული ნაკრები, რომლებზედაც გამოიყენება ინფორმაციის უსაფრთხოების უზრუნველყოფის მეთოდები და საშუალებები (მაგალითად, წვდომის კონტროლი).
ფაილის ინფორმაციის რესურსი– ფაილური სისტემის დირექტორიაში შენახული ფაილებისა და საქაღალდეების კოლექცია (ე.წ. ფაილის ინფორმაციის რესურსის ძირეული დირექტორია), რომლებზე წვდომა შეზღუდულია.
კომპოზიტური ფაილის ინფორმაციის რესურსი– ეს არის ფაილის ინფორმაციის რესურსი, რომელიც შეიცავს ერთ ან მეტ ჩადგმულ ფაილურ საინფორმაციო რესურსს, რომელიც განსხვავდება მოცემული რესურსისგან წვდომის უფლებებით.
ჩადგმული ფაილის ინფორმაციის რესურსიარის ფაილური ინფორმაციის რესურსი, რომელიც შედის კომპოზიტურ საინფორმაციო რესურსში.
ფაილის ინფორმაციის რესურსში შესვლის წერტილი– ფაილური სისტემის დირექტორია, რომელზედაც უზრუნველყოფილია ქსელის წვდომა (გაზიარებული საქაღალდე) და რომელიც გამოიყენება ფაილის ინფორმაციის რესურსზე წვდომის უზრუნველსაყოფად. ეს დირექტორია, როგორც წესი, ემთხვევა ფაილის ინფორმაციის რესურსის ძირეულ დირექტორიას, მაგრამ ის ასევე შეიძლება იყოს უფრო მაღალი.
შუალედური დირექტორია– ფაილური სისტემის დირექტორია, რომელიც მდებარეობს შესასვლელი წერტილიდან ფაილის ინფორმაციის რესურსამდე ფაილის ინფორმაციის რესურსის ძირეულ დირექტორიამდე. თუ ფაილის ინფორმაციის რესურსში შესვლის წერტილი არის მშობელი დირექტორია ფაილის ინფორმაციის რესურსის ძირეული დირექტორია, მაშინ ის ასევე იქნება შუალედური დირექტორია.
მომხმარებლის წვდომის ჯგუფი– ადგილობრივი ან დომენის უსაფრთხოების ჯგუფი, რომელიც საბოლოოდ შეიცავს მომხმარებლის ანგარიშებს, რომლებსაც აქვთ ფაილური ინფორმაციის რესურსზე წვდომის უფლებების ერთ-ერთი ვარიანტი.

Ძირითადი პრინციპები

  1. წვდომა შეზღუდულია მხოლოდ დირექტორიაში. ცალკეულ ფაილებზე წვდომის შეზღუდვა არ არსებობს.
  2. წვდომის უფლებები ენიჭება უსაფრთხოების ჯგუფებს. წვდომის უფლებები არ არის მინიჭებული ინდივიდუალური მომხმარებლის ანგარიშებზე.
  3. აშკარა უარყოფის ნებართვები არ გამოიყენება.
  4. წვდომის უფლებები დიფერენცირებულია მხოლოდ ფაილური სისტემის დონეზე. SMB/CIFS ქსელის პროტოკოლების დონეზე უფლებები არ არის დიფერენცირებული (ჯგუფი „ყველა“ – ნებართვები „წაკითხვა/ჩაწერა“ / ყველას – შეცვლა).
  5. ფაილის ინფორმაციის რესურსზე ქსელის წვდომის დაყენებისას, SMB/CIFS პარამეტრებში დაყენებულია „წვდომაზე დაფუძნებული ჩამოთვლა“ ოფცია.
  6. ფაილის ინფორმაციის რესურსების შექმნა მომხმარებლის სამუშაო სადგურებზე მიუღებელია.
  7. არ არის რეკომენდებული ფაილური ინფორმაციის რესურსების განთავსება სერვერების სისტემის დანაყოფებზე.
  8. არ არის რეკომენდებული ფაილის საინფორმაციო რესურსში მრავალი შესვლის წერტილის შექმნა.
  9. შეძლებისდაგვარად თავიდან უნდა იქნას აცილებული ჩასმული ფაილების ინფორმაციის რესურსების შექმნა და იმ შემთხვევებში, როდესაც ფაილების ან დირექტორიების სახელები შეიცავს კონფიდენციალურ ინფორმაციას, ეს სრულიად მიუღებელია.

წვდომის კონტროლის მოდელი

მომხმარებლის წვდომა ფაილის ინფორმაციის რესურსზე უზრუნველყოფილია მას უფლებამოსილების ერთ-ერთი ვარიანტის მინიჭებით:
  • მხოლოდ წაკითხვადი წვდომა ( ად არა)".
  • წაკითხვის/ჩაწერის წვდომა ( წაკითხვა & რიტუალი)".
წვდომის კონტროლის ამოცანების აბსოლუტურ უმრავლესობაში, წვდომის ნებართვის ასეთი ვარიანტები საკმარისი იქნება, მაგრამ საჭიროების შემთხვევაში, შესაძლებელია ახალი ნებართვის ვარიანტების შექმნა, მაგალითად, „წაკითხვა და ჩაწერა წაშლის გარეშე“. ახალი უფლებამოსილებების განსახორციელებლად, საჭირო იქნება 1-ლი ცხრილის B.3 პუნქტის დაზუსტება, წინააღმდეგ შემთხვევაში სტანდარტის გამოყენება უცვლელი დარჩება.

მომხმარებელთა წვდომის ჯგუფების დასახელების წესები

მომხმარებლის წვდომის ჯგუფის სახელები იქმნება შემდეგი შაბლონის გამოყენებით:

FILE - ფაილის საინფორმაციო რესურსის დასახელება - ავტორიტეტის აბრევიატურა

ფაილის ინფორმაციის რესურსის სახელი
უნდა შეესაბამებოდეს რესურსის UNC სახელს ან შედგებოდეს სერვერის სახელისა და ლოკალური ბილიკისგან (თუ რესურსზე ქსელის წვდომა არ არის გათვალისწინებული). საჭიროების შემთხვევაში, აბრევიატურები დაშვებულია ამ სფეროში. სიმბოლოები "\\" გამოტოვებულია და "\" და ":" შეიცვლება "--ით".

ავტორიტეტის აბრევიატურები:

  • RO - "მხოლოდ წაკითხვის" წვდომის ვარიანტისთვის
  • RW - "წაკითხვა და ჩაწერა" წვდომის ვარიანტისთვის.
მაგალითი 1
წვდომის ჯგუფის სახელი იმ მომხმარებლებისთვის, რომლებსაც აქვთ მხოლოდ წაკითხვის ნებართვები ფაილის ინფორმაციის რესურსისთვის UNC სახელით \\FILESRV\Report იქნება:
FILE-FILESRV-Report-RO

მაგალითი 2
მომხმარებელთა წვდომის ჯგუფის სახელი, რომლებსაც აქვთ „წაკითხვის და ჩაწერის“ ნებართვები TERMSRV სერვერზე განთავსებული ფაილის ინფორმაციის რესურსისთვის, გზაზე D:\UsersData იქნება:
FILE-TERMSRV-D-UsersData-RW

ფაილური ინფორმაციის რესურსის კატალოგებზე წვდომის უფლებების შაბლონი

ცხრილი 1– NTFS წვდომის უფლებების შაბლონი ფაილის ინფორმაციის რესურსის ძირეული დირექტორია.

საგნები უფლებები მემკვიდრეობის რეჟიმი
ინვალიდი
ა) სავალდებულო უფლებები
სპეციალური ანგარიში:
"სისტემა"
სრული წვდომა


"ადმინისტრატორები"
სრული წვდომა
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები
ბ.1) ნებართვები „მხოლოდ წაკითხვა ( ად არა)"
მომხმარებლის წვდომის ჯგუფი:
"FILE-ResourceName-RO"
ძირითადი უფლებები:
ა) კითხვა და შესრულება (წაკითხვა და შესრულება);
ბ) ჩამოთვალოს საქაღალდის შიგთავსი;
გ) კითხვა (წაკითხვა);
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები
ბ.2) ნებართვები „წაკითხვა და წერა ( წაკითხვა & რიტუალი)"
მომხმარებლის წვდომის ჯგუფი:
"FILE-ResourceName-RW"
ძირითადი უფლებები:
ა) შეცვლა (მოდიფიცირება);
ბ) კითხვა და შესრულება (read & execute);
გ) ჩამოთვალოს საქაღალდის შიგთავსი;
დ) კითხვა (წაკითხვა);
ე) ჩაწერა (ჩაწერა);
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები
ბ.3) სხვა უფლებამოსილებები, ასეთის არსებობის შემთხვევაში
მომხმარებლის წვდომის ჯგუფი:
"FILE-Resource Name-Permission აბრევიატურა"
ავტორიტეტის მიხედვით
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები

ტაბლეტი 2– NTFS წვდომის უფლებების შაბლონი ფაილური ინფორმაციის რესურსის შუალედური დირექტორიებისთვის.
საგნები
 უფლებები
 მემკვიდრეობის რეჟიმი
წვდომის უფლებების მემკვიდრეობა მშობელი დირექტორიებიდან შედის, მაგრამ თუ ეს დირექტორია აღემატება ფაილურ საინფორმაციო რესურსებს და არ შედის ფაილის ინფორმაციის სხვა რესურსში, მაშინ მემკვიდრეობა ინვალიდი
ა) სავალდებულო უფლებები
სპეციალური ანგარიში:
"სისტემა"
სრული წვდომა
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები
ადგილობრივი უსაფრთხოების ჯგუფი:
"ადმინისტრატორები"
სრული წვდომა
ამ საქაღალდისთვის, ქვესაქაღალდეები და ფაილები
ბ.1) უფლებამოსილება „გაატარეთ დირექტორია (ტრავერსი
წვდომა საინფორმაციო რესურსების მომხმარებელთა ჯგუფებზე, რომლებისთვისაც ეს დირექტორია არის შუალედური დირექტორია
უსაფრთხოების დამატებითი პარამეტრები:
ა) საქაღალდის ტრავერსი / ფაილების შესრულება;
ბ) საქაღალდის შიგთავსი / წაკითხული მონაცემები (სიის საქაღალდე / წაკითხული მონაცემები);
გ) კითხვის ატრიბუტები;
გ) გაფართოებული ატრიბუტების კითხვა;
დ) წაკითხვის ნებართვები;
მხოლოდ ეს საქაღალდე

ბიზნეს პროცესები ფაილის ინფორმაციის რესურსებზე წვდომის მართვისთვის

ა. ფაილის საინფორმაციო რესურსის შექმნა
ფაილის ინფორმაციის რესურსის შექმნისას ხორციელდება შემდეგი მოქმედებები:
  1. იქმნება მომხმარებლის წვდომის ჯგუფები. თუ სერვერი, რომელიც მასპინძლობს ფაილის ინფორმაციის რესურსს, არის დომენის წევრი, მაშინ იქმნება დომენური ჯგუფები. თუ არა, მაშინ ჯგუფები იქმნება ლოკალურად სერვერზე.
  2. წვდომის უფლებები ენიჭება ფაილის საინფორმაციო რესურსის ძირეულ დირექტორიასა და შუალედურ დირექტორიას წვდომის უფლებების შაბლონების მიხედვით.
  3. მომხმარებლის ანგარიშები ემატება მომხმარებელთა წვდომის ჯგუფებს მათი ნებართვების შესაბამისად.
  4. საჭიროების შემთხვევაში, ფაილის ინფორმაციის რესურსისთვის იქმნება ქსელის საქაღალდე (გაზიარებული საქაღალდე).
B. მომხმარებლისთვის ფაილის ინფორმაციის რესურსზე წვდომის უზრუნველყოფა
მომხმარებლის ანგარიში მოთავსებულია მომხმარებლის წვდომის შესაბამის ჯგუფში მისი ნებართვების საფუძველზე.

B. ფაილის ინფორმაციის რესურსზე მომხმარებლის წვდომის შეცვლა
მომხმარებლის ანგარიში გადატანილია სხვა მომხმარებლის წვდომის ჯგუფში მითითებული ნებართვების საფუძველზე.

დ. მომხმარებლის წვდომის ბლოკირება ფაილის ინფორმაციის რესურსზე
მომხმარებლის ანგარიში ამოღებულია ფაილური ინფორმაციის რესურსების მომხმარებელთა წვდომის ჯგუფებიდან. თუ თანამშრომელი წავა, ჯგუფის წევრობა არ იცვლება, მაგრამ მთელი ანგარიში იბლოკება.

D1. შექმენით ჩადგმული ფაილის ინფორმაციის რესურსი. წვდომის გაფართოება
ეს ამოცანა წარმოიქმნება მაშინ, როდესაც აუცილებელია ადამიანთა დამატებითი ჯგუფისთვის ფაილის ინფორმაციის რესურსის გარკვეულ დირექტორიაში წვდომა (წვდომის გაფართოება). ამ შემთხვევაში ტარდება შემდეგი აქტივობები:

  1. უფრო მაღალი დონის კომპოზიტური ფაილური ინფორმაციის რესურსის მომხმარებელთა წვდომის ჯგუფები ემატება ჩადგმული ფაილის ინფორმაციის რესურსის მომხმარებელთა წვდომის ჯგუფებს.
D 2. შექმენით ჩადგმული ფაილის ინფორმაციის რესურსი. წვდომის შევიწროება
ეს ამოცანა ჩნდება მაშინ, როდესაც საჭიროა შეიზღუდოს წვდომა ფაილური ინფორმაციის რესურსის გარკვეულ დირექტორიაში და მიაწოდოს იგი მხოლოდ ადამიანთა შეზღუდულ ჯგუფს:
  1. თანდართული ფაილის საინფორმაციო რესურსი რეგისტრირებულია (პროცესის მიხედვით)
  2. მომხმარებლის ის ანგარიშები, რომლებსაც სჭირდებათ წვდომა, მოთავსებულია შექმნილი საინფორმაციო რესურსის მომხმარებელთა წვდომის ჯგუფებში.
E. ფაილის ინფორმაციის რესურსზე წვდომის უზრუნველყოფის მოდელის შეცვლა
იმ შემთხვევებში, როდესაც საჭიროა ახალი ტიპის ნებართვების დამატება ნებართვის სტანდარტულ პარამეტრებში "მხოლოდ წაკითხვა" ან "წაკითხვა და ჩაწერა", მაგალითად, "წაკითხვა და ჩაწერა წაშლის გარეშე" შეასრულეთ შემდეგი მოქმედებები:
  1. ორგანიზაციული (ან ტექნიკური, მაგრამ არ არის დაკავშირებული ფაილური სისტემის დირექტორიებზე წვდომის უფლებების შეცვლასთან) ღონისძიებები ბლოკავს მომხმარებლის წვდომას ამ და ყველა ჩაშენებულ ფაილის ინფორმაციის რესურსზე.
  2. წვდომის ახალი უფლებები ენიჭება ფაილის საინფორმაციო რესურსის ძირეულ დირექტორიას და ჩანაცვლებულია ყველა ბავშვის ობიექტისთვის წვდომის უფლებები (გააქტიურებულია მემკვიდრეობა).
  3. წვდომის უფლებები ყველა ჩაშენებულ საინფორმაციო რესურსზე ხელახლა კონფიგურირებულია.
  4. შუალედური დირექტორიები კონფიგურირებულია ამისათვის და ჩასმული ინფორმაციის რესურსებისთვის.

მაგალითები

მოდით განვიხილოთ ამ სტანდარტის გამოყენება ჰიპოთეტური ორგანიზაციის, შპს "InfoCryptoService" მაგალითის გამოყენებით, სადაც სერვერი სახელად "FILESRV" გამოყოფილია ფაილური ინფორმაციის რესურსების ცენტრალიზებული შენახვისთვის. სერვერი მუშაობს Microsoft Windows Server 2008 R2 ოპერაციულ სისტემაზე და არის Active Directory დომენის წევრი FQDN სახელით „domain.ics“ და NetBIOS სახელწოდებით „ICS“.

ფაილის სერვერის მომზადება
"FILESRV" სერვერის "D:" დისკზე შექმენით დირექტორია "D:\SHARE". ეს დირექტორია იქნება ერთი შესვლის წერტილი ამ სერვერზე განთავსებული ყველა ფაილის ინფორმაციის რესურსისთვის. ჩვენ ვაწყობთ ქსელის წვდომას ამ საქაღალდეზე (გამოიყენეთ აპლეტი "გაზიარებისა და შენახვის მენეჯმენტი"):


ფაილის ინფორმაციის რესურსის შექმნა
პრობლემის ფორმულირება.
ორგანიზაცია InfoCryptoService LLC-ს ჰქონდეს საინფორმაციო სისტემების განვითარების დეპარტამენტი, რომელიც შედგება: დეპარტამენტის უფროსი ივანოვი სერგეი ლეონიდოვიჩი ( [ელფოსტა დაცულია]), სპეციალისტი მარკინ ლევ ბორისოვიჩი ( [ელფოსტა დაცულია]), და მათთვის თქვენ უნდა მოაწყოთ ფაილის ინფორმაციის რესურსი დეპარტამენტის მონაცემების შესანახად. ორივე მუშაკს სჭირდება წაკითხვისა და ჩაწერის წვდომა ამ რესურსზე.

გამოსავალი.
"FILESRV" სერვერის "D:\SHARE\" დირექტორიაში ჩვენ შევქმნით საქაღალდეს "D:\SHARE\Information Systems Development Department\", რომელიც იქნება ფაილის საინფორმაციო რესურსის ძირეული დირექტორია. ჩვენ ასევე შევქმნით მომხმარებლის წვდომის ჯგუფებს (გლობალური დომენის უსაფრთხოების ჯგუფები „ICS“) ამ რესურსისთვის:

  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RO"
  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RW"
მოდით დავაყენოთ წვდომის უფლებები დირექტორიაში "D:\SHARE\Information Systems Development Department\":



ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RO:(OI)(CI)R


D:\SHARE\ დირექტორია არის შესვლის წერტილი და დადგმის დირექტორია ამ რესურსისთვის. მოდით დავამატოთ მას ტრავერსის უფლებები ჯგუფებისთვის: „FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RO" და "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RW"


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:


NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F

ვინაიდან მომხმარებლები საჭიროებენ წაკითხვისა და ჩაწერის წვდომას, მოდით დავამატოთ მათი ანგარიშები ჯგუფში „FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RW"

მომხმარებლის წვდომის უზრუნველყოფა ფაილის ინფორმაციის რესურსზე
პრობლემის ფორმულირება.
დავუშვათ განვითარების განყოფილებაში სხვა თანამშრომელი დაიქირავეს - სპეციალისტი მიხაილ ვლადიმროვიჩ ეგოროვი ( [ელფოსტა დაცულია]), და მას, როგორც სხვა დეპარტამენტის თანამშრომლებს, სჭირდება წაკითხვისა და ჩაწერის წვდომა დეპარტამენტის ფაილური ინფორმაციის რესურსზე.

გამოსავალი.
თანამშრომლის ანგარიში უნდა დაემატოს ჯგუფს „FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RW"

წყობილი საინფორმაციო რესურსის შექმნა. წვდომის გაფართოება
პრობლემის ფორმულირება.
დავუშვათ, რომ საინფორმაციო სისტემების განვითარების დეპარტამენტმა გადაწყვიტა გააუმჯობესოს მარკეტინგის დეპარტამენტთან ურთიერთქმედების ხარისხი და მიაწოდოს იგი ამ უკანასკნელის ხელმძღვანელს, ნატალია ევგენიევნა კრუგლიკოვას ( [ელფოსტა დაცულია]) - წაიკითხეთ წვდომა მიმდინარე პროდუქტის დოკუმენტაციაზე, რომელიც ინახება საინფორმაციო სისტემების განვითარების დეპარტამენტის ფაილური ინფორმაციის რესურსის საქაღალდეში „დოკუმენტაცია“.

გამოსავალი.
ამ პრობლემის გადასაჭრელად, აუცილებელია შეიქმნას ჩადგმული რესურსი “\\FILESRV\share\Information System Development Department\Documentation”, რომელზეც უნდა ჰქონდეს ყველა მომხმარებელს, ვისაც ჰქონდა წვდომა “\\FILESRV\share\Department”-ზე (დარჩენა) წვდომა წაკითხვისა და ჩაწერის შესახებ საინფორმაციო სისტემების განვითარებაზე\ და დაამატეთ წაკითხვის წვდომა მომხმარებლისთვის ნატალია ევგენიევნა კრუგლიკოვა ( [ელფოსტა დაცულია])

დირექტორიაში "D:\SHARE\Information Systems Development Department\" ჩვენ შევქმნით საქაღალდეს "D:\SHARE\Information Systems Development Department\Documentation", რომელიც იქნება ახალი რესურსის ძირეული დირექტორია. ჩვენ ასევე შევქმნით მომხმარებლის წვდომის ორ ჯგუფს:

  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Documentation-RO"
  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Documentation-RW"
მოდით დავაყენოთ წვდომის უფლებები საქაღალდეზე „D:\SHARE\Information Systems Development Department\Documentation“ შემდეგნაირად:


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:

BUILTIN\ადმინისტრატორები:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RW:(OI)(CI)C

ვინაიდან ყველა მომხმარებელს, ვისაც აქვს წვდომა “\\FILESRV\share\Information Systems Development Department\” სჭირდება მსგავსი წვდომა \\FILESRV\share\Information Systems Development Department\Documentation-ზე, ჩვენ დავამატებთ ჯგუფს “FILE-FILESRV-SHARE-. დეპარტამენტი. რეზოლუცია IS-RO"-ში "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Documentation-RO" და "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-RW" "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Documentation-RW“ შესაბამისად. დავამატოთ ნატალია ევგენიევნა კრუგლიკოვას ანგარიში ( [ელფოსტა დაცულია]) ჯგუფში „FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Documentation-RW"

ახლა, თუ ნატალია ევგენიევნა კრუგლიკოვა ( [ელფოსტა დაცულია]) წვდება ბმულს “\\FILESRV\share\Information Systems Development Department\Documentation”, შემდეგ ის შეძლებს ინტერესის საქაღალდეში მოხვედრას, მაგრამ სრულ გზაზე წვდომა ყოველთვის არ არის მოსახერხებელი, ამიტომ ჩვენ დავაყენებთ პასს- ამ პაკეტში შესვლის წერტილიდან “\\ FILESRV\share\"("D:\SHARE\"). ამისათვის ჩვენ დავაკონფიგურირებთ წვდომის უფლებებს შუალედურ დირექტორიებზე „D:\SHARE\“ და „D:\SHARE\Information Systems Development Department\“.

მოდით დავაკონფიგურიროთ "D:\SHARE\":


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RO: R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RW:R


NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F

და "D:\SHARE\საინფორმაციო სისტემების განვითარების დეპარტამენტი":


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:

ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RW:R

ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F

წყობილი საინფორმაციო რესურსის შექმნა. წვდომის შევიწროება
პრობლემის ფორმულირება
საინფორმაციო სისტემების განვითარების დეპარტამენტის განვითარებული მოვლენების სარეზერვო ასლის ორგანიზების მიზნით, დეპარტამენტის ხელმძღვანელი, სერგეი ლეონიდოვიჩ ივანოვი ( [ელფოსტა დაცულია]), როგორც დეპარტამენტის ფაილური ინფორმაციის რესურსის ნაწილი, საჭირო იყო ქსელის საქაღალდე „არქივი“, რომელზეც მხოლოდ მას ექნებოდა წვდომა.

გამოსავალი.
ამ პრობლემის გადასაჭრელად, დეპარტამენტის ფაილური ინფორმაციის რესურსში, თქვენ უნდა შექმნათ ჩადგმული რესურსი „არქივი“ („\\FILESRV\share\Information Systems Development Department\Archive“), რომელზეც წვდომა უნდა მიენიჭოს მხოლოდ დეპარტამენტის უფროსი.

დირექტორიაში "D:\SHARE\Information Systems Development Department\" ჩვენ შევქმნით საქაღალდეს "D:\SHARE\Information Systems Development Department\Archive", რომელიც იქნება ახალი რესურსის ძირეული დირექტორია. ჩვენ ასევე შევქმნით მომხმარებლის წვდომის ორ ჯგუფს:

  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Archive-RO"
  • "FILE-FILESRV-SHARE-Dep. რეზოლუცია IS-Archive-RW"
მოდით დავაკონფიგურიროთ წვდომის უფლებები დირექტორიებზე "D:\SHARE\Information Systems Development Department\Archive":


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:
NT AUTORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-Archive-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-არქივი-RW:(OI)(CI)C

"D:\SHARE\ინფორმაციული სისტემების განვითარების დეპარტამენტი"


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RO:R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RW:R


ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F

და "D:\SHARE\":


cacls ბრძანებით მიღებული NTFS ნებართვების ამოღება:
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RO: R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-RW:R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RO:R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-დოკუმენტაცია-RW:R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-Archive-RO:R
ICS\FILE-FILESRV-SHARE-Dept. რეზოლუცია IS-არქივი-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\ადმინისტრატორები:(OI)(CI)F

სერგეი ლეონიდოვიჩ ივანოვის მომხმარებლის ანგარიში ( [ელფოსტა დაცულია]) დაამატეთ FILE-FILESRV-Department ჯგუფს. ჯერ.IS-Archive-RW.

ლაბორატორიული სამუშაო

თემა: ქსელში წვდომის უფლებების დიფერენციაცია, საერთო დისკის სივრცე ლოკალურ ქსელში

სამიზნე: ლოკალური კომპიუტერული ქსელის მომხმარებლებს შორის ფაილების გაცვლის ტექნიკის დაუფლება.

თეორიული ინფორმაცია ლაბორატორიული სამუშაოსთვის

შორ მანძილზე ინფორმაციის სწრაფი გადაცემის ძირითადი მოწყობილობები ამჟამად არის ტელეგრაფი, რადიო, ტელეფონი, სატელევიზიო გადამცემი და სატელეკომუნიკაციო ქსელები, რომლებიც დაფუძნებულია კომპიუტერულ სისტემებზე.

ინფორმაციის გადაცემა კომპიუტერებს შორის არსებობდა კომპიუტერების გაჩენის დღიდან. ის საშუალებას გაძლევთ მოაწყოთ ცალკეული კომპიუტერების ერთობლივი მუშაობა, გადაჭრათ ერთი პრობლემა რამდენიმე კომპიუტერის გამოყენებით, გააზიაროთ რესურსები და გადაჭრათ მრავალი სხვა პრობლემა.

ქვეშ კომპიუტერული ქსელი გაიგეთ ტექნიკისა და პროგრამული უზრუნველყოფის ნაკრები, რომელიც შექმნილია ინფორმაციის გაცვლისა და მომხმარებლის საერთო ქსელურ რესურსებზე წვდომისთვის.

კომპიუტერული ქსელების ძირითადი მიზანია მომხმარებლებს მიაწოდოს ინფორმაციაზე (მონაცემთა ბაზები, დოკუმენტები და ა.შ.) და რესურსები (მყარი დისკები, პრინტერები, CD-ROM დისკები, მოდემები, გლობალურ ქსელზე წვდომა და ა.შ.) საერთო წვდომის უზრუნველყოფა.

ქსელის აბონენტები - ობიექტები, რომლებიც წარმოქმნიან ან მოიხმარენ ინფორმაციას.

ქსელის აბონენტები შეიძლება იყვნენ ინდივიდუალური კომპიუტერები, სამრეწველო რობოტები, CNC მანქანები (კომპიუტერული რიცხვითი მართვის აპარატები) და ა.შ. ქსელის ნებისმიერი აბონენტი დაკავშირებულია სადგურთან.

სადგური აღჭურვილობა, რომელიც ასრულებს ინფორმაციის გადაცემასა და მიღებასთან დაკავშირებულ ფუნქციებს.

აბონენტებსა და სადგურებს შორის ურთიერთქმედების ორგანიზებისთვის საჭიროა ფიზიკური გადაცემის საშუალება.

ფიზიკური გადაცემის საშუალება - საკომუნიკაციო ხაზები ან სივრცე, რომელშიც ვრცელდება ელექტრული სიგნალები და მონაცემთა გადაცემის მოწყობილობა.

საკომუნიკაციო ხაზების ან არხების ერთ-ერთი მთავარი მახასიათებელია მონაცემთა გადაცემის სიჩქარე (სიჩქარე).

მონაცემთა გადაცემის სიჩქარე - დროის ერთეულზე გადაცემული ინფორმაციის ბიტების რაოდენობა.

როგორც წესი, მონაცემთა გადაცემის სიჩქარე იზომება ბიტებში წამში (bps) და Kbps-სა და Mbps-ის ჯერადებში.

ურთიერთობა საზომ ერთეულებს შორის: 1 კბიტი/წმ = 1024 ბიტი/წმ; 1 Mbit/s =1024 Kbit/s; 1 გბიტი/წმ = 1024 მბიტი/წმ.

საკომუნიკაციო ქსელი აგებულია ფიზიკური გადაცემის საშუალების საფუძველზე. ამრიგად, კომპიუტერული ქსელი არის აბონენტთა სისტემებისა და საკომუნიკაციო ქსელის ერთობლიობა.

ქსელების ტიპები.გამოყენებული კომპიუტერების ტიპის მიხედვით არსებობსერთგვაროვანი დაჰეტეროგენული ქსელები . ჰეტეროგენული ქსელები შეიცავს პროგრამულ უზრუნველყოფას შეუთავსებელ კომპიუტერებს.

ტერიტორიული მახასიათებლების მიხედვით, ქსელები იყოფა ადგილობრივი და გლობალური.

ლოკალური ქსელები (LAN, ლოკალური ქსელი)აერთიანებს აბონენტებს, რომლებიც მდებარეობს მცირე ფართობზე, ჩვეულებრივ არაუმეტეს 2-2,5 კმ-ზე.

ლოკალური კომპიუტერული ქსელები საშუალებას მისცემს ცალკეული საწარმოებისა და დაწესებულებების, მათ შორის საგანმანათლებლო მუშაობის ორგანიზებას და საერთო ტექნიკურ და საინფორმაციო რესურსებზე წვდომის ორგანიზების პრობლემის გადაჭრას.

გლობალური ქსელები (WAN, ფართო არეალის ქსელი)აერთიანებს ერთმანეთისგან მნიშვნელოვან მანძილზე მდებარე აბონენტებს: ქალაქის სხვადასხვა ნაწილში, სხვადასხვა ქალაქში, ქვეყანაში, სხვადასხვა კონტინენტზე (მაგალითად, ინტერნეტი).

ასეთი ქსელის აბონენტებს შორის ურთიერთქმედება შეიძლება განხორციელდეს სატელეფონო საკომუნიკაციო ხაზების, რადიოკავშირებისა და სატელიტური საკომუნიკაციო სისტემების საფუძველზე. გლობალური კომპიუტერული ქსელები გადაწყვეტს მთელი კაცობრიობის საინფორმაციო რესურსების გაერთიანებისა და ამ რესურსებზე წვდომის ორგანიზების პრობლემას.


ძირითადი საკომუნიკაციო ქსელის კომპონენტები:

    გადამცემი;

    მიმღები;

    შეტყობინებები (გარკვეული ფორმატის ციფრული მონაცემები: მონაცემთა ბაზის ფაილი, ცხრილი, მოთხოვნაზე პასუხი, ტექსტი ან სურათი);

    გადამცემი მედია (ფიზიკური გადაცემის საშუალება და სპეციალური აღჭურვილობა, რომელიც უზრუნველყოფს ინფორმაციის გადაცემას).

ლოკალური ქსელების ტოპოლოგია.კომპიუტერული ქსელის ტოპოლოგია ჩვეულებრივ ეხება ქსელში კომპიუტერების ფიზიკურ მდებარეობას ერთმანეთთან შედარებით და ხაზებით მათი დაკავშირების გზას.

ტოპოლოგია განსაზღვრავს აღჭურვილობის მოთხოვნებს, გამოყენებული კაბელის ტიპს, კომუნიკაციის კონტროლის მეთოდებს, ოპერაციულ საიმედოობას და ქსელის გაფართოების შესაძლებლობას. ქსელის ტოპოლოგიის სამი ძირითადი ტიპი არსებობს: ავტობუსი, ვარსკვლავი და რგოლი.

ავტობუსი, რომელშიც ყველა კომპიუტერი დაკავშირებულია ერთი საკომუნიკაციო ხაზის პარალელურად და თითოეული კომპიუტერიდან ინფორმაცია ერთდროულად გადაეცემა ყველა სხვა კომპიუტერს. ამ ტოპოლოგიის მიხედვით იქმნება peer-to-peer ქსელი. ასეთი კავშირით, კომპიუტერებს შეუძლიათ ინფორმაციის გადაცემა მხოლოდ ერთ ჯერზე, რადგან არსებობს მხოლოდ ერთი საკომუნიკაციო ხაზი.

უპირატესობები:

    ქსელში ახალი კვანძების დამატების სიმარტივე (ეს შესაძლებელია ქსელის მუშაობის დროსაც კი);

    ქსელი აგრძელებს ფუნქციონირებას იმ შემთხვევაშიც კი, თუ ცალკეული კომპიუტერები ვერ ახერხებენ;

    ქსელის იაფი აღჭურვილობა ამ ტოპოლოგიის ფართო გამოყენების გამო.

ხარვეზები:

    ქსელური აღჭურვილობის სირთულე;

    ქსელური აღჭურვილობის გაუმართაობის დიაგნოსტიკის სირთულე იმის გამო, რომ ყველა ადაპტერი დაკავშირებულია პარალელურად;

    საკაბელო გაწყვეტა იწვევს მთელი ქსელის უკმარისობას;

    საკომუნიკაციო ხაზების მაქსიმალური სიგრძის შეზღუდვა იმის გამო, რომ სიგნალები სუსტდება გადაცემის დროს და ვერ აღდგება არანაირად.

ვარსკვლავი, რომელშიც სხვა პერიფერიული კომპიუტერები დაკავშირებულია ერთ ცენტრალურ კომპიუტერთან, თითოეული მათგანი იყენებს თავის ცალკეულ საკომუნიკაციო ხაზს. ყველა ინფორმაციის გაცვლა ხდება ექსკლუზიურად ცენტრალური კომპიუტერის საშუალებით, რომელიც ატარებს ძალიან დიდ დატვირთვას, ამიტომ ის განკუთვნილია მხოლოდ ქსელის მოვლისთვის.

უპირატესობები:

    პერიფერიული კომპიუტერის გაუმართაობა არანაირად არ იმოქმედებს დანარჩენი ქსელის ფუნქციონირებაზე;

    გამოყენებული ქსელური აღჭურვილობის სიმარტივე;

    ყველა კავშირის წერტილი გროვდება ერთ ადგილას, რაც აადვილებს ქსელის მუშაობის კონტროლს და ქსელის ხარვეზების ლოკალიზაციას გარკვეული პერიფერიული მოწყობილობების ცენტრიდან გათიშვით;

    არ არის სიგნალის შესუსტება.

ხარვეზები:

    ცენტრალური კომპიუტერის გაუმართაობა ქსელს სრულიად უფუნქციოდ აქცევს;

    პერიფერიული კომპიუტერების რაოდენობის მკაცრი შეზღუდვა;

    საკაბელო მნიშვნელოვანი მოხმარება.

ბეჭედი, რომელშიც თითოეული კომპიუტერი ყოველთვის გადასცემს ინფორმაციას ჯაჭვის შემდეგ მხოლოდ ერთ კომპიუტერს და იღებს ინფორმაციას მხოლოდ ჯაჭვის წინა კომპიუტერიდან და ეს ჯაჭვი დახურულია. რგოლის თავისებურება ის არის, რომ თითოეული კომპიუტერი აღადგენს მასზე მოსულ სიგნალს, ამიტომ სიგნალის შესუსტებას მთელ რგოლში მნიშვნელობა არ აქვს, მნიშვნელოვანია მხოლოდ მეზობელ კომპიუტერებს შორის შესუსტება.

უპირატესობები:

    ადვილია ახალი კვანძების დაკავშირება, თუმცა ეს მოითხოვს ქსელის შეჩერებას;

    კვანძების დიდი რაოდენობა, რომლებიც შეიძლება დაკავშირებული იყოს ქსელთან (1000-ზე მეტი);

    მაღალი წინააღმდეგობა გადატვირთვის მიმართ.

ხარვეზები:

    მინიმუმ ერთი კომპიუტერის გაუმართაობა არღვევს ქსელის მუშაობას;

    კაბელის გაწყვეტა მინიმუმ ერთ ადგილას არღვევს ქსელის მუშაობას.

ზოგიერთ შემთხვევაში, ქსელის შემუშავებისას გამოიყენება კომბინირებული ტოპოლოგია. Მაგალითად, ხე(ხე) - რამდენიმე ვარსკვლავის კომბინაცია.

თითოეულ კომპიუტერს, რომელიც მუშაობს ლოკალურ ქსელში, უნდა ჰქონდეს ქსელის ადაპტერი (ქსელის ბარათი).ქსელური ადაპტერის ფუნქციაა საკომუნიკაციო კაბელებით განაწილებული სიგნალების გადაცემა და მიღება. გარდა ამისა, კომპიუტერი აღჭურვილი უნდა იყოს ქსელური ოპერაციული სისტემით.

ქსელების მშენებლობისას გამოიყენება შემდეგი ტიპის კაბელები:

დაუფარავი გრეხილი წყვილი.მაქსიმალური მანძილი, რომელზედაც შესაძლებელია ამ კაბელით დაკავშირებული კომპიუტერების განთავსება, აღწევს 90 მ ინფორმაციის გადაცემის სიჩქარეს 10-დან 155 მბიტ/წმ-მდე. დამცავი გრეხილი წყვილი.ინფორმაციის გადაცემის სიჩქარეა 16 მბიტი/წმ 300 მ-მდე მანძილზე.

კოაქსიალური კაბელი.ახასიათებს უფრო მაღალი მექანიკური სიძლიერე, ხმაურის იმუნიტეტი და საშუალებას გაძლევთ გადაიტანოთ ინფორმაცია 2000 მ-მდე მანძილზე 2-44 მბიტ/წმ სიჩქარით;

იდეალური გადამცემი საშუალება, მასზე არ მოქმედებს ელექტრომაგნიტური ველები, საშუალებას გაძლევთ გადასცეთ ინფორმაცია 10000 მ-მდე მანძილზე 10 გბიტ/წმ-მდე სიჩქარით.

გლობალური ქსელების კონცეფცია. გლობალური ქსელი -ეს არის კომპიუტერების ასოციაციები, რომლებიც მდებარეობს შორ მანძილზე, მსოფლიო საინფორმაციო რესურსების საერთო გამოყენებისთვის. დღეს მსოფლიოში 200-ზე მეტი მათგანია, მათგან ყველაზე ცნობილი და პოპულარული ინტერნეტია.

ლოკალური ქსელებისგან განსხვავებით, გლობალურ ქსელებს არ აქვთ ერთიანი კონტროლის ცენტრი. ქსელი დაფუძნებულია ათობით და ასეულ ათასობით კომპიუტერზე, რომლებიც დაკავშირებულია ამა თუ იმ საკომუნიკაციო არხებით. თითოეულ კომპიუტერს აქვს უნიკალური იდენტიფიკატორი, რომელიც საშუალებას გაძლევთ „დაგეგმოთ მარშრუტი მისკენ“ ინფორმაციის მიწოდებისთვის. როგორც წესი, გლობალური ქსელი აერთიანებს კომპიუტერებს, რომლებიც მუშაობენ სხვადასხვა წესების მიხედვით (სხვადასხვა არქიტექტურა, სისტემის პროგრამული უზრუნველყოფა და ა.შ.). ამიტომ, კარიბჭეები გამოიყენება ინფორმაციის ერთი ტიპის ქსელიდან მეორეზე გადასატანად.

კარიბჭეები - ეს არის მოწყობილობები (კომპიუტერები), რომლებიც ემსახურებიან ქსელების დაკავშირებას სრულიად განსხვავებული გაცვლის პროტოკოლებით.

გაცვლის პროტოკოლი - ეს არის წესების ერთობლიობა (შეთანხმება, სტანდარტი), რომელიც განსაზღვრავს ქსელის სხვადასხვა კომპიუტერებს შორის მონაცემთა გაცვლის პრინციპებს.

პროტოკოლები პირობითად იყოფა ძირითად (დაბალ დონეზე), რომელიც პასუხისმგებელია ნებისმიერი ტიპის ინფორმაციის გადაცემაზე და აპლიკაციად (უმაღლესი დონე), რომელიც პასუხისმგებელია სპეციალიზებული სერვისების მუშაობაზე.

ქსელის მასპინძელი კომპიუტერი, რომელიც უზრუნველყოფს წვდომას საერთო მონაცემთა ბაზაზე, საშუალებას აძლევს შეყვანის/გამომავალი მოწყობილობების გაზიარებას და მომხმარებლის ურთიერთქმედებას ე.წ. სერვერი .

ქსელური კომპიუტერი, რომელიც იყენებს მხოლოდ ქსელის რესურსებს, მაგრამ არ აძლევს თავის რესურსებს ქსელს, ეწოდება კლიენტი(ხშირად ასევე უწოდებენ სამუშაო სადგური).

გლობალურ ქსელში მუშაობისთვის მომხმარებელს უნდა ჰქონდეს შესაბამისი აპარატურა და პროგრამული უზრუნველყოფა.

პროგრამული უზრუნველყოფა შეიძლება დაიყოს ორ კლასად:

    სერვერის პროგრამები, რომლებიც განლაგებულია ქსელის კვანძზე, რომელიც ემსახურება მომხმარებლის კომპიუტერს;

    კლიენტის პროგრამები, რომლებიც განთავსებულია მომხმარებლის კომპიუტერზე და იყენებს სერვერის სერვისებს.

გლობალური ქსელები მომხმარებლებს სთავაზობს სხვადასხვა სერვისს: ელ. ფოსტა, დისტანციური წვდომა ქსელის ნებისმიერ კომპიუტერზე, მონაცემთა და პროგრამების ძიება და ა.შ.

ნაწარმოების შინაარსი:

დავალება No1.

    შექმენით საქაღალდე „Exchanger 403“-ზე Mail_1 სახელით (სახელში მითითებული ნომერი შეესაბამება თქვენი კომპიუტერის ნომერს).

    ტექსტური რედაქტორის გამოყენებითსიტყვაან WordPadდაწერეთ წერილი თქვენს კლასელებს.

    შეინახეთ ეს ტექსტი Mail_1 საქაღალდეში თქვენს კომპიუტერში ფაილის letter1-ში.დოკ, სადაც 1 არის კომპიუტერის ნომერი.

    გახსენით საქაღალდე სხვა კომპიუტერზე, მაგალითად, Mail_2 და დააკოპირეთ ფაილის letter1 თქვენი Mail_1 საქაღალდიდან მასში.

    თქვენს Mail_1 საქაღალდეში წაიკითხეთ სხვა მომხმარებლების წერილები, მაგალითად letter2. დაამატეთ თქვენი პასუხი მათ.

    ფაილის სახელის გადარქმევა letter2.დოკწერილი2_response1-ის შესატანად.დოკ

    გადაიტანეთ ფაილი letter2_response1.დოკMail _2 საქაღალდეში და წაშალეთ იგი თქვენი საქაღალდიდან

    წაიკითხეთ შეტყობინებები სხვა მომხმარებლებისგან თქვენს საქაღალდეში და გაიმეორეთ ნაბიჯები 5-8 მათთვის.

დავალება No2. Უპასუხე კითხვებს:

    მიუთითეთ კომპიუტერული ქსელის ძირითადი მიზანი.

    მიუთითეთ ობიექტი, რომელიც არის ქსელის აბონენტი.

    მიუთითეთ საკომუნიკაციო არხების ძირითადი მახასიათებლები.

    რა არის ლოკალური ქსელი, გლობალური ქსელი?

    რა იგულისხმება ლოკალური ქსელის ტოპოლოგიაში?

    რა ტიპის ლოკალური ქსელის ტოპოლოგია არსებობს?

    მოკლედ აღწერეთ ავტობუსის, ვარსკვლავის და რგოლის ტოპოლოგიები.

    რა არის გაცვლის პროტოკოლი?

    Პრობლემის გადაჭრა. ლოკალურ ქსელში მონაცემთა გადაცემის მაქსიმალური სიჩქარეა 100 მბიტი/წმ. რამდენი გვერდის ტექსტი შეიძლება გადაიცეს 1 წამში, თუ ტექსტის 1 გვერდი შეიცავს 50 სტრიქონს და თითოეულ სტრიქონს 70 სიმბოლო.

დავალება No3. გამოიტანეთ დასკვნა ჩატარებული ლაბორატორიული სამუშაოების შესახებ:

ცოდნისა და უნარების მოთხოვნები

სტუდენტმა უნდა იცოდეს:

  • წვდომის კონტროლის მეთოდები;

  • სახელმწიფო ტექნიკური კომისიის მმართველი დოკუმენტებით გათვალისწინებული დაშვების კონტროლის მეთოდები.

სტუდენტს უნდა შეეძლოს:

  • გამოიყენეთ წვდომის კონტროლის მეთოდები.

საკვანძო ტერმინი

საკვანძო ტერმინი: წვდომის კონტროლის მეთოდები.

წვდომის განსაზღვრისას სუბიექტის უფლებამოსილებები (უფლებათა ნაკრები) დგინდება საინფორმაციო სისტემის ობიექტების ავტორიზებული გამოყენების შემდგომი კონტროლისთვის.

უმნიშვნელო პირობები

  • წვდომის კონტროლის მეთოდები.

  • სავალდებულო და დისკრეტული წვდომის კონტროლი.

ტერმინების სტრუქტურული დიაგრამა

4.3.1 წვდომის კონტროლის მეთოდები

იდენტიფიკაციისა და ავთენტიფიკაციის დასრულების შემდეგ, უსაფრთხოების ქვესისტემა ადგენს სუბიექტის უფლებამოსილებებს (უფლებათა კომპლექტს) საინფორმაციო სისტემის ობიექტების ავტორიზებული გამოყენების შემდგომი კონტროლისთვის.

როგორც წესი, სუბიექტის უფლებამოსილებები წარმოდგენილია: რესურსების სია,მომხმარებლისთვის ხელმისაწვდომი და წვდომის უფლებებისიიდან თითოეულ რესურსზე.

არსებობს წვდომის კონტროლის შემდეგი მეთოდები:

  1. წვდომის კონტროლი სიების საფუძველზე;

  2. გაძლიერების მატრიცის გამოყენება;

  3. წვდომის კონტროლი კონფიდენციალურობის დონეებისა და კატეგორიების მიხედვით;

  4. პაროლის წვდომის კონტროლი.

სიებით წვდომის შეზღუდვისას მითითებულია მიმოწერა: თითოეული მომხმარებლისთვის - რესურსების სია და მათზე წვდომის უფლებები, ან თითოეული რესურსისთვის - მომხმარებლების სია და მათი წვდომის უფლებები მოცემულ რესურსზე.

სიები საშუალებას გაძლევთ დააყენოთ უფლებები მომხმარებლისთვის. აქ უფლებების დამატება ან წვდომის ცალსახად უარყოფა არ არის რთული. სიები გამოიყენება ოპერაციული სისტემებისა და მონაცემთა ბაზის მართვის სისტემების უსაფრთხოების ქვესისტემებში.

ერთი ობიექტისთვის სიების გამოყენებით წვდომის კონტროლის მაგალითი (Windows 2000 ოპერაციული სისტემა) ნაჩვენებია სურათზე 1.

ავტორიზაციის მატრიცის გამოყენება გულისხმობს წვდომის მატრიცის (ავტორიტეტული ცხრილის) გამოყენებას. მითითებულ მატრიცაში სტრიქონები არის სუბიექტების იდენტიფიკატორები, რომლებსაც აქვთ წვდომა საინფორმაციო სისტემაზე, ხოლო სვეტები არის საინფორმაციო სისტემის ობიექტები (რესურსები). მატრიცის თითოეული ელემენტი შეიძლება შეიცავდეს მოწოდებული რესურსის სახელს და ზომას, წვდომის უფლებას (წაკითხვა, ჩაწერა და ა.შ.), სხვა ინფორმაციის სტრუქტურის ბმულს, რომელიც განსაზღვრავს წვდომის უფლებებს, პროგრამის ბმულს, რომელიც მართავს წვდომის უფლებებს და ა.შ. .

სურათი 1

ეს მეთოდი უზრუნველყოფს უფრო ერთიან და მოსახერხებელ მიდგომას, რადგან ყველა ინფორმაცია ნებართვების შესახებ ინახება ერთი ცხრილის სახით და არა სხვადასხვა ტიპის სიების სახით. მატრიცის უარყოფითი მხარეა მისი შესაძლო მოცულობითი და არაოპტიმალური (უჯრედების უმეტესობა ცარიელია).

ავტორიზაციის მატრიცის ფრაგმენტი ნაჩვენებია ცხრილში 1.

ცხრილი 1

საგანი

წამყვანი c:\

ფაილიprog.exe

პრინტერი

მომხმარებელი 1

Კითხვა

ჩანაწერი

მოცილება

Შესრულება

მოცილება

ბეჭედი

პარამეტრები

მომხმარებელი 2

Კითხვა

Შესრულება

ბეჭედი

9:00 საათიდან 17:00 საათამდე

მომხმარებელი 3

Კითხვა

ჩანაწერი

Შესრულება

ბეჭედი

17:00 საათიდან 9:00 საათამდე

წვდომის დიფერენცირება კონფიდენციალურობის დონეებისა და კატეგორიების მიხედვით მოიცავს საინფორმაციო სისტემის რესურსების დაყოფას კონფიდენციალურობის დონეებსა და კატეგორიებზე.

საიდუმლოების დონის მიხედვით გამოყოფისას გამოიყოფა რამდენიმე დონე, მაგალითად: ზოგადი ხელმისაწვდომობა, კონფიდენციალური, საიდუმლო, საიდუმლო. თითოეული მომხმარებლის ნებართვები დადგენილია კონფიდენციალურობის მაქსიმალური დონის შესაბამისად, რომელშიც ის დაშვებულია. მომხმარებელს აქვს წვდომა ყველა მონაცემზე, რომელსაც აქვს კონფიდენციალურობის დონე არაუმეტეს მასზე მინიჭებული, მაგალითად, მომხმარებელს, რომელსაც აქვს წვდომა „საიდუმლო“ მონაცემებზე, ასევე აქვს წვდომა „კონფიდენციალურ“ და „საჯარო წვდომის“ მონაცემებზე.

კატეგორიების მიხედვით გარჩევისას დგინდება და კონტროლდება მომხმარებლის კატეგორიის წოდება. შესაბამისად, საინფორმაციო სისტემის ყველა რესურსი იყოფა მნიშვნელობის დონეებად, მომხმარებელთა კატეგორიაში, რომელიც შეესაბამება გარკვეულ დონეს. მაგალითად, როდესაც გამოიყენება მომხმარებელთა კატეგორიები, განიხილეთ Windows 2000 ოპერაციული სისტემა, რომლის უსაფრთხოების ქვესისტემა ნაგულისხმევად მხარს უჭერს მომხმარებელთა შემდეგ კატეგორიებს (ჯგუფებს): „ადმინისტრატორი“, „ძლიერი მომხმარებელი“, „მომხმარებელი“ და „სტუმარი“. თითოეულ კატეგორიას აქვს უფლებების კონკრეტული ნაკრები. მომხმარებლის კატეგორიების გამოყენება საშუალებას გაძლევთ გაამარტივოთ მომხმარებლის უფლებების მინიჭების პროცედურები ჯგუფის უსაფრთხოების პოლიტიკის გამოყენებით.

პაროლის განცალკევება აშკარად წარმოადგენს მეთოდების გამოყენებას სუბიექტებისთვის პაროლის გამოყენებით ობიექტებზე წვდომისთვის. პაროლის დაცვის ყველა მეთოდი გამოიყენება. ცხადია, პაროლების მუდმივი გამოყენება მომხმარებლებს უქმნის დისკომფორტს და დროის შეფერხებებს. ამიტომ, ეს მეთოდები გამოიყენება გამონაკლის სიტუაციებში.

პრაქტიკაში, ისინი ჩვეულებრივ აერთიანებენ წვდომის კონტროლის სხვადასხვა მეთოდებს. მაგალითად, პირველი სამი მეთოდი გაძლიერებულია პაროლის დაცვით.

წვდომის უფლებების დიფერენცირება უსაფრთხო საინფორმაციო სისტემის სავალდებულო ელემენტია. შეგახსენებთ, რომ „აშშ-ს ნარინჯისფერ წიგნში“ შემდეგი ცნებები იქნა შემოტანილი:

- შემთხვევითი წვდომის კონტროლი;

- იძულებითი წვდომის კონტროლი.

4.3.2 სავალდებულო და დისკრეტული დაშვების კონტროლი

GOST R 50739-95 ”და რუსეთის ფედერაციის სახელმწიფო ტექნიკური კომისიის დოკუმენტები განსაზღვრავს დაშვების კონტროლის ორ ტიპს (პრინციპს):

  • დისკრეტული წვდომის კონტროლი;

  • სავალდებულო წვდომის კონტროლი.

დისკრეტული კონტროლიწვდომა არის წვდომის დიფერენციაცია დასახელებულ საგნებსა და დასახელებულ ობიექტებს შორის. გარკვეული წვდომის უფლების მქონე სუბიექტს შეუძლია ეს უფლება გადასცეს ნებისმიერ სხვა სუბიექტს. ეს ტიპი ორგანიზებულია სიების მიხედვით დიფერენცირების მეთოდების საფუძველზე ან მატრიცის გამოყენებით.

- ობიექტებში (ფაილები, საქაღალდეები, სურათები) შემავალი ინფორმაციის კონფიდენციალურობის ეტიკეტების შედარების და სუბიექტის ოფიციალური ნებართვის (დაშვების) შესახებ კონფიდენციალურობის შესაბამისი დონის ინფორმაციას.

უფრო დეტალური შემოწმების შემდეგ შეამჩნევთ, რომ დისკრეტული წვდომის კონტროლი სხვა არაფერია თუ არა შემთხვევითი წვდომის კონტროლი (აშშ ნარინჯისფერი წიგნის მიხედვით) და სავალდებულო კონტროლი ახორციელებს იძულებითი წვდომის კონტროლს.

დასკვნები თემაზე

  1. სუბიექტის უფლებამოსილების (უფლებათა ნაკრების) განსაზღვრა საინფორმაციო სისტემის ობიექტების მის მიერ უფლებამოსილი გამოყენების შემდგომი კონტროლისთვის ხორციელდება უსაფრთხოების ქვესისტემის იდენტიფიკაციისა და ავთენტიფიკაციის შემდეგ.

  2. არსებობს წვდომის კონტროლის შემდეგი მეთოდები:

  • წვდომის კონტროლი სიების საფუძველზე;

  • გაძლიერების მატრიცის გამოყენება;

  • წვდომის კონტროლი კონფიდენციალურობის დონეებისა და კატეგორიების მიხედვით;

  • პაროლის წვდომის კონტროლი.

  1. სიებით წვდომის შეზღუდვისას მითითებულია მიმოწერა: თითოეული მომხმარებლისთვის - რესურსების სია და მათზე წვდომის უფლებები, ან თითოეული რესურსისთვის - მომხმარებელთა სია და მათი წვდომის უფლება მოცემულ რესურსზე.

  2. ავტორიზაციის მატრიცის გამოყენება გულისხმობს წვდომის მატრიცის (ავტორიტეტული ცხრილის) გამოყენებას. მითითებულ მატრიცაში სტრიქონები არის სუბიექტების იდენტიფიკატორები, რომლებსაც აქვთ წვდომა საინფორმაციო სისტემაზე, ხოლო სვეტები არის საინფორმაციო სისტემის ობიექტები (რესურსები).

    3. საიდუმლოების დონის მიხედვით გამოყოფისას გამოიყოფა რამდენიმე დონე, მაგალითად: ზოგადი ხელმისაწვდომობა, კონფიდენციალური, საიდუმლო, საიდუმლო. თითოეული მომხმარებლის ნებართვები დადგენილია კონფიდენციალურობის მაქსიმალური დონის შესაბამისად, რომელშიც ის დაშვებულია. მომხმარებელს აქვს წვდომა ყველა მონაცემზე, რომელსაც აქვს კონფიდენციალურობის დონე არ აღემატება მისთვის მინიჭებულს.

  3. პაროლის დიფერენციაცია ეფუძნება პაროლის გამოყენებას სუბიექტებისთვის ობიექტებზე წვდომისთვის.

  4. GOST R 50739-95-ში კომპიუტერული საშუალებები. დაცვა ინფორმაციაზე არასანქცირებული წვდომისგან"ხოლო რუსეთის ფედერაციის სახელმწიფო ტექნიკური კომისიის დოკუმენტებში წვდომის კონტროლის ორი ტიპი (პრინციპი) არის განსაზღვრული: დისკრეტული დაშვების კონტროლი და სავალდებულო დაშვების კონტროლი.

  5. დისკრეტული კონტროლიწვდომა არის წვდომის დიფერენციაცია დასახელებულ საგნებსა და დასახელებულ ობიექტებს შორის.

  6. სავალდებულო დაშვების კონტროლი- ობიექტებში (ფაილები, საქაღალდეები, სურათები) შემავალი ინფორმაციის კონფიდენციალურობის ეტიკეტების შედარების და სუბიექტის ოფიციალური ნებართვის (დაშვების) შესახებ კონფიდენციალურობის შესაბამისი დონის ინფორმაციას.



გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა