108 lines
6.0 KiB
Markdown
108 lines
6.0 KiB
Markdown
|
||
# Практическая работа №3
|
||
**Дисциплина:** Защита информации
|
||
**Тема:** Реализация моделей дискреционного и мандатного управления доступом
|
||
|
||
**Преподаватель:** Силиненко А.В.
|
||
**Email:** a_silinenko@mail.ru
|
||
|
||
---
|
||
|
||
## 1. Цели работы
|
||
|
||
- Изучить особенности моделей дискреционного (DAC) и мандатного (MAC) управления доступом.
|
||
- На базе разработанной в практической работе 2 системы аутентификации и авторизации реализовать DAC и MAC.
|
||
|
||
---
|
||
|
||
## 2. Задачи работы
|
||
|
||
### 2.1
|
||
Изучить особенности дискреционного (произвольного) управления доступом, а также модель Харрисона–Руззо–Ульмана, основанную на DAC.
|
||
|
||
### 2.2
|
||
На базе разработанной в практической работе 2 системы аутентификации и авторизации разработать систему, реализующую DAC, включая:
|
||
|
||
- владение объектами;
|
||
- произвольное назначение прав доступа к объектам;
|
||
- контроль на основе матрицы или списка доступа.
|
||
|
||
### 2.3
|
||
Изучить особенности мандатного (принудительного) управления доступом, а также модель Белла–Лападулы, основанную на MAC.
|
||
|
||
### 2.4
|
||
На базе разработанной в практической работе 2 системы аутентификации и авторизации разработать систему, реализующую MAC, включая:
|
||
|
||
- метки безопасности для субъектов и объектов;
|
||
- свойства безопасности модели Белла–Лападулы.
|
||
|
||
---
|
||
|
||
## 3. Требования к работе
|
||
|
||
### 3.1
|
||
Работа выполняется в ОС **Linux** или **MacOS**.
|
||
|
||
### 3.2
|
||
Для выполнения работы необходимо создать отдельное дерево каталогов, например:
|
||
|
||
```
|
||
/usr/local/practice3/etc – файлы настроек
|
||
/usr/local/practice3/confdata – файлы с конфиденциальной информацией
|
||
/usr/local/practice3/bin – исполняемые файлы
|
||
/usr/local/practice3/log – файлы регистрации
|
||
```
|
||
|
||
Права доступа к созданным каталогам: **чтение, запись и выполнение только для пользователя root**.
|
||
|
||
При необходимости возможно создание дополнительных каталогов.
|
||
|
||
---
|
||
|
||
### 3.3 Требования к системе DAC
|
||
|
||
- у каждого объекта должен быть владелец, который может произвольно назначать и передавать права доступа к этому объекту;
|
||
- контроль доступа к объектам должен осуществляться на основе **матрицы или списка доступа**, где хранится информация о правах доступа субъектов к объектам.
|
||
|
||
---
|
||
|
||
### 3.4 Требования к системе MAC
|
||
|
||
- каждому субъекту и объекту должна присваиваться **метка безопасности суперпользователем**;
|
||
- предусмотреть **не менее трех уровней меток безопасности**, например:
|
||
- несекретно
|
||
- для служебного пользования (ДСП)
|
||
- секретно
|
||
- субъекты не могут менять метки безопасности;
|
||
- контроль доступа должен осуществляться на основе свойств безопасности **модели Белла–Лападулы**:
|
||
- «нет чтения сверху»
|
||
- «нет записи вниз»
|
||
- дискреционное свойство
|
||
|
||
---
|
||
|
||
## 4. Требования к отчету
|
||
|
||
В разделе отчета должны быть приведены:
|
||
|
||
- актуальность темы работы в контексте дисциплины;
|
||
- цель и задачи работы;
|
||
- требования к разрабатываемым системам;
|
||
- краткие сведения о DAC и MAC;
|
||
- примеры компиляции и сборки приложений (если используется компилируемый язык);
|
||
- примеры запуска и работы утилит доступа к конфиденциальной информации;
|
||
- примеры содержимого служебных файлов:
|
||
- матрицы (или списка) доступа для DAC
|
||
- меток конфиденциальности для MAC;
|
||
- выводы по проделанной работе.
|
||
|
||
---
|
||
|
||
Примечание
|
||
|
||
Та система котрая нами уже разработана в lab2
|
||
1. Необходимо выпустить ее реинкарнацию с учетом требований к тому что это должен быть дискреционный подход к управлению доступа
|
||
Свойства системы которые необходимо будет реализовать будет в задании
|
||
2. Необходимо реализовать мандатный подход к управлению доступом
|
||
|
||
Структура остается прежней нам просто нужно добавить компоненты для первого и второго подходов |