imbasoft 21 апреля 2016 в 00:04
Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.
FILE-Имя файлового информационного ресурса–аббревиатура полномочий
Имя файлового информационного ресурса
должно совпадать с UNC именем ресурса или состоять из имени сервера и локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».
Аббревиатуры полномочий :
Пример 2
Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:
FILE-TERMSRV-D-UsersData-RW
Таблица 1
– Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.
Субъекты | Права | Режим наследования |
отключено
|
||
А) Обязательные права
|
||
Специальная учетная запись: «СИСТЕМА (SYSTEM)» |
Полный доступ (Full access) |
|
«Администраторы (Administrators)» |
Полный доступ (Full access) |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Б.1) Полномочия «Только чтение (R
ead O
nly)»
|
||
Группа доступа пользователей: «FILE-Имя ресурса-RO» |
Базовые права: а) чтение и выполнение (read & execute); б) список содержимого папки (list folder contents); в) чтение (read); |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Б.2) Полномочия «Чтение и запись (R
ead & W
rite)»
|
||
Группа доступа пользователей: «FILE-Имя ресурса-RW» |
Базовые права: а) изменение (modify); б) чтение и выполнение (read & execute); в) список содержимого папки (list folder contents); г) чтение (read); д) запись (write); |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Б.3) Другие полномочия при их наличии
|
||
Группа доступа пользователей: «FILE-Имя ресурса-аббревиатура полномочий» |
Согласно полномочиям |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Субъекты
|
Права
|
Режим наследования
|
Наследование прав доступа от вышестоящих каталогов включено
, но если данный каталог является вышестоящим по отношению к файловым информационным ресурсам и не входит ни в один другой файловый информационный ресурс, то наследование отключено
|
||
А) Обязательные права
|
||
Специальная учетная запись: «СИСТЕМА (SYSTEM)» |
Полный доступ (Full access) |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Локальная группа безопасности: «Администраторы» |
Полный доступ (Full access) |
Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Б.1) Полномочия «Проход через каталог (TRAVERSE
)»
|
||
Группы доступа пользователей информационных ресурсов, для которых этот каталог является промежуточным |
Дополнительные параметры безопасности: а) траверс папок / выполнение файлов (travers folder / execute files); б) содержимое папки / чтение данных (list folder / read data); в) чтение атрибутов (read attributes); в) чтение дополнительных атрибутов (read extended attributes); г) чтение разрешений (read permissions); |
Только для этой папки (This folder only) |
В. Изменение доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.
Г. Блокирование доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком.
Д1. Создание вложенного файлового информационного ресурса. Расширение доступа
Данная задача возникает, когда к некоторому каталогу файлового информационного ресурса необходимо предоставить доступ дополнительной группе лиц (расширить доступ). При этом выполняются следующие мероприятия:
Подготовка файлового сервера
На диске «D:» сервера «FILESRV» создаем каталог «D:\SHARE\». Этот каталог будет единой точкой входа во все файловые информационные ресурсы, размещенные на данном сервере. Организуем сетевой доступ к данной папке (используем апплет «Share and Storage Management»):
Решение.
В каталоге «D:\SHARE\» сервера «FILESRV» создадим папку «D:\SHARE\Отдел разработки информационных систем\», которая будет корневым каталогом для файлового информационного ресурса. Также создадим группы доступа пользователей (глобальные группы безопасности домена «ICS») для данного ресурса:
Каталог D:\SHARE\ является точкой входа и промежуточным каталогом для данного ресурса. Добавим в него права на проход (Traverse) для групп: «FILE-FILESRV-SHARE-Отд. разр. ИС-RO» и «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
Дамп NTFS разрешений, полученных командой cacls:
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
Поскольку пользователям требуется доступ на чтение и запись, добавим их учетные запаси в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
Предоставление доступа пользователю к файловому информационному ресурсу
Постановка задачи.
Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича ([email protected]), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.
Решение.
Учетную запись работника необходимо добавить в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
Создание вложенного информационного ресурса. Расширение доступа
Постановка задачи.
Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего - Кругликовой Наталье Евгеньевне ([email protected]) - доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.
Решение.
Для решения данной задачи необходимо сделать вложенный ресурс «\\FILESRV\share\Отдел разработки информационных систем\Документация», доступ к которому на чтение и запись должен быть (остаться) у всех пользователей, имевших доступ к «\\FILESRV\share\Отдел разработки информационных систем\ и добавиться доступ на чтение для пользователя Кругликовой Натальи Евгеньевне ([email protected])
В каталоге «D:\SHARE\Отдел разработки информационных систем\» создадим папку «D:\SHARE\Отдел разработки информационных систем\Документация», которая будет корневым каталогом для нового ресурса. Также создадим две группы доступа пользователей:
Поскольку всем пользователям, имеющим доступ в «\\FILESRV\share\Отдел разработки информационных систем\», необходим аналогичный доступ в \\FILESRV\share\Отдел разработки информационных систем\Документация», то добавим группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RO» в «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO» и «FILE-FILESRV-SHARE-Отд. разр. ИС-RW» в «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW» соответственно. Добавим учетную запись Кругликовой Натальи Евгеньевны ([email protected]) в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»
Теперь, если Кругликова Наталья Евгеньевна ([email protected]) обратится по ссылке «\\FILESRV\share\Отдел разработки информационных систем\Документация», то она сможет попасть в интересующую ее папку, но обращаться по полному пути не всегда удобно, поэтому настроим сквозной проход к данной паке от точки входа «\\FILESRV\share\» («D:\SHARE\»). Для этого настроим права доступа на промежуточные каталоги «D:\SHARE\» и «D:\SHARE\Отдел разработки информационных систем\».
Проведем настройку «D:\SHARE\»:
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
И «D:\SHARE\Отдел разработки информационных систем»:
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
Создание вложенного информационного ресурса. Сужение доступа
Постановка задачи
В целях организации резервного копирования наработок Отдела разработки информационных систем начальнику отдела Иванову Сергею Леонидовичу ([email protected]), в рамках файлового информационного ресурса отдела, понадобилась сетевая папка «Архив», доступ к которой был бы только у него.
Решение.
Для решения данной задачи в файловом информационном ресурсе отдела требуется сделать вложенный ресурс «Архив» («\\FILESRV\share\Отдел разработки информационных систем\Архив»), доступ к которому предоставить только начальнику отдела.
В каталоге «D:\SHARE\Отдел разработки информационных систем\» создадим папку «D:\SHARE\Отдел разработки информационных систем\Архив», которая будет корневым каталогом для нового ресурса. Также создадим две группы доступа пользователей:
«D:\SHARE\Отдел разработки информационных систем»
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
И «D:\SHARE\»:
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
Учетную запись пользователя Иванова Сергея Леонидовича ([email protected]) добавим в группу FILE-FILESRV-Отд. раз.ИС-Архив-RW.
Локальные сети (LAN, Local Area Network)объединяют абонентов, расположенных в пределах небольшой территории, обычно не более 2–2.5 км. Локальные компьютерные сети позволят организовать работу отдельных предприятий и учреждений, в том числе и образовательных, решить задачу организации доступа к общим техническим и информационным ресурсам. | Глобальные сети (WAN, Wide Area Network)объединяют абонентов, расположенных друг от друга на значительных расстояниях: в разных районах города, в разных городах, странах, на разных континентах (например, сеть Интернет). Взаимодействие между абонентами такой сети может осуществляться на базе телефонных линий связи, радиосвязи и систем спутниковой связи. Глобальные компьютерные сети позволят решить проблему объединения информационных ресурсов всего человечества и организации доступа к этим ресурсам. |
Достоинства:
Недостатки:
Звезда (star), при которой к одному центральному компьютеру присоединяются остальные периферийные компьютеры, причем каждый из них использует свою отдельную линию связи. Весь обмен информацией идет исключительно через центральный компьютер, на который ложится очень большая нагрузка, поэтому он предназначен только для обслуживания сети.
Достоинства:
Недостатки:
Кольцо (ring), при котором каждый компьютер передает информацию всегда только одному компьютеру, следующему в цепочке, а получает информацию только от предыдущего в цепочке компьютера, и эта цепочка замкнута. Особенностью кольца является то, что каждый компьютер восстанавливает приходящий к нему сигнал, поэтому затухание сигнала во всем кольце не имеет никакого значения, важно только затухание между соседними компьютерами.
Достоинства:
Недостатки:
В отдельных случаях при конструировании сети используют комбинированную топологию. Например, дерево (tree)– комбинация нескольких звезд.
Каждый компьютер, который функционирует в локальной сети, должен иметь сетевой адаптер (сетевую карту). Функцией сетевого адаптера является передача и прием сигналов, распространяемых по кабелям связи. Кроме того, компьютер должен быть оснащен сетевой операционной системой.
При конструировании сетей используют следующие виды кабелей:
неэкранированная витая пара. Максимальное расстояние, на котором могут быть расположены компьютеры, соединенные этим кабелем, достигает 90 м. Скорость передачи информации - от 10 до 155 Мбит/с; экранированная витая пара. Скорость передачи информации - 16 Мбит/с на расстояние до 300 м.
коаксиальный кабель. Отличается более высокой механической прочностью, помехозащищённостью и позволяет передавать информацию на расстояние до 2000 м со скоростью 2-44 Мбит/с;
волоконно-оптический кабель. Идеальная передающая среда, он не подвержен действию электромагнитных полей, позволяет передавать информацию на расстояние до 10 000 м со скоростью до 10 Гбит/с.
Понятие о глобальных сетях. Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.
В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.
Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.
Протокол обмена– это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.
Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.
Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.
Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией ).
Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.
Программное обеспечение можно разделить на два класса:
Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.
Задание №1.
Задание №2. Ответить на вопросы и запишите их в тетрадь:
| |
| |
| |
| |
| |
| |
| |
| |
|
Основные понятия
При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.
Определение 1
Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.
Определение 2
Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.
Определение 3
Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.
Определение 4
Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.
Наиболее распространенные модели разграничения доступа:
Дискреционная
В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.
Полномочная модель характеризуется следующими правилами:
Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.
Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.
Виды методов разграничения доступа:
Разграничение доступа по спискам
Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий
При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы.
В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др.
Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.
Разграничение доступа по уровням секретности и категориям
Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен.
Парольное разграничение доступа
Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.
На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.
Методические указания к практическому занятию № 10
Тема : Разграничение прав доступа в сети, общее дисковое пространство в локальной сети. Защита информации, антивирусная защита.
Количество часов : 2
Цель: научиться разграничивать права доступа в компьютерной сети и пользоваться антивирусной защитой
Задание: Ознакомиться с теоретическими положениями по данной теме, выполнить задания практического занятия, сформулировать вывод.
Отчет должен содержать:
1.Название работы
2.Цель работы
3.Результаты выполнения задания 1, 2, 3, 4, 5, 6
4.Вывод по работе (необходимо указать виды выполняемых работ, достигнутые цели, какие умения и навыки приобретены в ходе ее выполнения)
Методические указания к выполнению:
Теоретические сведения 1.
1. Разграничение прав доступа в сети
Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.
В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.
Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.
Протокол обмена – это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.
Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.
Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.
Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией).
Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.
Программное обеспечение можно разделить на два класса:
программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;
программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.
Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.
2.Задание:
Задание №1. Определите общий ресурс компьютера. Для этого:
В операционной системе Windows найти на рабочем столе значок Сеть.
Открыть папку, где будут видны все компьютеры, которые подключены в одну сеть.
В данном окне появятся все компьютеры, которые подключены к сети.
Открыть один из них. Посмотреть ресурсы компьютера, которыми можно воспользоваться. Такие ресурсы называются общими.
Задание № 2.Предоставьте доступ для пользователей локальной сети к папке на своем компьютере, подключенном к локальной сети. Для этого:
В операционной системе Windows открыть окно папки Компьютер и на диске D: создать свою папку. Назвать ее номером своей группы.
Щелкнуть правой кнопкой мыши по значку папки и в контекстном меню папки выберите команду Общий доступ.
Выбрать нужное подменю: Конкретные пользователи
В списке Сеть внизу появится новая папка: поездка 27.07.2016
Если все правильно сделано, то на диске (у вашей папки) появится значок, который показывает, что папка является общей.
Задание №3. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов?
Решение:
50*70=3500 символов на страницу.
Так как не указано, сколько символов в алфавите, возьмем 1 байт на символ. Итого 3500 байт или (умножить на 8) 28000 бит.
Теперь делим 100,000,000 на 28,000. Получаем 3571.43 страниц.
Решить самостоятельно по следующим данным :
1 страница текста содержит 70 строк и на каждой строке - 50 символов?
Задание №4. Ответьте на вопросы:
Теоретические сведения 2
1. Защита информации, антивирусная защита.
Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере.
Признаки заражения:
прекращение работы или неправильная работа ранее функционировавших программ
медленная работа компьютера
невозможность загрузки ОС
исчезновение файлов и каталогов или искажение их содержимого
изменение размеров файлов и их времени модификации
уменьшение размера оперативной памяти
непредусмотренные сообщения, изображения и звуковые сигналы
частые сбои и зависания компьютера и др.
Классификация компьютерных вирусов:
по среде обитания;
по способу заражения;
по воздействию;
по особенностям алгоритма.
По среде обитания
Сетевые – распространяются по различным компьютерным сетям.
Файловые – внедряются в исполняемые модули (COM, EXE).
Загрузочные – внедряются в загрузочные сектора диска или сектора, содержащие программу загрузки диска.
Файлово - загрузочные – внедряются и в загрузочные сектора и в исполняемые модули.
По способу заражения
Резидентные – при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая потом. перехватывает обращения ОС к объектам заражения.
Нерезидентные – не заражают оперативную память и активны ограниченное время.
По воздействию:
Неопасные – не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках.
Опасные – приводят к различным нарушениям в работе компьютера.
Очень опасные – могут приводить к потере программ, данных, стиранию информации в системных областях дисков.
По особенностям алгоритма:
Черви – вычисляют адреса сетевых компьютеров и отправляют по ним свои копии.
Стелсы – перехватывают обращение ОС к пораженным файлам и секторам и подставляют вместо них чистые области.
Трояны – не способны к самораспространению, но маскируясь под полезную, разрушают загрузочный сектор и файловую систему.
Основные меры по защите от вирусов:
оснастите свой компьютер одной из современных антивирусных программ: Doctor Weber, Norton Antivirus, AVP
постоянно обновляйте антивирусные базы
делайте архивные копии ценной для Вас информации (гибкие диски, CD)
Классификация антивирусного программного обеспечения:
Сканеры (детекторы)
Мониторы
Ревизоры
Сканера . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.
Мониторы . Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распространение вируса на самой ранней стадии.
Ревизоры. Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, информацию о структуре каталогов, иногда - объем установленной оперативной памяти.
Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием.
2. Задание
Задание №5.Укажите основные антивирусные программы и охарактеризуйте их (достоинства и недостатки, основные особенности)
Задание№6.Проведите проверку своего ПК антивирусными программами.
3. Контрольные вопросы
1.Что такое глобальная сеть?
2.Что такое шлюзы?
3.Что такое протокол обмена?
4.На какие два класса можно разделить программное обеспечение?
5.Что такое компьютерный вирус?
6.Назовите три признаки заражения вирусами ПК?
7.Как классифицируется антивирусное программное обеспечение?
8.Назовите основные меры по защите от вирусов?
Автоматизированная система в зависимости от ее сложности и выполняемых задач может размещаться в одной, двух, трех и т. д. помещениях, этажах, зданиях. В силу различия функциональных обязанностей и работы с разными документами необходимо обеспечить разграничение доступа пользователей к их рабочим местам, аппаратуре и информации. Это обеспечивается размещением рабочих мест пользователей в отдельных помещениях, закрываемых разного рода замками на входных дверях с устанавливаемыми на них датчиками охранной сигнализации или применением специальной автоматической системы контроля доступа в помещения по жетонам или карточкам с индивидуальным кодом ее владельца, записанным в ее память.
Разграничение доступа в автоматизированной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача такого разграничения доступа к информации: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди законных пользователей.
Основная задача контроля и разграничения доступа (ПКРД) – это блокировка несанкционированного, контроль и разграничение санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц-пользователей, обслуживающего персонала и руководителей работ.
Основной принцип построения ПКРД состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий. В указанных целях осуществляются идентификация и аутентификация пользователей, устройств и т.д., деление информации и функций ее обработки согласно установленным требованиям разграничения доступа, установка и ввод полномочий пользователей
Деление информации и функций ее обработки обычно производится по следующим признакам:
По степени важности;
По степени секретности;
По выполняемым функциям пользователей, устройств;
По наименованию документов;
По видам документов;
По видам данных;
По наименованию томов, файлов, массивов, записей;
По имени пользователя;
По функциям обработки информации: чтению, записи, исполнению;
По времени дня.
Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и другие должны быть технически и организационно отделены от основных задач системы. Комплекс средств автоматизации и организация его обслуживания должны быть построены следующим образом:
Техническое обслуживание ИС в процессе эксплуатации должно выполняться специальным техническим персоналом без доступа к информации, подлежащей защите;
Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации-владельце ИС, вычислительной сети или АСУ;
Организация доступа пользователей к памяти ИС должна обеспечивать возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;
Регистрация и документирование технологической и оперативной информации должны быть разделены.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и ИС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители – электронные ключи, жетоны, смарт-карты и т.д.
Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом ИС. А конкретное разграничение при эксплуатации ИС устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.
В указанных целях при проектировании вычислительных средств для построения ИС проводятся:
Разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ЭВМ, ПК, сервера;
Изоляция областей доступа;
Разделение базы данных на группы;
Процедуры контроля перечисленных функций.
Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного ИС, так и АСУ (сети) в целом;
Разработка аппаратных средств идентификации и аутентификации пользователя;
Разработка программных средств контроля и управления разграничением доступа;
Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.
Выбор конкретных признаков разграничения доступа и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения автоматизированной системы.
Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, что доступ к информационному объекту осуществляется через единственный охраняемый вход. В функцию «охраны» входят опознание пользователя по имени (или условному номеру) и коду предъявленного пароля. При положительном результате проверки разрешается допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т.д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен вставляться пользователем в специальное гнездо АРМ. Кроме того, после изъятия носителя с паролем из гнезда вход в систему сразу блокируется.
Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную, необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного АРМ. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного АРМ, т.е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером АРМ, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с АРМ ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на АРМ пользователя должно быть выдано сообщение. Для проверки последней операции полезно повторить одно из предыдущих обращений без пароля и убедиться в этом по отрицательной реакции вычислительной системы.