액세스 제어 정의. 네트워크 내 접근 권한 차별화, 로컬 네트워크 내 디스크 공간 공유. 용어의 구조도
자동화 시스템 ASOMI저장된 도량형 정보에 대한 사용자 액세스 권한을 유연하게 차별화할 수 있는 가능성을 제공합니다. 이 접근 방식은 저장되고 처리된 정보의 보호를 보장합니다. 즉,
- 읽기, 수정 또는 파기 권한을 제한합니다.
- 무단 접근 또는 유지 관리(특히 암호화 기술 사용) 중에 인식을 상당히 복잡하게 만드는 형태로 ASOMI 개체 간에 정보를 저장하고 전송하는 기능;
- 정보의 무결성을 보장하고 관리 기관 및 승인된 사용자에 대한 정보의 가용성을 보장합니다.
- 컴퓨터 개체 간의 처리 및 전송 중 정보 누출을 제거합니다.
ASOMI 시스템 사용자에 대한 액세스 제어는 보고 및 운영 데이터(프로토콜), 참조 데이터, 기록 로그(엔티티 변경 내역에 대한 사용자 작업 및 데이터 로깅), 회계 데이터 등 엔터티 그룹의 맥락에서 구현됩니다. (SI 카드). 아래에서 각 그룹을 자세히 살펴보겠습니다.
자격 증명에 대한 액세스는 다음 개념적 개념을 통해 정의됩니다.
- 측정 장비의 현재 상태를 처리하는 책임자는 측정 장비의 현재 상태에서 이 상태에 의해 결정된 작업을 수행하고 작업 주기 내에서 측정 장비를 후속 상태로 전환해야 하는 기업의 직원입니다. 도량형 작품 중 하나입니다. SI의 현재 상태 매개변수로부터 결정됩니다. 예를 들어, 이러한 사람은 수리 수행을 위해 SI를 수락한 후 수리 수행자 역할을 수행하는 사람(이하 Dispatcher)에게 이를 양도할 의무가 있는 파견자(이하 Dispatcher) 역할을 하는 사람입니다. 수리 수행자라고 함).
- 측정기기에 대한 실질적인 책임이 있는 사람은 측정기기에 대해 재정적 책임을 지거나 이를 운영하는 기업의 직원입니다. SI등록카드에서 결정됩니다. 원칙적으로 그러한 사람이 이 SI를 담당하는 마스터입니다.
- 말 그대로 정의에 따르면 "처음 두 사람"의 리더입니다. 이들은 다음 원칙에 따라 기업의 조직 구조에서 결정됩니다. 그들은 처음 두 범주인 "SI의 현재 상태 처리를 담당하는 사람"과 "SI에 대한 실질적인 책임이 있는 사람"의 사람의 관리자입니다. ; 또는 그들은 처음 두 범주의 사람들이 수행자로 일하는 구조 단위를 포함하는(하위) 기업의 상위 부서의 책임자입니다. ASOMI의 프레임워크 내에서 이 개념적 원리는 측정 장비에 대한 정보가 Metrologist의 모든 상위 관리자와 특정 MR 수행자의 모든 고위 관리자 모두에게 제공된다는 사실로 이어집니다(예: 작업장 책임자는 다음에 액세스할 수 있습니다. 감독관이 담당하는 측정 장비에 대한 정보).
- 도량형 감독 및 제어를 담당하는 사람은 예를 들어 교정, 수리 부서의 직원 또는 감독 및 제어 임무를 수행하는 구조 단위의 도량형 전문가입니다. 그는 자신의 직무에 따라 자신에게 할당된 모든 SI에 대한 회계 정보를 열람할 수 있는 권리를 갖습니다.
따라서 특정 SI와 관련하여 위에 나열된 네 가지(아마도 여러 가지) 범주 중 하나에 해당하는 기업의 직원은 직장에서 각 SI의 현재 상태에 대한 정보를 볼 수 있는 기회를 갖게 됩니다. 도량형 작업 이력에 관한 데이터를 포함한 SI 등록 카드 데이터.
이 경우, 현재 SI의 현재 상태 처리를 담당하고 있는 기업 직원은 해당 상태와 관련된 SI 정보를 변경하고 SI를 현재 MR 작업 주기에 해당하는 후속 상태로 이전할 수 있는 권한을 가지지만, 그렇게 할 수는 없습니다. SI 상태 다이어그램에 따라 전환 이력에 영향을 미칠 권리가 있습니다.
이제 참조 데이터에 액세스하기 위한 규칙과 절차를 살펴보겠습니다. 모든 ASOMI 사용자는 측정 지원 책임을 이행하기 위해 참조 데이터 보기 및 사용과 같은 기능을 사용할 수 있습니다.
동시에, 참조 데이터 보충 및 편집에 대한 접근은 ASOMI 시스템에서 관리자 또는 컨트롤러 역할을 수행하는 기업 직원에게만 허용됩니다. 그들은 디렉토리에 포함된 정보의 관련성과 정확성에 대해 전적인 책임을 집니다. ASOMI의 액세스 권한 구조와 관련된 디렉토리를 작성할 때 "ASOMI의 액세스 권한 구조" 참조 블록에 포함된 디렉토리의 데이터가 사용됩니다. 특정(추가) 참고 서적을 작성할 때 측정 기기에 대한 NTD(규범 및 기술 문서)의 데이터, 러시아 연방에서 사용하도록 승인된 측정 기기 국가 등록부의 데이터 및 기타 신뢰할 수 있는 출처가 사용됩니다.
보고 및 운영 데이터(프로토콜)에 대한 접근 규칙 및 절차는 다음과 같이 구성됩니다. ASOMI에 구현된 표준 보고에 대한 액세스는 시스템 내 역할별로 구성됩니다. 동시에, 각 직위에 대해 이 직책을 맡은 직원이 직장에서 생성할 수 있는 표준 보고서 목록(모든 표준 ASOMI 보고서의 일반 목록에서 선택)이 표시됩니다.
보고의 일부로 특수 기능에 대한 액세스를 구성할 수 있습니다. 이러한 기능의 예로는 다양한 매개변수에 따라 시스템에 등록된 측정 장비에 대한 정보를 검색하고 얻을 수 있습니다. 예를 들어 마스터는 모든 측정 장비 목록을 보고서 형식으로 표시할 수 있습니다. 예를 들어, 인근 작업장에 보관되어 있는 동일한 측정기로 자신의 측정기를 교체할 수 있는 옵션을 찾기 위해 ASOMI에 등록합니다.
운영 데이터(사용자 작업 프로토콜)에 대한 접근은 ASOMI 관리자와 기업의 수석 계측사에게만 허용됩니다.
정보데이터에 대한 접근권한 부여 및 변경에 관한 규칙 및 절차는 ASOMI 관리자만이 부여하거나 변경할 수 있습니다.
본 제품에 관심이 있으시거나 문의사항이 있으신 경우,
묻고 싶은 질문을 적어주세요:
기본 개념
정보 보안 문제를 고려할 때 접근 주체와 객체의 개념이 사용됩니다. 액세스 주체는 각 액세스 개체에 대해 특정 작업 집합을 수행할 수 있습니다. 이러한 작업은 특정 주체 또는 주체 그룹에 대해 허용되거나 거부될 수 있습니다. 객체에 대한 액세스는 일반적으로 아키텍처 및 현재 보안 정책에 따라 운영 체제 수준에서 결정됩니다. 주체와 객체의 접근을 구분하는 방법과 수단에 관한 몇 가지 정의를 고려해 보겠습니다.
정의 1
객체 접근 방법– 주어진 객체에 대해 정의된 작업입니다. 가능한 액세스 방법을 제한하여 객체에 대한 액세스를 제한할 수 있습니다.
정의 2
객체 소유자– 객체를 생성한 주체는 객체에 포함된 정보의 기밀 유지 및 접근에 대한 책임이 있습니다.
정의 3
객체 접근 권한– 하나 이상의 접근 방법을 사용하여 객체에 접근할 수 있는 권한.
정의 4
액세스 제어– 각 주체, 객체 및 방법에 대해 지정된 방법을 사용하여 접근 권한의 유무를 결정하는 일련의 규칙입니다.
액세스 제어 모델
가장 일반적인 액세스 제어 모델:
- 임의(선택적) 액세스 제어 모델;
- 권위 있는(필수) 액세스 제어 모델.
임의
- 모든 객체에는 소유자가 있습니다.
- 소유자는 이 객체에 대한 주체의 접근을 임의로 제한할 권리가 있습니다.
- 각 주제-객체-방법 세트에 대해 액세스 권한은 고유하게 정의됩니다.
- 모든 액세스 방법을 사용하여 모든 객체에 액세스할 수 있는 권한이 있는 사용자(예: 관리자)가 한 명 이상 존재합니다.
임의 모델에서 액세스 권한 정의는 액세스 매트릭스에 저장됩니다. 행에는 주제가 나열되고 열에는 개체가 나열됩니다. 각 매트릭스 셀은 주어진 개체에 대한 주어진 주체의 액세스 권한을 저장합니다. 최신 운영 체제의 액세스 매트릭스는 수십 메가바이트를 차지합니다.
절대적인이 모델의 특징은 다음과 같습니다.
- 각 개체는 기밀로 분류됩니다. 비밀 등급에는 숫자 값이 있습니다. 등급이 클수록 객체의 비밀 등급이 높아집니다.
- 각 접근 주체에는 허가 수준이 있습니다.
이 모델에서는 주체의 보안 수준이 객체의 보안 등급 이상인 경우에만 주체가 객체에 접근할 수 있습니다.
권위 모델의 장점은 많은 양의 액세스 제어 정보를 저장할 필요가 없다는 것입니다. 각 주체는 해당 액세스 수준의 값만 저장하고, 각 개체는 보안 등급의 값을 저장합니다.
액세스 제어 방법
액세스 제어 방법의 유형:
목록 기반 접근 제어
이 방법의 본질은 대응을 설정하는 것입니다. 각 사용자에 대해 리소스 목록과 이에 대한 액세스 권한이 지정되거나 각 리소스에 대해 사용자 목록과 이러한 리소스에 대한 액세스 권한이 결정됩니다. 목록을 사용하면 각 사용자에게 권한을 부여하는 것이 가능합니다. 권한을 추가하거나 명시적으로 액세스를 거부할 수 있습니다. 목록 액세스 방법은 운영 체제 및 데이터베이스 관리 시스템의 보안 하위 시스템에서 사용됩니다.
권위 매트릭스 사용
권한 부여 매트릭스를 사용할 때 액세스 매트릭스(권한 테이블)가 사용됩니다. 접근 매트릭스에서는 행에는 컴퓨터 시스템에 접근하는 주체의 식별자를, 열에는 컴퓨터 시스템의 객체(자원)를 기록한다.
각 매트릭스 셀에는 리소스의 이름과 크기, 액세스 권한(읽기, 쓰기 등), 액세스 권한을 지정하는 다른 정보 구조에 대한 링크, 액세스 권한을 관리하는 프로그램에 대한 링크 등이 포함될 수 있습니다.
이 방법은 권한에 대한 모든 정보가 단일 테이블에 저장되므로 매우 편리합니다. 매트릭스의 단점은 번거로울 수 있다는 것입니다.
개인 정보 보호 수준 및 범주에 따른 액세스 제어
비밀의 정도에 따른 구별은 여러 수준으로 나뉜다. 각 사용자의 권한은 그가 허용하는 최대 개인 정보 보호 수준에 따라 설정될 수 있습니다.
비밀번호 접근 제어
비밀번호 분리는 주체가 비밀번호를 사용하여 객체에 접근하는 방법을 사용합니다. 지속적인 비밀번호 사용은 사용자에게 불편을 끼치고 시간지연을 초래합니다. 이러한 이유로 예외적인 상황에서는 비밀번호 분리 방법이 사용됩니다.
실제로는 서로 다른 액세스 제어 방법을 결합하는 것이 일반적입니다. 예를 들어, 처음 세 가지 방법은 비밀번호 보호를 통해 향상되었습니다. 접근 제어의 사용은 보안 컴퓨터 시스템의 전제 조건입니다.
imbasoft 2016년 4월 21일 00:04
기업 파일정보자원에 대한 접근권한 관리에 대한 표준
- 정보 보안
NTFS에서 폴더에 대한 권한을 차별화하는 것보다 더 간단한 것은 무엇일까요? 그러나 이 간단한 작업은 수천 개는 아니더라도 수백 개의 유사한 폴더가 있고 한 폴더에 대한 권한을 변경하면 다른 폴더에 대한 권한이 "파괴"될 때 정말 악몽이 될 수 있습니다. 그러한 조건에서 효과적으로 작업하려면 그러한 문제를 해결하는 방법을 설명하는 특정 합의 또는 표준이 필요합니다. 이 기사에서는 이러한 표준에 대한 옵션 중 하나를 살펴보겠습니다.
범위
기업 파일 정보 리소스에 대한 액세스 권한 관리 표준(이하 표준)은 Microsoft Windows 제품군 운영 체제를 실행하는 컴퓨터에 있는 파일 정보 리소스에 대한 액세스를 제공하는 프로세스를 규제합니다. 이 표준은 파일 시스템으로 NTFS를 사용하고 파일 공유를 위한 네트워크 프로토콜로 SMB/CIFS를 사용하는 경우에 적용됩니다.용어 및 정의
정보자원– 정보 보안을 보장하는 방법과 수단이 적용되는 명명된 데이터 세트(예: 액세스 제어).파일정보자원– 파일 시스템 디렉터리(파일 정보 리소스의 루트 디렉터리라고 함)에 저장된 파일 및 폴더 모음으로, 액세스가 제한됩니다.
복합파일정보자원– 주어진 리소스와 접근권한이 다른 하나 이상의 중첩된 파일정보 리소스를 포함하는 파일정보 리소스이다.
중첩된 파일 정보 리소스복합정보자원에 포함된 파일정보자원이다.
파일 정보 리소스에 대한 진입점– 네트워크 액세스가 제공되고(공유 폴더) 파일 정보 리소스에 대한 액세스를 제공하는 데 사용되는 파일 시스템 디렉터리입니다. 이 디렉터리는 일반적으로 파일 정보 리소스의 루트 디렉터리와 일치하지만 더 높을 수도 있습니다.
중간 디렉터리– 파일 정보 자원의 진입점부터 파일 정보 자원의 루트 디렉토리까지의 경로에 위치한 파일 시스템 디렉토리. 파일 정보 리소스에 대한 진입점이 파일 정보 리소스의 루트 디렉터리에 대한 상위 디렉터리인 경우 중간 디렉터리이기도 합니다.
사용자 액세스 그룹– 궁극적으로 파일 정보 리소스에 대한 액세스 권한 옵션 중 하나가 부여된 사용자 계정을 포함하는 로컬 또는 도메인 보안 그룹입니다.
기본 원리들
- 액세스는 디렉터리 수준에서만 제한됩니다. 개별 파일에 대한 액세스에는 제한이 없습니다.
- 액세스 권한은 보안 그룹을 기반으로 할당됩니다. 액세스 권한은 개별 사용자 계정에 할당되지 않습니다.
- 명시적 거부 권한은 적용되지 않습니다.
- 액세스 권한은 파일 시스템 수준에서만 차별화됩니다. SMB/CIFS 네트워크 프로토콜 수준에서는 권한이 구분되지 않습니다(그룹 "Everyone" – "읽기/쓰기" 권한 / Everything – 변경).
- 파일 정보 리소스에 대한 네트워크 액세스를 설정할 때 SMB/CIFS 설정에서 "액세스 기반 열거" 옵션이 설정됩니다.
- 사용자 워크스테이션에서 파일 정보 리소스를 생성하는 것은 허용되지 않습니다.
- 서버의 시스템 파티션에 파일 정보 리소스를 배치하는 것은 권장되지 않습니다.
- 파일 정보 리소스에 여러 진입점을 만드는 것은 권장되지 않습니다.
- 중첩된 파일 정보 리소스를 생성하는 것은 가능하면 피해야 하며, 파일이나 디렉터리 이름에 기밀 정보가 포함된 경우 이는 전혀 허용되지 않습니다.
액세스 제어 모델
파일 정보 리소스에 대한 사용자 액세스는 권한 옵션 중 하나를 부여하여 제공됩니다.- 읽기 전용 액세스( 아르 자형에드 영형만)".
- 읽기/쓰기 액세스( 아르 자형에이드 & 여의식)".
사용자 액세스 그룹 명명 규칙
사용자 액세스 그룹 이름은 다음 템플릿을 사용하여 구성됩니다.FILE-파일 정보 리소스 이름 - 권한 약어
파일 정보 리소스 이름
리소스의 UNC 이름과 일치하거나 서버 이름과 로컬 경로로 구성되어야 합니다(리소스에 대한 네트워크 액세스가 제공되지 않는 경우). 필요한 경우 이 필드에 약어가 허용됩니다. 문자 "\\"는 생략되고, "\"와 ":"는 "-"로 대체됩니다.
권한 약어:
- RO - "읽기 전용" 액세스 옵션의 경우
- RW - "읽기 및 쓰기" 액세스 옵션용입니다.
UNC 이름이 \\FILESRV\Report인 파일 정보 리소스에 대한 읽기 전용 권한이 있는 사용자의 액세스 그룹 이름은 다음과 같습니다.
FILE-FILESRV-보고서-RO
실시예 2
D:\UsersData 경로의 TERMSRV 서버에 있는 파일 정보 리소스에 대한 "읽기 및 쓰기" 권한이 있는 사용자의 액세스 그룹 이름은 다음과 같습니다.
FILE-TERMSRV-D-UsersData-RW
파일 정보 자원의 디렉토리에 대한 접근 권한 템플릿
1 번 테이블– 파일 정보 리소스의 루트 디렉터리에 대한 NTFS 액세스 권한 템플릿입니다.
| 과목 | 진상 | 상속 모드 |
| 장애가 있는
|
||
| 가) 의무적 권리 |
||
| 특별 계정: "체계" |
전체 권한 |
|
"관리자" |
전체 권한 |
이 폴더의 경우 하위 폴더 및 파일 |
| B.1) 권한 “읽기 전용( 아르 자형에드 영형만)" |
||
| 사용자 액세스 그룹: "FILE-리소스 이름-RO" |
기본 권리: a) 읽기 및 실행(읽기 및 실행) b) 폴더 내용을 나열합니다. c) 읽기 (읽기); |
이 폴더의 경우 하위 폴더 및 파일 |
| B.2) 권한 “읽기 및 쓰기( 아르 자형에이드 & 여의식)" |
||
| 사용자 액세스 그룹: "FILE-리소스 이름-RW" |
기본 권리: a) 변경(수정) b) 읽기 및 실행(읽기 및 실행) c) 폴더 내용을 나열합니다. d) 읽기 (읽기); e) 기록(쓰기); |
이 폴더의 경우 하위 폴더 및 파일 |
| B.3) 기타 권한(있는 경우) |
||
| 사용자 액세스 그룹: "FILE-리소스 이름-권한 약어" |
권위에 따르면 |
이 폴더의 경우 하위 폴더 및 파일 |
표 2– 파일 정보 리소스의 중간 디렉터리에 대한 NTFS 액세스 권한 템플릿입니다.
| 과목 |
진상 |
상속 모드 |
| 상위 디렉터리에서 액세스 권한 상속 포함됨그러나 이 디렉터리가 파일 정보 리소스보다 상위에 있고 다른 파일 정보 리소스에 포함되어 있지 않으면 상속됩니다. 장애가 있는
|
||
| 가) 의무적 권리 |
||
| 특별 계정: "체계" |
전체 권한 |
이 폴더의 경우 하위 폴더 및 파일 |
| 로컬 보안 그룹: "관리자" |
전체 권한 |
이 폴더의 경우 하위 폴더 및 파일 |
| B.1) 권한 “디렉토리를 통해 전달(횡단)»
|
||
| 이 디렉토리가 중간 디렉토리인 정보 자원 사용자의 액세스 그룹 |
추가 보안 옵션: a) 폴더를 탐색하고 파일을 실행합니다. b) 폴더 내용/읽기 데이터(폴더 목록/데이터 읽기); c) 읽기 속성; c) 확장된 속성을 읽는다. d) 읽기 권한; |
이 폴더만 |
파일 정보 리소스에 대한 액세스를 관리하기 위한 비즈니스 프로세스
가. 파일정보자원 생성파일 정보 리소스를 생성할 때 다음 작업이 수행됩니다.
- 사용자 액세스 그룹이 생성됩니다. 파일 정보 리소스를 호스팅하는 서버가 도메인의 구성원이면 도메인 그룹이 생성됩니다. 그렇지 않은 경우 그룹은 서버에 로컬로 생성됩니다.
- 파일정보자원의 루트디렉터리와 중간디렉터리에는 접근권한 템플릿에 따라 접근권한이 부여된다.
- 사용자 계정은 권한에 따라 사용자 액세스 그룹에 추가됩니다.
- 필요한 경우 파일 정보 리소스에 대한 네트워크 폴더(공유 폴더)가 생성됩니다.
사용자 계정은 권한에 따라 적절한 사용자 액세스 그룹에 배치됩니다.
B. 파일정보자원에 대한 사용자 접근권한 변경
사용자 계정은 지정된 권한에 따라 다른 사용자 액세스 그룹으로 이동됩니다.
D. 파일정보자원에 대한 사용자의 접근 차단
사용자 계정이 파일 정보 리소스 사용자 액세스 그룹에서 제거됩니다. 직원이 퇴사하더라도 그룹 멤버십은 변경되지 않지만 전체 계정이 차단됩니다.
D1. 중첩된 파일 정보 리소스를 생성합니다. 접근성 확대
이 작업은 추가 그룹의 사람들에게 파일 정보 리소스의 특정 디렉터리에 대한 액세스를 제공해야 할 때 발생합니다(액세스 확장). 이 경우 다음과 같은 활동이 수행됩니다.
- 상위 복합 파일 정보 자원의 사용자 액세스 그룹은 중첩 파일 정보 자원의 사용자 액세스 그룹에 추가됩니다.
이 작업은 파일 정보 리소스의 특정 디렉터리에 대한 액세스를 제한하고 이를 제한된 그룹의 사람들에게만 제공해야 할 때 발생합니다.
- 첨부파일 정보자원이 등록됩니다(A 과정에 따름)
- 액세스 권한을 부여받아야 하는 사용자 계정은 생성된 정보 리소스의 사용자 액세스 그룹에 배치됩니다.
표준 권한 옵션 "읽기 전용" 또는 "읽기 및 쓰기"에 새로운 유형의 권한을 추가해야 하는 경우(예: "제거 없이 읽기 및 쓰기") 다음 작업을 수행합니다.
- 조직적(또는 기술적이지만 파일 시스템 디렉터리에 대한 액세스 권한 변경과 관련 없음) 조치는 이 리소스와 모든 내장된 파일 정보 리소스에 대한 사용자 액세스를 차단합니다.
- 파일 정보 리소스의 루트 디렉터리에 새로운 접근 권한이 할당되고, 모든 하위 개체에 대한 접근 권한이 대체됩니다(레거시가 활성화됨).
- 모든 내장 정보 리소스에 대한 액세스 권한이 재구성됩니다.
- 이 리소스와 중첩된 정보 리소스에 대해 중간 디렉터리가 구성됩니다.
예
"FILESRV"라는 서버가 파일 정보 리소스의 중앙 집중식 저장을 위해 할당된 가상 조직 LLC "InfoCryptoService"의 예를 사용하여 이 표준의 적용을 고려해 보겠습니다. 서버는 Microsoft Windows Server 2008 R2 운영 체제를 실행하며 FQDN 이름이 "domain.ics"이고 NetBIOS 이름이 "ICS"인 Active Directory 도메인의 구성원입니다.파일 서버 준비
"FILESRV" 서버의 "D:" 드라이브에 "D:\SHARE\" 디렉터리를 생성합니다. 이 디렉터리는 이 서버에서 호스팅되는 모든 파일 정보 리소스에 대한 단일 진입점이 됩니다. 이 폴더에 대한 네트워크 액세스를 구성합니다("공유 및 스토리지 관리" 애플릿 사용).
 |
 |
파일 정보 리소스 생성
문제의 공식화.
InfoCryptoService LLC 조직에 다음으로 구성된 정보 시스템 개발 부서를 두십시오. 부서장 Ivanov Sergei Leonidovich( [이메일 보호됨]), 전문가 Markin Lev Borisovich ( [이메일 보호됨]), 이를 위해서는 부서 데이터를 저장하기 위한 파일 정보 리소스를 구성해야 합니다. 두 작업자 모두 이 리소스에 대한 읽기 및 쓰기 액세스 권한이 필요합니다.
해결책.
“FILESRV” 서버의 “D:\SHARE\” 디렉터리에 파일 정보 리소스의 루트 디렉터리가 될 “D:\SHARE\Information Systems Development Department\” 폴더를 생성합니다. 또한 이 리소스에 대한 사용자 액세스 그룹(글로벌 도메인 보안 그룹 “ICS”)을 생성합니다.
- "FILE-FILESRV-SHARE-Dep. 해결 IS-RO"
- "FILE-FILESRV-SHARE-Dep. 해결 IS-RW"
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RO:(OI)(CI)R
D:\SHARE\ 디렉터리는 이 리소스의 진입점이자 준비 디렉터리입니다. 그룹에 대한 트래버스 권한을 추가해 보겠습니다. “FILE-FILESRV-SHARE-Dep. 해결 IS-RO" 및 "FILE-FILESRV-SHARE-Dep. 해결 IS-RW" 
cacls 명령으로 얻은 NTFS 권한 덤프:
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
사용자에게는 읽기 및 쓰기 액세스 권한이 필요하므로 해당 계정을 “FILE-FILESRV-SHARE-Dep” 그룹에 추가하겠습니다. 해결 IS-RW"
파일 정보 리소스에 대한 사용자 액세스 제공
문제의 공식화.
다른 직원이 개발 부서에 고용되었다고 가정하십시오 - 전문가 Mikhail Vladimirovich Egorov ( [이메일 보호됨]), 그는 다른 부서 직원과 마찬가지로 부서의 파일 정보 리소스에 대한 읽기 및 쓰기 액세스 권한이 필요합니다.
해결책.
직원 계정은 “FILE-FILESRV-SHARE-Dept.” 그룹에 추가되어야 합니다. 해결 IS-RW"
중첩된 정보 리소스를 생성합니다. 접근성 확대
문제의 공식화.
정보 시스템 개발 부서가 마케팅 부서와의 상호 작용 품질을 개선하고 이를 후자의 책임자인 Natalya Evgenievna Kruglikova( [이메일 보호됨]) - 정보 시스템 개발 부서의 파일 정보 리소스에 있는 "Documentation" 폴더에 저장된 현재 제품 문서에 대한 읽기 액세스 권한입니다.
해결책.
이 문제를 해결하려면 "\\FILESRV\share\Department"에 액세스할 수 있는 모든 사용자가 보유해야 하는 중첩된 리소스 "\\FILESRV\share\Information Systems development Department\Documentation"을 생성해야 합니다. 정보 시스템 개발을 읽고 쓸 수 있는 액세스 권한\ 사용자 Natalya Evgenievna Kruglikova( [이메일 보호됨])
“D:\SHARE\Information Systems Development Department\” 디렉터리에 새 리소스의 루트 디렉터리가 될 “D:\SHARE\Information Systems Development Department\Documentation” 폴더를 생성합니다. 또한 두 개의 사용자 액세스 그룹을 생성합니다.
- "FILE-FILESRV-SHARE-Dep. 해결 IS-문서-RO"
- "FILE-FILESRV-SHARE-Dep. 해결 IS-문서-RW"
cacls 명령으로 얻은 NTFS 권한 덤프:
BUILTIN\관리자:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RW:(OI)(CI)C
"\\FILESRV\share\Information Systems Development Department\"에 대한 액세스 권한이 있는 모든 사용자는 \\FILESRV\share\Information Systems Development Department\Documentation"에 대한 유사한 액세스 권한이 필요하므로 "FILE-FILESRV-SHARE-" 그룹을 추가합니다. 부서 . 해결 "FILE-FILESRV-SHARE-Dep."의 IS-RO" 해결 IS-Documentation-RO" 및 "FILE-FILESRV-SHARE-Dep. 해결 "FILE-FILESRV-SHARE-Dep."의 IS-RW" 해결 IS-문서-RW"입니다. Natalya Evgenievna Kruglikova의 계정을 추가해 보겠습니다. [이메일 보호됨])을 “FILE-FILESRV-SHARE-Dep. 해결 IS-문서-RW"
이제 Natalya Evgenievna Kruglikova( [이메일 보호됨])가 "\\FILESRV\share\Information Systems Development Department\Documentation" 링크에 액세스하면 관심 있는 폴더에 액세스할 수 있지만 전체 경로에 액세스하는 것이 항상 편리한 것은 아니므로 패스를 설정하겠습니다. 진입점 “\\ FILESRV\share\"("D:\SHARE\")에서 이 패키지를 통과합니다. 이를 위해 중간 디렉터리 “D:\SHARE\” 및 “D:\SHARE\Information Systems Development Department\”에 대한 액세스 권한을 구성합니다.
“D:\SHARE\”를 구성해 보겠습니다. 
cacls 명령으로 얻은 NTFS 권한 덤프:
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RO:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RW:R
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
그리고 “D:\SHARE\Information Systems Development Department”: 
cacls 명령으로 얻은 NTFS 권한 덤프:
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RW:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RW:(OI)(CI)C
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
중첩된 정보 리소스를 생성합니다. 접근의 협소화
문제의 공식화
정보 시스템 개발 부서의 개발에 대한 백업 사본을 구성하기 위해 부서장인 Sergei Leonidovich Ivanov( [이메일 보호됨]) 부서의 파일 정보 리소스의 일부로 자신만이 액세스할 수 있는 네트워크 폴더 "Archive"가 필요했습니다.
해결책.
이 문제를 해결하려면 부서의 파일 정보 리소스에서 중첩된 리소스 "Archive"("\\FILESRV\share\Information Systems Development Department\Archive")를 생성해야 하며, 이에 대한 액세스는 해당 부서에만 부여되어야 합니다. 부서장.
“D:\SHARE\Information Systems Development Department\” 디렉터리에 새 리소스의 루트 디렉터리가 될 “D:\SHARE\Information Systems Development Department\Archive” 폴더를 생성합니다. 또한 두 개의 사용자 액세스 그룹을 생성합니다.
- "FILE-FILESRV-SHARE-Dep. 해결 IS-아카이브-RO"
- "FILE-FILESRV-SHARE-Dep. 해결 IS-아카이브-RW"
cacls 명령으로 얻은 NTFS 권한 덤프:
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-아카이브-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-아카이브-RW:(OI)(CI)C
"D:\SHARE\정보 시스템 개발부" 
cacls 명령으로 얻은 NTFS 권한 덤프:
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RO:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RW:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RW:(OI)(CI)C
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
그리고 "D:\SHARE\": 
cacls 명령으로 얻은 NTFS 권한 덤프:
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RO:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-RW:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RO:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-문서-RW:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-아카이브-RO:R
ICS\FILE-FILESRV-SHARE-Dept. 해결 IS-아카이브-RW:R
NT 권한\시스템:(OI)(CI)F
BUILTIN\관리자:(OI)(CI)F
Sergey Leonidovich Ivanov의 사용자 계정( [이메일 보호됨]) FILE-FILESRV-Department 그룹에 추가합니다. times.IS-아카이브-RW.
실험실 작업
주제: 네트워크 접근권한의 차별화, 로컬 네트워크의 디스크 공간 공유
표적: 로컬 컴퓨터 네트워크 사용자 간의 파일 교환을 위한 마스터링 기술.
실험실 작업을 위한 이론적 정보
장거리 정보의 빠른 전송을 위한 주요 장치는 현재 전신, 라디오, 전화, 텔레비전 송신기 및 컴퓨터 시스템을 기반으로 하는 통신 네트워크입니다.
컴퓨터 간의 정보 전송은 컴퓨터 출현 이후부터 존재해 왔습니다. 이를 통해 개별 컴퓨터의 공동 작업을 구성하고, 여러 컴퓨터를 사용하여 하나의 문제를 해결하고, 리소스를 공유하고, 기타 여러 문제를 해결할 수 있습니다.
아래에 컴퓨터 네트워크 정보 교환 및 공통 네트워크 리소스에 대한 사용자 액세스를 위해 설계된 일련의 하드웨어 및 소프트웨어를 이해합니다.
컴퓨터 네트워크의 주요 목적은 정보(데이터베이스, 문서 등) 및 리소스(하드 드라이브, 프린터, CD-ROM 드라이브, 모뎀, 글로벌 네트워크에 대한 액세스 등)에 대한 공유 사용자 액세스를 제공하는 것입니다.
네트워크 가입자 – 정보를 생성하거나 소비하는 객체.
네트워크 가입자는 개인용 컴퓨터, 산업용 로봇, CNC 기계(컴퓨터 수치 제어 기계) 등이 될 수 있습니다. 모든 네트워크 가입자가 스테이션에 연결됩니다.
역 – 정보의 송수신과 관련된 기능을 수행하는 장비.
가입자와 스테이션 간의 상호 작용을 구성하려면 물리적 전송 매체가 필요합니다.
물리적 전송 매체 – 전기 신호가 전파되는 통신 회선 또는 공간 및 데이터 전송 장비.
통신 회선이나 채널의 주요 특징 중 하나는 데이터 전송 속도(대역폭)입니다.
데이터 전송 속도 – 단위 시간당 전송되는 정보 비트 수.
일반적으로 데이터 전송 속도는 초당 비트(bps)와 Kbps 및 Mbps의 배수로 측정됩니다.
측정 단위 간의 관계: 1 Kbit/s = 1024 bit/s; 1Mbit/s =1024Kbit/s; 1Gbit/s = 1024Mbit/s.
물리적 전송 매체를 기반으로 통신 네트워크가 구축됩니다. 따라서 컴퓨터 네트워크는 가입자 시스템과 통신 네트워크의 집합입니다.
네트워크 유형.사용하는 컴퓨터의 종류에 따라동종의 그리고이기종 네트워크 . 이기종 네트워크에는 소프트웨어가 호환되지 않는 컴퓨터가 포함되어 있습니다.
영토 특성에 따라 네트워크는 다음과 같이 나뉩니다. 현지의 그리고 글로벌.
| 로컬 네트워크 (LAN, 근거리통신망)일반적으로 2~2.5km를 넘지 않는 작은 지역에 위치한 가입자를 통합합니다. 로컬 컴퓨터 네트워크를 통해 교육 기관을 포함한 개별 기업 및 기관의 작업을 구성하고 공통 기술 및 정보 자원에 대한 액세스를 구성하는 문제를 해결할 수 있습니다. | 글로벌 네트워크 (WAN, 광역 네트워크)서로 상당한 거리에 있는 가입자를 도시의 다른 지역, 다른 도시, 국가, 다른 대륙(예: 인터넷)에 통합합니다.이러한 네트워크 가입자 간의 상호 작용은 전화 통신 회선, 무선 통신 및 위성 통신 시스템을 기반으로 수행될 수 있습니다. 글로벌 컴퓨터 네트워크는 모든 인류의 정보 자원을 통합하고 이러한 자원에 대한 접근을 조직하는 문제를 해결할 것입니다. |
|
|
기초적인 통신 네트워크 구성요소:
송신기;
수화기;
메시지(특정 형식의 디지털 데이터: 데이터베이스 파일, 테이블, 요청에 대한 응답, 텍스트 또는 이미지)
전송 매체(물리적 전송 매체 및 정보 전송을 보장하는 특수 장비).
로컬 네트워크의 토폴로지.컴퓨터 네트워크의 토폴로지는 일반적으로 네트워크에 있는 컴퓨터의 물리적 위치와 컴퓨터가 회선으로 연결되는 방식을 나타냅니다.
토폴로지는 장비 요구 사항, 사용되는 케이블 유형, 통신 제어 방법, 작동 신뢰성 및 네트워크 확장 가능성을 결정합니다. 네트워크 토폴로지에는 버스, 스타, 링의 세 가지 주요 유형이 있습니다.
버스, 모든 컴퓨터가 하나의 통신 회선에 병렬로 연결되고 각 컴퓨터의 정보가 동시에 다른 모든 컴퓨터로 전송됩니다. 이 토폴로지에 따라 P2P 네트워크가 생성됩니다. 이러한 연결을 사용하면 통신 회선이 하나뿐이므로 컴퓨터는 한 번에 하나씩만 정보를 전송할 수 있습니다. 
장점:
네트워크에 새 노드를 쉽게 추가할 수 있습니다(네트워크가 실행되는 동안에도 가능함).
개별 컴퓨터에 장애가 발생하더라도 네트워크는 계속 작동합니다.
이 토폴로지의 광범위한 사용으로 인해 저렴한 네트워크 장비.
결점:
네트워크 장비의 복잡성;
모든 어댑터가 병렬로 연결되어 있기 때문에 네트워크 장비 오작동 진단이 어렵습니다.
케이블이 끊어지면 전체 네트워크에 장애가 발생합니다.
신호는 전송 중에 감쇠되고 어떤 식으로든 복원할 수 없다는 사실로 인해 통신 회선의 최대 길이에 대한 제한이 있습니다.
별, 다른 주변 컴퓨터가 하나의 중앙 컴퓨터에 연결되며, 각 컴퓨터는 별도의 통신 회선을 사용합니다. 모든 정보 교환은 부하가 매우 높은 중앙 컴퓨터를 통해서만 이루어지므로 네트워크 유지 관리용으로만 사용됩니다. 
장점:
주변 컴퓨터에 장애가 발생하더라도 나머지 네트워크 기능에는 어떤 영향도 미치지 않습니다.
사용되는 네트워크 장비의 단순성;
모든 연결 지점이 한 곳에 수집되므로 중앙에서 특정 주변 장치의 연결을 끊음으로써 네트워크 작동을 쉽게 제어하고 네트워크 오류 위치를 파악할 수 있습니다.
신호 감쇠가 없습니다.
결점:
중앙 컴퓨터에 장애가 발생하면 네트워크가 완전히 작동하지 않게 됩니다.
주변 컴퓨터 수에 대한 엄격한 제한;
상당한 케이블 소비.
반지, 각 컴퓨터는 항상 체인의 다음 컴퓨터에만 정보를 전송하고 체인의 이전 컴퓨터에서만 정보를 수신하며 이 체인은 닫혀 있습니다. 링의 특징은 각 컴퓨터가 자신에게 들어오는 신호를 복원하므로 링 전체의 신호 감쇠는 중요하지 않고 인접한 컴퓨터 간의 감쇠만 중요하다는 것입니다. 
장점:
네트워크를 일시 중지해야 하지만 새 노드를 연결하는 것은 쉽습니다.
네트워크에 연결될 수 있는 다수의 노드(1000개 이상)
과부하에 대한 높은 저항.
결점:
적어도 하나의 컴퓨터에 장애가 발생하면 네트워크 작동이 중단됩니다.
적어도 한 곳에서 케이블이 끊어지면 네트워크 작동이 중단됩니다.
어떤 경우에는 네트워크를 설계할 때 결합된 토폴로지가 사용됩니다. 예를 들어, 나무(나무) – 여러 별의 조합.
로컬 네트워크에서 작동하는 각 컴퓨터에는 다음이 있어야 합니다. 네트워크 어댑터(네트워크 카드).네트워크 어댑터의 기능은 통신 케이블을 통해 분배되는 신호를 전송하고 수신하는 것입니다. 또한 컴퓨터에는 네트워크 운영 체제가 탑재되어 있어야 합니다.
네트워크를 구성할 때 다음 유형의 케이블이 사용됩니다.
비차폐 연선.이 케이블로 연결된 컴퓨터가 위치할 수 있는 최대 거리는 90m에 이릅니다. 정보 전송 속도는 10~155Mbit/s입니다. 차폐 연선.정보 전송 속도는 최대 300m 거리에서 16Mbit/s입니다. 
동축 케이블.이는 더 높은 기계적 강도와 소음 내성을 특징으로 하며 2-44Mbit/s의 속도로 최대 2000m 거리에 걸쳐 정보를 전송할 수 있습니다. 
전자기장의 영향을 받지 않는 이상적인 전송 매체는 최대 10Gbit/s의 속도로 최대 10,000m 거리까지 정보를 전송할 수 있습니다.
글로벌 네트워크의 개념. 글로벌 네트워크-이는 전 세계의 정보 자원을 공동으로 사용하기 위해 원격지에 위치한 컴퓨터 협회입니다. 오늘날 전 세계에는 200개 이상이 있으며 그중 가장 유명하고 인기 있는 것은 인터넷입니다.
로컬 네트워크와 달리 글로벌 네트워크에는 단일 제어 센터가 없습니다. 네트워크는 하나 또는 다른 통신 채널로 연결된 수만 대의 컴퓨터를 기반으로 합니다. 각 컴퓨터에는 정보 전달을 위해 "컴퓨터에 대한 경로를 표시"할 수 있는 고유 식별자가 있습니다. 일반적으로 글로벌 네트워크는 서로 다른 규칙(다양한 아키텍처, 시스템 소프트웨어 등을 가짐)에 따라 작동하는 컴퓨터를 하나로 묶습니다. 따라서 게이트웨이는 한 유형의 네트워크에서 다른 유형의 네트워크로 정보를 전송하는 데 사용됩니다.
게이트웨이– 이는 완전히 다른 교환 프로토콜을 사용하여 네트워크를 연결하는 데 사용되는 장치(컴퓨터)입니다.
교환 프로토콜 – 이는 네트워크의 서로 다른 컴퓨터 간의 데이터 교환 원칙을 정의하는 일련의 규칙(계약, 표준)입니다.
프로토콜은 일반적으로 모든 유형의 정보 전송을 담당하는 기본(하위 수준)과 전문 서비스 운영을 담당하는 애플리케이션(상위 수준)으로 구분됩니다.
공통 데이터베이스에 대한 액세스를 제공하고 입출력 장치 공유 및 사용자 상호작용을 가능하게 하는 네트워크의 호스트 컴퓨터를 호스트 컴퓨터라고 합니다. 섬기는 사람 .
네트워크 리소스만 사용하고 네트워크에 리소스를 제공하지 않는 네트워크 컴퓨터를 네트워크 컴퓨터라고 합니다. 고객(종종이라고도 함 워크스테이션).
글로벌 네트워크에서 작업하려면 사용자에게 적절한 하드웨어와 소프트웨어가 있어야 합니다.
소프트웨어는 두 가지 클래스로 나눌 수 있습니다.
사용자의 컴퓨터에 서비스를 제공하는 네트워크 노드에 위치한 서버 프로그램
사용자의 컴퓨터에 위치하고 서버의 서비스를 사용하는 클라이언트 프로그램.
글로벌 네트워크는 사용자에게 전자 메일, 네트워크의 모든 컴퓨터에 대한 원격 액세스, 데이터 및 프로그램 검색 등 다양한 서비스를 제공합니다.
작품 내용:
작업 번호 1.
Mail_1이라는 이름으로 "Exchanger 403"에 폴더를 만듭니다(이름의 숫자는 컴퓨터 번호에 해당).
텍스트 편집기 사용단어또는 워드 패드반 친구들에게 편지를 써 보세요.
이 텍스트를 컴퓨터의 Mail_1 폴더에 있는 letter1 파일에 저장하세요.문서, 여기서 1은 컴퓨터 번호입니다.
다른 컴퓨터(예: Mail_2)에서 폴더를 열고 Mail_1 폴더의 letter1 파일을 해당 컴퓨터에 복사합니다.
Mail_1 폴더에서 다른 사용자가 보낸 편지(예: letter2)를 읽어보세요. 그들에게 답을 추가하십시오.
파일 이름을 letter2로 바꿉니다.문서letter2_response1을 제출하세요.문서
letter2_response1 파일을 이동합니다.문서Mail_2 폴더로 이동하여 폴더에서 삭제하세요.
폴더에 있는 다른 사용자의 메시지를 읽고 해당 사용자에 대해 5~8단계를 반복합니다.
작업 번호 2. 질문에 답하세요:
컴퓨터 네트워크의 주요 목적을 나타냅니다.
네트워크 가입자인 개체를 지정합니다.
커뮤니케이션 채널의 주요 특징을 나타냅니다.
근거리통신망, 글로벌 네트워크란 무엇인가요?
로컬 네트워크 토폴로지란 무엇을 의미합니까?
로컬 네트워크 토폴로지에는 어떤 유형이 있나요?
버스, 스타 및 링 토폴로지를 간략하게 설명합니다.
교환 프로토콜이란 무엇입니까?
문제를 풀다. 로컬 네트워크의 최대 데이터 전송 속도는 100Mbit/s입니다. 1페이지의 텍스트에 50줄이 있고 각 줄에 70자가 있다면 1초에 몇 페이지의 텍스트를 전송할 수 있습니까?
작업 번호 3. 완료된 실험실 작업에 대한 결론을 도출하십시오.
지식과 기술에 대한 요구 사항
학생은 다음을 알아야 합니다:
접근 제어 방법;
국가기술위원회의 관리 문서에 규정된 접근 통제 방법.
학생은 다음을 할 수 있어야 합니다:
액세스 제어 방법을 사용하십시오.
핵심 용어
핵심 용어: 접근 제어 방법.
접근을 기술할 때 주체의 권한(권리 집합)은 정보 시스템 개체의 승인된 사용에 대한 후속 제어를 위해 설정됩니다.
사소한 용어
액세스 제어 방법.
필수적이고 개별적인 액세스 제어.
용어의 구조도
4.3.1 접근 제어 방법
식별 및 인증이 완료된 후 보안 하위 시스템은 정보 시스템 개체의 승인된 사용에 대한 후속 제어를 위해 주체의 권한(권리 집합)을 설정합니다.
일반적으로 주체의 권한은 다음과 같이 표시됩니다. 리소스 목록,사용자가 접근할 수 있고 액세스 권한목록에서 각 리소스로 이동합니다.
다음과 같은 액세스 제어 방법이 있습니다.
목록을 기반으로 한 접근 제어;
권한 부여 매트릭스 사용;
개인 정보 보호 수준 및 범주에 따른 액세스 제어;
비밀번호 접근 제어.
목록으로 액세스를 제한하는 경우 각 사용자에 대해 - 리소스 목록 및 이에 대한 액세스 권한 또는 각 리소스에 대해 - 사용자 목록 및 특정 리소스에 대한 액세스 권한이 지정됩니다.
목록을 사용하면 사용자에게 권한을 설정할 수 있습니다. 여기에서 권한을 추가하거나 명시적으로 액세스를 거부하는 것은 어렵지 않습니다. 목록은 운영 체제 및 데이터베이스 관리 시스템의 보안 하위 시스템에서 사용됩니다.
하나의 개체에 대한 목록을 사용하는 액세스 제어의 예(Windows 2000 운영 체제)가 그림 1에 나와 있습니다.
권한 부여 매트릭스의 사용은 액세스 매트릭스(권한 테이블)의 사용을 의미합니다. 지정된 행렬에서 행은 정보시스템에 접근하는 주체의 식별자이고, 열은 정보시스템의 객체(자원)이다. 매트릭스의 각 요소에는 제공된 리소스의 이름과 크기, 액세스 권한(읽기, 쓰기 등), 액세스 권한을 지정하는 다른 정보 구조에 대한 링크, 액세스 권한을 관리하는 프로그램에 대한 링크 등이 포함될 수 있습니다. .
그림 1
이 방법은 보다 통합되고 편리한 접근 방식을 제공합니다. 권한에 대한 모든 정보는 다양한 유형의 목록 형식이 아닌 단일 테이블 형식으로 저장됩니다. 매트릭스의 단점은 부피가 크고 최적이 아닐 수 있다는 것입니다(대부분의 셀이 비어 있음).
인증 매트릭스의 일부가 표 1에 나와 있습니다.
1 번 테이블
주제 |
드라이브 c:\ |
파일디prog.exe |
인쇄기 |
사용자 1 |
독서기록제거 |
성능제거 |
밀봉하다설정 |
사용자 2 |
독서 |
성능 |
밀봉하다9:00~17:00 |
사용자 3 |
독서기록 |
성능 |
밀봉하다17:00부터 9:00까지 |
개인 정보 보호 수준 및 범주에 따른 액세스 차별화는 정보 시스템 자원을 개인 정보 보호 수준 및 범주별로 나누는 것으로 구성됩니다.
보안 수준을 구분할 때 일반 액세스, 기밀, 비밀, 일급 비밀 등 여러 수준이 구분됩니다. 각 사용자의 권한은 그가 허용하는 최대 개인 정보 보호 수준에 따라 설정됩니다. 사용자는 자신에게 할당된 개인 정보 보호 수준보다 높지 않은 모든 데이터에 액세스할 수 있습니다. 예를 들어 "비밀" 데이터에 액세스할 수 있는 사용자는 "기밀" 및 "공개 액세스" 데이터에도 액세스할 수 있습니다.
카테고리별로 구분 시, 사용자 카테고리의 순위를 설정하여 제어합니다. 따라서 정보 시스템의 모든 자원은 중요도에 따라 분류되며, 특정 수준에 해당하는 사용자 범주가 있습니다. 사용자 범주가 사용되는 예로 보안 하위 시스템이 기본적으로 "관리자", "고급 사용자", "사용자" 및 "게스트"라는 사용자 범주(그룹)를 지원하는 Windows 2000 운영 체제를 생각해 보십시오. 각 카테고리에는 특정 권리 세트가 있습니다. 사용자 범주를 사용하면 그룹 보안 정책을 통해 사용자 권한을 할당하는 절차를 단순화할 수 있습니다.
비밀번호 분리는 주체가 비밀번호를 사용하여 객체에 접근하는 방법을 사용한다는 것을 분명히 나타냅니다. 모든 비밀번호 보호 방법이 사용됩니다. 분명히, 비밀번호를 지속적으로 사용하면 사용자에게 불편을 끼치고 시간이 지연됩니다. 따라서 이러한 방법은 예외적인 상황에서 사용됩니다.
실제로는 일반적으로 다양한 액세스 제어 방법을 결합합니다. 예를 들어, 처음 세 가지 방법은 비밀번호 보호를 통해 강화됩니다.
접근 권한의 차별화는 보안 정보 시스템의 필수 요소입니다. "미국 오렌지 북"에 다음 개념이 도입되었음을 기억해 봅시다.
- 무작위 접근 제어;
— 강제 액세스 제어.
4.3.2 필수 및 개별 접근 제어
GOST R 50739-95 “및 러시아 연방 국가 기술위원회 문서는 두 가지 유형의 액세스 제어(원칙)를 정의합니다.
개별 액세스 제어;
필수 접근 통제.
개별 제어접근은 명명된 주체와 명명된 객체 사이의 접근을 구별하는 것입니다. 특정 액세스 권한을 가진 엔터티는 이 권한을 다른 엔터티에게 양도할 수 있습니다. 이 유형은 목록으로 구분하거나 행렬을 사용하는 방법을 기반으로 구성됩니다.
- 개체(파일, 폴더, 사진)에 포함된 정보의 기밀 라벨과 주체의 공식적인 허가(입장)를 비교하여 적절한 기밀 수준의 정보를 비교합니다.
자세히 살펴보면 개별 액세스 제어는 미국 오렌지 북에 따른 무작위 액세스 제어에 지나지 않으며 필수 제어는 강제 액세스 제어를 구현한다는 것을 알 수 있습니다.
주제에 대한 결론
정보 시스템 개체의 승인된 사용에 대한 후속 제어를 위한 주체의 권한(권리 세트) 결정은 보안 하위 시스템의 식별 및 인증 후에 수행됩니다.
다음과 같은 액세스 제어 방법이 있습니다.
목록을 기반으로 한 접근 제어;
권한 부여 매트릭스 사용;
개인 정보 보호 수준 및 범주에 따른 액세스 제어;
비밀번호 접근 제어.
목록으로 액세스를 제한하는 경우 각 사용자에 대해 - 리소스 목록 및 이에 대한 액세스 권한 또는 각 리소스에 대해 - 사용자 목록 및 특정 리소스에 대한 액세스 권한이 지정됩니다.
권한 부여 매트릭스의 사용은 액세스 매트릭스(권한 테이블)의 사용을 의미합니다. 지정된 행렬에서 행은 정보시스템에 접근하는 주체의 식별자이고, 열은 정보시스템의 객체(자원)이다.
비밀번호 차별화는 주체가 객체에 접근할 때 비밀번호를 사용하는 것을 기반으로 합니다.
GOST R 50739-95 " 컴퓨터 시설. 정보에 대한 무단 접근으로부터 보호"러시아 연방 국가 기술위원회 문서에는 개별 액세스 제어와 필수 액세스 제어라는 두 가지 유형의 액세스 제어(원칙)가 정의되어 있습니다.
개별 제어접근은 명명된 주체와 명명된 객체 사이의 접근을 구별하는 것입니다.
필수 접근 제어- 객체(파일, 폴더, 사진)에 포함된 정보의 기밀 라벨과 대상자의 공식적인 허가(입장)를 비교하여 적절한 기밀 수준의 정보를 비교합니다.
보안 수준을 구분할 때 일반 액세스, 기밀, 비밀, 일급 비밀 등 여러 수준이 구분됩니다. 각 사용자의 권한은 그가 허용하는 최대 개인 정보 보호 수준에 따라 설정됩니다. 사용자는 자신에게 할당된 개인 정보 보호 수준보다 높지 않은 모든 데이터에 액세스할 수 있습니다.