RU2207618C2 - Data resource access control system - Google Patents
Data resource access control system Download PDFInfo
- Publication number
- RU2207618C2 RU2207618C2 RU2001123739/09A RU2001123739A RU2207618C2 RU 2207618 C2 RU2207618 C2 RU 2207618C2 RU 2001123739/09 A RU2001123739/09 A RU 2001123739/09A RU 2001123739 A RU2001123739 A RU 2001123739A RU 2207618 C2 RU2207618 C2 RU 2207618C2
- Authority
- RU
- Russia
- Prior art keywords
- input
- output
- block
- access
- unit
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части контроля доступа к информационным ресурсам рабочих станций и серверов в сложных информационных системах, отличающихся иерархией задач администрирования информационной безопасности. The invention relates to computer technology, and in particular to information computer systems and networks, and can be used to control access to information resources of workstations and servers in complex information systems that differ in the hierarchy of information security administration tasks.
Известна система контроля доступа к информационным ресурсам, в частности к таблицам данных, входящая в состав СУБД, например, Oracle, MS SQL (см. Галатенко В.А. Информационная безопасность - основы//СУБД, 1996, 1). Она представляет собой программный комплекс, входящий в состав ПО СУБД. A known system of access control to information resources, in particular data tables, which is part of a DBMS, for example, Oracle, MS SQL (see Galatenko V.A. Information security - the basics // DBMS, 1996, 1). It is a software package that is part of the DBMS software.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система контроля доступа к информационным ресурсам, в частности к разделяемым ресурсам, используемая в составе ОС, в частности в ОС Windows 9x/NT (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0". - К. "Диалектика", 1997, с. 14-15). Она представляет собой программный комплекс, выполненный для ОС Windows 9x/NT в виде отдельного драйвера, в ОС Unix входит в состав ядра. Closest to the technical nature of the claimed (prototype) is a system of access control to information resources, in particular to shared resources, used as part of the OS, in particular in Windows 9x / NT (see Prince Valda Hilly, "Secrets of Windows NT Server 4.0 ". - K." Dialectics ", 1997, p. 14-15). It is a software package designed for Windows 9x / NT as a separate driver; in Unix, it is part of the kernel.
Система контроля доступа к информационным ресурсам представлена на фиг. 1. Система содержит блок авторизации пользователя 1, блок разграничения прав доступа 2, блок хранения прав доступа 3, причем первый вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 4, второй вход/выход - с первым входом/выходом блока хранения прав доступа 3, второй вход/выход которого - со входом/выходом блока разграничения прав доступа 2, первый ход которого - с выходом блока авторизации пользователя 1, второй вход - со входом запроса доступа 5, первый выход - с выходом разрешения доступа 7, второй выход - с первым входом блока хранения прав доступа 3, второй вход которого - со входом задания параметров доступа 6. The access control system for information resources is shown in FIG. 1. The system comprises a
Работает система следующим образом. Перед началом работы пользователь должен пройти авторизацию со входа 4, которая осуществляется блоком 1, параметры авторизации - имя и пароль пользователя блок 1 запрашивает и получает от блока 3. Данные текущего пользователя блоком 1 выдаются в блок 2, которым запрашиваются в блоке 3 таблица разграничения прав доступа зарегистрированного в системе пользователя. При запросе пользователем доступа к информационным ресурсам со входа 5 (запрашивается объект доступа, например, файл и действия, например, чтение или запись) блок 2 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к информационному ресурсу, выдаваемый на выход 7. Со входа 6 задаются параметры прав доступа, изменять данные права разрешается пользователю, имеющему соответствующие полномочия - если выдается соответствующий сигнал со второго выхода блока 2, формируемый после авторизации пользователя и его запроса (со входа 5) на получение доступа к блоку 3 (блок 3 в общем случае также является файловым объектом). The system works as follows. Before starting work, the user must pass authorization from
К недостаткам системы можно отнести следующее. The disadvantages of the system include the following.
В общем случае в сложной информационной системе может присутствовать несколько уровней иерархии, к которым можно отнести системный уровень, уровень СУБД и уровень приложений. На каждом уровне решаются задачи контроля доступа к информационным ресурсам, собственными средствами - для каждого уровня реализована собственная система, представленная на фиг.1, администрирование которыми осуществляется администраторами соответствующих уровней - системным администратором, администратором СУБД, администратором приложений (некоторые задачи, например, создание разделяемого ресурса для ОС Windows 95/98 вообще решаются пользователем). Для обеспечения информационной безопасности сложной системы должна обеспечиваться централизация администрирования средствами защиты информации. Однако в данном случае, это невозможно, ввиду того, что централизация может быть достигнута только в случае, если администратор безопасности будет сам осуществлять администрирование безопасностью системы на всех ее уровнях иерархии (это неприемлемо сложная задача и не всегда достигаемая в принципе, в частности разделяемые ресурсы для ОС Windows 95/98 управляются пользователем, даже не системным администратором). Другими словами, с использованием рассмотренной системы не может быть обеспечена централизация управления информационной безопасностью сложной системы, как следствие, снижается ее защищенность (администраторы соответствующих уровней иерархии имеют возможность управлять безопасностью на своих уровнях бесконтрольно со стороны администратора безопасности). In general, in a complex information system, several levels of hierarchy may be present, which include the system level, the DBMS level, and the application level. At each level, the tasks of controlling access to information resources are solved by one’s own means - for each level, its own system is presented, as shown in Fig. 1, which is administered by administrators of the corresponding levels - the system administrator, DBMS administrator, application administrator (some tasks, for example, creating a shared Resource for Windows 95/98 is generally decided by the user). To ensure the information security of a complex system, centralization of administration by means of information protection should be ensured. However, in this case, this is impossible, since centralization can only be achieved if the security administrator will administer the security of the system at all its hierarchy levels (this is an unacceptably difficult task and is not always achieved in principle, in particular shared resources for Windows 95/98 are managed by a user, not even a system administrator). In other words, with the use of the considered system, the centralization of information security management of a complex system cannot be ensured, as a result, its security is reduced (administrators of the corresponding hierarchy levels have the ability to manage security at their levels without any control from the security administrator).
Целью изобретения является повышение уровня защищенности рабочих станций и серверов за счет реализации централизованной системы администрирования информационной безопасностью сложной иерархической информационной системой. The aim of the invention is to increase the level of security of workstations and servers by implementing a centralized information security administration system with a complex hierarchical information system.
Достигается это тем, что в систему контроля доступа к информационным ресурсам, содержащую блок авторизации пользователя, блок разграничения прав доступа, блок хранения прав доступа, причем первый вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, второй вход/выход - с первым входом/выходом блока хранения прав доступа, второй вход/выход которого - со входом/выходом блока разграничения прав доступа, первый ход которого - с выходом блока авторизации пользователя, второй вход - со входом запроса доступа, второй выход - с первым входом блока хранения прав доступа, второй вход которого - со входом задания параметров доступа, дополнительно введены: блок авторизации администратора безопасности, блок таймера, блок добавочного разграничения прав доступа, блок хранения эталонных настроек прав доступа, блок сравнения прав доступа с эталоном, блок формирования и восстановления текущих прав доступа, причем первый вход/выход блока авторизации администратора безопасности соединен со входом/выходом авторизации администратора безопасности, второй вход/выход - с первым входом/выходом блока хранения эталонных настроек, второй вход/выход которого - со входом/выходом блока добавочного разграничения прав доступа, первый вход которого - с первым выходом блока разграничения прав доступа, второй вход - с выходом блока авторизации администратора безопасности, третий вход - со входом запроса доступа администратором безопасности, второй выход - с третьим входом блока хранения эталонных настроек прав доступа, второй вход которого - с выходом блока хранения прав доступа, с первым входом блока сравнения прав доступа с эталоном, с первым входом блока формирования и восстановления текущих прав доступа, первый вход - со входом формирования эталонных настроек, с четвертым входом блока хранения прав доступа, с третьим входом блока сравнения прав доступа с эталоном, четвертый вход - со входом задания эталонных настроек, пятый вход - с выходом блока таймера, с пятым входом блока разграничения прав доступа, выход - со вторым входом блока сравнения прав доступа с эталоном, с третьим входом блока формирования и восстановления текущих прав доступа, второй вход которого - с выходом блока сравнения прав доступа с эталоном, выход - с третьим входом блока разграничения прав доступа, первый выход блока добавочного разграничения прав доступа - с выходом разрешения доступа, первый вход блока таймера - со входом задания режима таймера, второй вход - со входом запуска/останова таймера. This is achieved by the fact that in the access control system for information resources containing a user authorization block, a block for differentiating access rights, a block for storing access rights, the first input / output of the user authorization block is connected to the user authorization input / output, and the second input / output - with the first input / output of the access rights storage unit, the second input / output of which is with the input / output of the access rights delimiting unit, the first move of which is with the output of the user authorization unit, the second input is with the access request input stupid, the second output is with the first input of the access rights storage unit, the second input of which is with the input for setting access parameters, the following additionally entered: security administrator authorization unit, timer unit, additional access rights differentiation unit, storage unit for reference settings of access rights, rights comparison unit access with a standard, a unit for generating and restoring current access rights, the first input / output of the security administrator authorization block being connected to the security administrator authorization input / output, t the second input / output - with the first input / output of the reference settings storage unit, the second input / output of which - with the input / output of the additional access rights differentiation block, the first input of which - with the first output of the access rights delimitation unit, the second input - with the output of the authorization block security administrator, the third input - with the input of the access request by the security administrator, the second output - with the third input of the storage unit of the reference settings for access rights, the second input of which - with the output of the storage unit of access rights, with the first input and comparisons of access rights with the reference, with the first input of the unit for generating and restoring the current access rights, the first input with the input of forming the reference settings, with the fourth input of the storage unit for access rights, with the third input of the comparison unit for access rights with the reference, the fourth input with the input reference settings, the fifth input - with the output of the timer block, with the fifth input of the access rights delimiting block, the output - with the second input of the access rights comparison unit with the standard, with the third input of the current rights generation and recovery unit access, the second input of which is with the output of the unit for comparing access rights with the reference, the output is with the third input of the block for differentiating access rights, the first output of the block for additional differentiating access rights is with the output for access authorization, the first input of the timer block is with the input for setting the timer mode, input - with timer start / stop input.
Схема системы контроля доступа к информационным ресурсам приведена на фиг.2, она содержит: блок авторизации пользователя 1, блок авторизации администратора безопасности 2, блок таймера 3, блок разграничения прав доступа 4, блок хранения прав доступа 5, блок хранения эталонных настроек прав доступа 6, блок добавочного разграничения прав доступа 7, блок сравнения прав доступа с эталоном 8, блок формирования и восстановления текущих прав доступа 9, причем первый вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 10, второй вход/выход - с первым входом/выходом блока хранения прав доступа 5, второй вход/выход которого - со входом/выходом блока разграничения прав доступа 4, первый ход которого - с выходом блока авторизации пользователя 1, второй вход - со входом запроса доступа 11, второй выход - с первым входом блока хранения прав доступа 5, второй вход которого - со входом задания параметров доступа 12, первый вход/выход блока авторизации администратора безопасности 2 соединен со входом/выходом авторизации администратора безопасности 13, второй вход/выход - с первым входом/выходом блока хранения эталонных настроек 6, второй вход/выход которого - со входом/выходом блока добавочного разграничения прав доступа 7, первый вход которого - с первым выходом блока разграничения прав доступа 4, второй вход - с выходом блока авторизации администратора безопасности 2, третий вход - со входом запроса доступа администратором безопасности 18, второй выход - с третьим входом блока хранения эталонных настроек прав доступа 6, второй вход которого - с выходом блока хранения прав доступа 5, с первым входом блока сравнения прав доступа с эталоном 8, с первым входом блока формирования и восстановления текущих прав доступа 9, первый вход - со входом формирования эталонных настроек 15, с четвертым входом блока хранения прав доступа 5, с третьим входом блока сравнения прав доступа с эталоном 8, четвертый вход - со входом задания эталонных настроек 14, пятый вход - с выходом блока таймера 3, с пятым входом блока разграничения прав доступа 5, выход - со вторым входом блока сравнения прав доступа с эталоном 8, с третьим входом блока формирования и восстановления текущих прав доступа 9, второй вход которого - с выходом блока сравнения прав доступа с эталоном 8, выход - с третьим входом блока разграничения прав доступа 5, первый выход блока добавочного разграничения прав доступа 7 - с выходом разрешения доступа 19, первый вход блока таймера 3 - со входом задания режима таймера 16, второй вход - со входом запуска/останова таймера 17. The scheme of the access control system for information resources is shown in figure 2, it contains:
Работает система следующим образом. Перед началом работы пользователь должен пройти авторизацию со входа 10, которая осуществляется блоком 1, параметры авторизации - имя и пароль пользователя блок 1 запрашивает и получает от блока 5. Данные текущего пользователя блоком 1 выдаются в блок 4, которым запрашиваются в блоке 5 таблица разграничения прав доступа, зарегистрированного в системе пользователя. При запросе пользователем доступа к информационным ресурсам со входа 11 (запрашивается объект доступа, например, файл и действия, например, чтение или запись) блок 4 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к информационному ресурсу, который поступает в блок 7. Со входа 12 задаются параметры прав доступа, изменять данные права разрешается пользователю, имеющему соответствующие полномочия (в зависимости от иерархического уровня системы это может быть как собственно пользователь, так и один из администраторов: системный, СУБД, приложения) - если выдается соответствующий сигнал со второго выхода блока 4, формируемый после авторизации пользователя и его запроса (со входа 11) на получение доступа к блоку 5 (блок 5 в общем случае также является файловым объектом). Аналогично работает схема авторизации и разграничения доступа администратора безопасности. Перед началом работы администратор безопасности должен пройти авторизацию со входа 13, которая осуществляется блоком 2, параметры авторизации - имя и пароль администратора безопасности блок 2 запрашивает и получает от блока 6. Данные текущего пользователя (администратора безопасности) блоком 2 выдаются в блок 7, которым запрашиваются в блоке 6 таблица разграничения прав доступа, зарегистрированного в системе пользователя (администратора безопасности). При запросе пользователем (администратором безопасности) доступа к информационным ресурсам со входа 18 (запрашивается объект доступа, например, файл и действия, например, чтение или запись, способ задания эталонной таблицы настроек) блок 7 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к блоку 6. Со входов 14, либо 15 задаются параметры прав доступа, изменять данные права разрешается пользователю (администратору безопасности), имеющему соответствующие полномочия - если выдается соответствующий сигнал со второго выхода блока 7, формируемый после авторизации пользователя (администратора безопасности) и его запроса (со входа 18) на получение доступа к блоку 6 (блок 6 в общем случае также является файловым объектом) Таким образом, блоки 1, 4, 5 служат для контроля доступа пользователей к файловым объектам, их администрирование осуществляется пользователем, либо соответствующим администратором (системным, СУБД, приложений). Администратор безопасности, пройдя авторизацию в блоке 2 в рамках своих полномочий (его доступ разграничивается блоком 7) создает в блоке 6 эталонные настройки, либо ограничения на настройки разграничений, заданных в блоке 5. Создание эталонных настроек предполагает, что администратором безопасности в блоке 6 задается таблица разграничений доступа, являющаяся эталоном для блока 5. Администратор безопасности имеет две возможности задания таких настроек, либо занесением их в блок 6 со входа 14 самостоятельно (например, с клавиатуры), либо копированием их из блока 5. При этом администратором выдается сигнал на вход 15, по которому настройки из блока 5 перезаписываются в блок 6, работа блока 8 на это время блокируется. Другой режим - это задание ограничений на возможные в блоке 5 настройки. Например, разрешить пользователю для разделения только какой-либо диск, каталог, файл, либо, наоборот, запретить пользователю для разделения диск, каталог, файл и т.д. Данные ограничения также в блок 6 выдаются со входа 14 после обработки соответствующего запроса администратора безопасности со входа 18 (соответственно, происходит авторизация администратора и контролируется его доступ блоком 7). Итак, администратором безопасности в блоке 6 создаются (с клавиатуры - со входа 14, либо копированием из блока 5 - со входа 15) эталонные настройки, либо ограничения на разграничения прав доступа, в соответствии с которыми должен обрабатываться доступ пользователей к информационным ресурсам со входа 11. Далее администратором безопасности со входа 16 задается режим контроля настроек (интервал выдачи сигналов контроля таймером) и со входа 3 запускается таймер - блок 3. Сигналами с выхода блока 3 в блок 8 с выхода блока 5 и с выхода блока 6 заносятся текущие параметры разграничения доступа (из блока 5) и эталонные настройки, либо ограничения (с блока 6). Блок 8 осуществляет сравнение текущих и эталонных настроек, либо выполнение текущими настройками ограничений, задаваемых в блоке 6. При обнаружении некорректности текущих настроек, блок 8 выдает об этом сигнал в блок 9, который, получая текущие настройки из блока 5 и эталонные настройки, либо ограничения на настройки из блока 6, корректирует текущие настройки в соответствии с разграничениями, задаваемыми администратором безопасности, и заносит их в блок 5 на место некорректных текущих настроек. При занесении настроек в блок 6 таймер (блок таймера 3) отключается со входа 17. Ввиду того, что блок 6 также представляет собой файловый объект, разрешение доступа пользователя к информационному ресурсу с первого выхода блока 4 походит дополнительное разграничение на блоке 7 (блок 7 запрещает корректировку информации в блоке 6 всем, кроме администратора безопасности). В случае корректного запроса доступа пользователем, блоком 7 вырабатывается сигнал на выход 19. The system works as follows. Before starting work, the user must pass authorization from
Таким образом, заявляемая система позволяет реализовать различные уровни компромисса в централизации администрирования информационной безопасностью в иерархической информационной системе. Thus, the claimed system allows you to implement various levels of compromise in the centralization of information security administration in a hierarchical information system.
Возможны следующие режимы функционирования системы:
1. Все управление безопасностью осуществляется администратором безопасности. В этом случае он самостоятельно (со входа 14) заносит в блок 6 эталонные настройки доступа. После этого запускает таймер (блок 3) со входа 17. Система переходит в режим контроля текущих настроек разграничения доступа в блоке 5 - заносит туда настройки из блока 6 при первом обнаружении несовпадения, фиксируемом блоком 8. При этом любые изменения настроек блока 5, вносимые пользователем, либо администратором соответствующего уровня иерархии системы после их соответствующей авторизации блоком 1 в рамках разграничений, задаваемых блоком 5 (системным администратором, администратором СУБД, администратором приложения), с интервалом времени, задаваемым со входа 16, будут восстановлены. При незначительном интервале данные настройки не успеют вступить в действие.The following system operation modes are possible:
1. All security management is performed by the security administrator. In this case, he independently (from input 14) enters the reference access settings in
2. Администратором безопасности решаются задачи контроля и противодействия несанкционированному изменению настроек безопасности. В этом режиме администратор безопасности, после соответствующего визуального контроля настроек, заданных пользователем, либо соответствующим администратором, в блоке 5, переносит данные настройки сигналом со входа 15 в блок 6 - эти настройки считаются корректными (эталонными). Затем запускает подсистему контроля настроек, запустив блок таймера 3 со входа 17. Система переходит в режим контроля, при котором без участия администратора безопасности невозможно изменить настройки разграничения доступа к информационным ресурсам, хранящиеся в блоке 5, в том числе и легальным пользователем, либо администратором в рамках разграничений, задаваемых блоками 1 и 4 (т.е. любые изменения, проводимые без ведома администратора безопасности будут немедленно устранены). Для изменения эталонных настроек необходимо отключить блок таймера 3 (со входа 17), изменить настройки таблицы разграничений прав доступа в блоке 5 (соответствующим пользователем или администратором, в рамках полномочий, заданных блоками 1 и 4, в случае необходимости, при визуальном контроле со стороны администратора безопасности) администратором безопасности, после его (блоком 2) со входа 15 переписать в блок 6 новые корректные настройки. Затем запускается блок 3, система переходит в штатный режим. 2. The security administrator solves the tasks of monitoring and counteracting unauthorized changes to security settings. In this mode, the security administrator, after appropriate visual control of the settings specified by the user or the relevant administrator, in
3. Администратором безопасности вносятся ограничения на возможности задания параметров безопасности. В этом режиме предполагается, что администратором безопасности в блоке 6 задаются не эталонные таблицы настроек для блока 5, а ограничения на настройки. Возможны два режима ограничений - запреты и разрешение. При реализации режима запретов, вносятся запреты на какие-либо действия, связанные с доступом к информационным ресурсам, например, запретить доступ к какому-нибудь файловому объекту, запретить возможность разделения какого-либо ресурса (например, создать общую папку) запретить доступ к файловому объекту на запись и т.д. Т.е. данный режим реализует правило, все, что не запрещено администратором безопасности - разрешено в системе. Другой режим реализует альтернативное правило - все, что не разрешено администратором безопасности, запрещено в системе. В этом случае администратором безопасности задаются разрешения, в рамках которых уже может осуществлять свои разграничения пользователь или иной администратор. Например, администратор безопасности может разрешить доступ только к одному логическому диску. Уже к каталогам и файлам, расположенным на этом диске, может разграничивать доступ соответствующий пользователь или администратор со входа 12. В данном режиме ограничения заносятся администратором безопасности (после его авторизации блоком 2) в блок 6, после чего со входа 17 запускается блок таймера 3. Текущие настройки, расположенные в блоке 5, и ограничения из блока 6 с интервалом, заданным со входа 16, поступают в блок 8, который анализирует, не противоречат ли настройки в блоке 5 ограничениям, задаваемым блоком 6. Если противоречат, то блок 9 осуществляет их корректировку и заносит в блок 5 корректные настройки. 3. The security administrator introduces restrictions on the ability to set security parameters. In this mode, it is assumed that the security administrator in
Иллюстрация использования заявляемой системы в иерархической информационной системе приведена на фиг.3. Здесь выделены три уровня иерархии информационной системы - системный (ОС), СУБД, приложения, каждый из которых управляется соответствующим администратором. В систему устанавливается заявляемая система контроля доступа к информационным ресурсам (СКД к ИР), управляемая администратором безопасности. Каждый уровень иерархии системы имеет свою систему контроля доступа (прототип) к информационным ресурсам. Настройки всех этих систем в одном их трех, рассмотренных выше режимов, ставятся на контроль администратором безопасности. Это позволяет реализовать в иерархической информационной системе схему централизованного администрирования информационной безопасностью с выделением в качестве структурообразующего элемента данной схемы - администратора безопасности. В качестве замечания отметим, что функции администратора безопасности могут быть совмещены с функциями системного администратора. An illustration of the use of the inventive system in a hierarchical information system is shown in Fig.3. Three levels of the hierarchy of the information system are distinguished here - system (OS), DBMS, applications, each of which is managed by the corresponding administrator. The system installs the claimed access control system for information resources (ACS to IR), managed by a security administrator. Each level of the hierarchy of the system has its own access control system (prototype) to information resources. The settings of all these systems in one of the three modes discussed above are put under the control of the security administrator. This makes it possible to implement a centralized information security administration scheme in a hierarchical information system with a security administrator highlighted as a structure-forming element of this scheme. As a remark, we note that the functions of a security administrator can be combined with the functions of a system administrator.
Отличие использования системы с различными объектами - системный уровень, СУБД, приложения, состоит в реализации блоков 5 и 6, доступа к ним, способов чтения и записи информации. Для СУБД - это служебные таблицы, размещаемые в файле, для системного уровня и приложений это могут быть различные файлы (например, реестр, для ОС Windows). Чтение и запись информации для данных блоков осуществляется соответственным системным средством - ОС или СУБД. The difference between using a system with various objects - the system level, DBMS, applications, consists in the implementation of
Блоки, используемые в заявляемой системе, могут быть реализованы следующим образом. The blocks used in the inventive system can be implemented as follows.
Блоки 2, 6, 7 реализованы аналогично соответствующим блокам 1, 5, 4 прототипа (единственное отличие блока 6 от блоки 5 состоит в том, что он содержит как учетные параметры доступа администратора безопасности - данные авторизации и разграничения доступа, так и эталонные настройки, либо ограничения).
Блок 3 - это таймер, программным образом вырабатывающий меандр сигналов задаваемой частоты.
Блок 8 - это программное средство сравнения таблиц (таблицы текущих разграничений с эталоном, либо текущей таблицы разграничений с заданными ограничениями).
Блок 9 - это программное средство формирования корректной таблицы разграничений по результатам сравнения (несовпадениям) текущей таблицы с эталонной - за основу берется эталонная, либо с ограничениями - удаляются или заменяются строки таблицы, некорректные с точки зрения заданных ограничений.
Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических основах вычислительной техники. Thus, the implementation of all used blocks is achieved by standard means based on the classical foundations of computer technology.
К достоинствам предлагаемой системы может быть отнесено следующее. The advantages of the proposed system may include the following.
1. Система позволяет реализовать централизованную схему администрирования информационной безопасностью иерархической информационной системы с использованием в качестве структурообразующего звена данной схемы выделенного администратора безопасности. 1. The system allows you to implement a centralized information security administration scheme of a hierarchical information system using a dedicated security administrator as the structure-forming link of this scheme.
2. Система позволяет реализовать различные варианты централизации решения задачи администрирования информационной безопасностью - с возложением на администратора безопасности всей совокупности задач администрирования, задач по контролю и противодействию несанкционированному изменению настроек безопасности иными администраторами и пользователями системы, задач по заданию ограничений на возможности осуществления настроек информационной безопасности иными администраторами и пользователями системы. 2. The system allows you to implement various options for centralizing the solution to the task of administering information security — entrusting the security administrator with the entire set of administration tasks, tasks to control and counteract unauthorized changes to security settings by other administrators and users of the system, tasks to set restrictions on the ability to make information security settings by other Administrators and users of the system.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2001123739/09A RU2207618C2 (en) | 2001-08-27 | 2001-08-27 | Data resource access control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2001123739/09A RU2207618C2 (en) | 2001-08-27 | 2001-08-27 | Data resource access control system |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2207618C2 true RU2207618C2 (en) | 2003-06-27 |
Family
ID=29210299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2001123739/09A RU2207618C2 (en) | 2001-08-27 | 2001-08-27 | Data resource access control system |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2207618C2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2500075C2 (en) * | 2007-07-13 | 2013-11-27 | Майкрософт Корпорейшн | Creating and validating cryptographically secured documents |
RU2562410C2 (en) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based file object access control |
US9189605B2 (en) | 2005-04-22 | 2015-11-17 | Microsoft Technology Licensing, Llc | Protected computing environment |
RU2571372C1 (en) * | 2014-07-17 | 2015-12-20 | Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) | System for protecting information containing state secrets from unauthorised access |
US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
-
2001
- 2001-08-27 RU RU2001123739/09A patent/RU2207618C2/en not_active IP Right Cessation
Non-Patent Citations (1)
Title |
---|
Валда Хиллей "Секреты WINDOWS NT SERVER 4.0"-Киев, Диалектика, 1997. * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9189605B2 (en) | 2005-04-22 | 2015-11-17 | Microsoft Technology Licensing, Llc | Protected computing environment |
US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
RU2500075C2 (en) * | 2007-07-13 | 2013-11-27 | Майкрософт Корпорейшн | Creating and validating cryptographically secured documents |
RU2562410C2 (en) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based file object access control |
RU2571372C1 (en) * | 2014-07-17 | 2015-12-20 | Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) | System for protecting information containing state secrets from unauthorised access |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6122631A (en) | Dynamic server-managed access control for a distributed file system | |
US7290279B2 (en) | Access control method using token having security attributes in computer system | |
McIlroy et al. | Multilevel security in the UNIX tradition | |
US6792424B1 (en) | System and method for managing authentication and coherency in a storage area network | |
US5564016A (en) | Method for controlling access to a computer resource based on a timing policy | |
Zayas | AFS-3 Programmer's Reference: Architectural Overview | |
US7827403B2 (en) | Method and apparatus for encrypting and decrypting data in a database table | |
US4135240A (en) | Protection of data file contents | |
US7861091B2 (en) | Smart card enabled secure computing environment system | |
US7058630B2 (en) | System and method for dynamically controlling access to a database | |
US7028090B2 (en) | Tokens utilized in a server system that have different access permissions at different access times and method of use | |
Bertino | Data security | |
US20030081784A1 (en) | System for optimized key management with file groups | |
JPH04310188A (en) | Library service method for document/image library | |
CA2533864A1 (en) | Discoverability and enumeration mechanisms in a hierarchically secure storage system | |
US20060059117A1 (en) | Policy managed objects | |
WO2003044712A1 (en) | Smart card enabled secure computing environment system | |
US8132261B1 (en) | Distributed dynamic security capabilities with access controls | |
RU2207618C2 (en) | Data resource access control system | |
US7890990B1 (en) | Security system with staging capabilities | |
Jordan | Guide to Understanding Discretionary Access Control in Trusted Systems | |
US20180083954A1 (en) | Method, system, login device, and application software unit for logging into docbase management system | |
Cisco | Using Security Manager Tools | |
Cisco | Setting Up Domains and Securing Applications | |
Cisco | Setting Up Domains and Securing Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20060828 |