На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

В Военной академии воздушно-космической обороны им. Маршала Советского Союза Г.К. Жукова предложена методика оценки снижения производительности информационно-вычислительной системы при введении в нее средств разграничения доступа.

16.05.2018

Из всех существующих моделей разграничения доступа наибольшее распространение получили две основные модели:

- избирательное (дискреционное) разграничение доступа;

- полномочное (мандатное) разграничение доступа.

Применение данных моделей в информационно-вычислительных системах и средствах вычислительной техники регламентируется руководящими документами ФСТЭК РФ, при этом в информационно-вычислительных системах и средствах вычислительной техники должна быть реализована как минимум дискреционная модель разграничения доступа, а в случае обработки информации, имеющей конфиденциальный характер, обязательно должна быть реализована мандатная модель разграничения доступа.

При дискреционном разграничении доступа определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Практически все существующие операционные системы реализуют именно такую модель доступа по умолчанию.

Мандатное разграничение доступа заключается в том, что все объекты доступа имеют определенные уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Для реализации мандатной модели разграничения доступа, как правило, необходимы дополнительные программные средства, встраиваемые в операционную систему. При этом следует отметить, что мандатная модель разграничения доступа при реализации ее в операционных системах не заменяет дискреционную модель разграничения доступа, а дополняет ее, внося дополнительный уровень проверки прав доступа субъектов, при их запросах на какие-либо действия с объектами.

Реализация мандатного доступа в различных операционных системах (Linux, Windows), как правило, осуществляется путем встраивания в операционную систему дополнительных программных компонентов, осуществляющих перехват API-функций операционной системы, которые предназначены для осуществления каких-либо действий с объектами доступа (файлами, участками памяти, сетевыми соединениями, интерфейсами ввода/вывода внешних устройств и т.п.).

Подробное описание дается в статье «Оценка степени влияния средств разграничения доступа на производительность информационно-вычислительной системы», автор Дроботун Е.Б. (Военная академия воздушно-космической обороны им. Маршала Советского Союза Г.К. Жукова, Тверь).