Защита информации

| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: темы докладов по обж, решебник по геометрии
| Добавил(а) на сайт: Kalakuckij.

Контроль доступа к объектам каталога и информационных хранилищ в
Exchange производится на основе списков доступа (access control lists).
Список доступа содержит перечень идентификаторов пользователей домена
Windows NT. С каждым пользовательским идентификатором ассоциирован набор привилегий, определяющих, какие действия способен выполнить конкретный пользователь над данным объектом. Ниже приведен список привилегий, поддерживаемых сервером Exchange: право создавать объекты, расположенные в иерархии ниже данного (Add Child), например вложенные пользовательские контейнеры; право модифицировать пользовательские атрибуты объекта (Modify User
Attributes), например добавлять адресатов в список рассылки; право модифицировать административные атрибуты объекта (Modify Admin
Attributes), например изменять название улицы или отображаемое имя в свойствах пользовательского ящика; право удалять текущий объект (Delete); право производить посылку от имени данного объекта (Send As), как правило, используется для пользовательских ящиков или серверных контейнеров; право выполнять регистрацию в почтовом ящике, выполнять посылку и прием сообщений (Mailbox Owner), как правило, используется для пользовательских ящиков или серверных контейнеров; право выполнять репликацию каталога (Replication), как правило, используется для серверных контейнеров; изменять набор привилегий для текущего объекта (Modify Permission), например, без данной привилегии администратор может создавать новых пользователей, но не имеет права изменять списки доступа к существующим почтовым ящикам.

Для удобства назначения прав существует несколько стандартных наборов привилегии, называемых ролями. Ниже приводится список стандартных ролей и их привилегий: роль администратор (Admin.), дает право создавать новые объекты каталога, удалять и модифицировать существующие, но не позволяет модифицировать для них списки доступа; роль администратор полномочий (Permissions Admin.), дополнительно к правам администратора позволяет изменять текущие списки доступа на объекты; роль посылка от имени (Send As), дает право посылать сообщения от имени данного объекта; роль администратор учетной записи сервиса (Service Account Admin.), предназначена для использования только сервисом Exchange Server, имеет полный набор прав на объект; роль пользователь (User), дает право на получение доступа к почтовому ящику и назначение прав другим пользователям на доступ к содержимому этого ящика.

В случае, когда требуемый или достаточный набор прав не может быть обеспечен ни одной стандартной ролью, пользователю можно назначить нестандартный набор привилегий (роль custom). Примером использования специального набора привилегий может являться случай настройки RAS- коннектора между двумя площадками. В этом случае достаточный набор привилегий, которым должен обладать звонящий агент передачи сообщений (MTA)
- право Send As и Mailbox Owner на контейнере серверов принимающей стороны.

В зависимости от типа объекта, набор привилегий может наследоваться всеми или только некоторыми объектами, находящимися в каталоге на нижних уровнях иерархии.

В Exchange Server используется следующая схема наследования прав
(рисунок 1): права на объект организация, пользователи с правами на этот объект могут менять только отображаемое имя организации, привилегии не наследуются другими объектами иерархии; права на объект площадка, пользователи с правами на этот объект могут манипулировать объектами уровня площадки и контейнерами адресатов.
Привилегии автоматически наследуются всеми вложенными, за исключением объекта настройки; права на объект настройки, пользователи с правами на этот объект могут управлять всеми настройками текущей площадки, как-то таблицы маршрутизации, соединения, мониторы, серверы и т.д. Привилегии автоматически наследуются объектами нижних уровней, за исключением контейнеров адресатов, которые наследуют набор привилегий объекта площадка.

Такая схема наследования позволяет разделить функции между несколькими администраторами, одни из которых отвечают за ведение базы пользователей и общие папки организации, другие обеспечивают взаимодействие серверов в пределах площадки и сопряжение с внешним миром, включая шлюзы в другие почтовые системы и синхронизацию каталога в рамках организации.

Следует иметь ввиду, что если все функции администрирования должны выполняться одним лицом, то ему необходимо назначить соответствующие привилегии на каждом из трех указанных объектов. При инсталляции первого сервера площадки администратор, выполняющий установку, автоматически получает права Permissions Admin. на упомянутые объекты.

Рис.1. Схема наследования привилегий

Отдельно следует упомянуть о назначении привилегий на общие папки. Как и для прочих объектов каталога, для общих папок поддерживаются списки доступа и роли, однако назначение прав пользователям происходит на основе учетных записей в доменах Windows NT, а не на основе записей в глобальной адресной книге. Это позволяет пользователям, относящимся к различным площадкам организации выполнять над данными, находящимися в локальных репликах общих папок, действия, предписанные администратором.

На общие папки могут быть назначены следующие права: создание сообщений (Create Items), дает право пользователю помещать новые сообщения в папку; чтение сообщений (Read Items), дает право пользователю просматривать сообщения в папке; создание подпапок (Create Subfolders), дает право пользователю создавать папки, вложенные в данную; владелец папки (Folder Owner), дает пользователю все права на папку; ответственный за папку (Folder Contact), получает уведомления о конфликтах и разрешает их, обычные пользователи посылают данному пользователю пожелания и рекомендации; видимость папки (Folder Visible), позволяет пользователю видеть данную папку при просмотре иерархии общих папок; редактирование (Edit), дает право пользователю редактировать сообщения; удаление (Delete), дает право пользователю удалять сообщения.

Два последних права имеют три градации каждое: ничего (None), не дает пользователю права выполнять действие над сообщениями; собственные (Own), дает пользователю право выполнять действие над сообщениями, созданные им сами; все (All), дает пользователю право выполнять действие над сообщениями, созданными другими пользователями.

Для упрощения задачи назначения полномочий на общие папки, в сервере
Exchange предусмотрен набор стандартных ролей: роль владелец (Owner), дает право пользователю назначать привилегии другим пользователям, манипулировать сообщениями в папке и вложенными папками, назначать способы представления папки (folder Views), а так же удалять саму папку и все в нее вложенные; роль главный редактор (Publishing Editor), дает право пользователю создавать, редактировать и удалять любые сообщения и создавать подпапки; роль редактор (Editor), в отличие от главного редактора не имеет права создавать подпапки; роль главный автор (Publishing Author), дает право пользователю создавать, редактировать и удалять созданные им сообщения и создавать подпапки; роль автор (Author), в отличие от главного автора, не имеет права создавать подпапки; роль не редактирующий автор (Nonediting Author), в отличие от автора не имеет права редактировать сообщения, но имеет право удалять собственные; роль читатель (Reviewer), дает право пользователю только просматривать сообщения, созданные другими пользователями; роль помощник (Contributor), дает право пользователю только создавать сообщения; роль никто (None), не дает пользователю никаких прав в папке.

Кроме пользователей в глобальной адресной книге, права могут быть назначены псевдопользователю Anonymous, представляющему клиентов, использующих анонимный режим доступа к общим папкам, например при обращении к серверу Exchange из клиентских программ чтения новостей Internet.

Авторизация доступа к данным сети (NetWare)

В NetWare реализованы три уровня защиты данных (рисунок 2).

Здесь под аутентификацией понимается: процесс подтверждения подлинности клиента при его подключении к сети, процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.

Рис. 2 Уровни защиты данных в NetWare

Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (каталогом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или каталогу.

Атрибуты определяют некоторые системные свойства файлов (каталогов).
Они могут быть назначены администратором для любого сетевого файла или каталога.

Например, чтобы записать данные в файл, клиент должен: знать свой идентификатор и пароль для подключения к сети, иметь право записи данных в этот файл, файл должен иметь атрибут, разрешающий запись данных.

Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отношению к этому файлу.

Новая инициатива компании Internet Security Systems по обеспечению безопасности ведущих промышленных предприятий

19 октября 1998 года - г. Атланта и г. Стэмфорд. –

Угрозы, окружающие современные информационные системы, растут с астрономической скоростью. Состав преступников колеблется от неопытных недовольных пользователей, ищущих признания, до хорошо организованных организаций, использующих сложнейшие структурированные атаки для промышленного шпионажа. Вопросы, касающиеся защиты информации , являлись движущей силой, стоящей за образованием Комиссии по защите наиболее важных инфраструктур при Президенте США (United States President's
Commission on Critical Infrastructure Protection). В своих первых материалах комиссия констатировала: "Возможность нанесения вреда - особенно через информационные сети - является реальной; она возрастает с угрожающей скоростью, и у нас небольшая защита против этого". Работы комиссии указывают на необходимость перехода на более высокий уровень совместного использования информации для улучшения понимания шагов, которые необходимо предпринять правительственным агентствам и корпорациям Америки для эффективной защиты сетевых ресурсов.

Проект Spotlight (Project Spotlight) - новая программа, которая решает эти вопросы и представляет первую официальную инициативу, направленную на информационное обеспечение как частного, так и общественного секторов о современном состоянии защиты информации .