Предположим что при разграничении доступа учитывается семантика программ в таком случае
Идентификация и аутентификация, управление доступом
Управление доступом в Java-среде
Java – это объектно-ориентированная система программирования, поэтому и управление доступом в ней спроектировано и реализовано в объектном стиле. По этой причине рассмотреть Java-среду для нас очень важно. Подробно о Java-технологии и безопасности Java-среды рассказано в статье А. Таранова и В. Цишевского «Java в три года» (Jet Info, 1998, 11-12). С разрешения авторов далее используются ее фрагменты.
Прежде всего, остановимся на эволюции модели безопасности Java. В JDK 1.0 была предложена концепция «песочницы» ( sandbox ) – замкнутой среды, в которой выполняются потенциально ненадежные программы ( апплеты, поступившие по сети). Программы, располагающиеся на локальном компьютере, считались абсолютно надежными, и им было доступно все, что доступно виртуальной Java-машине.
В число ограничений, налагаемых «песочницей», входит запрет на доступ к локальной файловой системе, на сетевое взаимодействие со всеми хостами, кроме источника апплета, и т.п. Независимо от уровня достигаемой при этом безопасности (а проблемы возникали и с разделением свой/чужой, и с определением источника апплета), наложенные ограничения следует признать слишком обременительными: возможности для содержательных действий у апплетов почти не остается.
Чтобы справиться с этой проблемой, в JDK 1.1 ввели деление источников (точнее, распространителей) апплетов на надежные и ненадежные (источник определялся по электронной подписи). Надежные апплеты приравнивались в правах к «родному» коду. Сделанное послабление решило проблемы тех, кому прав не хватало, но защита осталась неэшелонированной и, следовательно, неполной.
В JDK 1.2 сформировалась модель безопасности, используемая и в Java 2. От модели «песочницы» отказались. Оформились три основных понятия:
Право – это абстрактное понятие, за которым, как и положено в объектной среде, стоят классы и объекты. В большинстве случаев право определяется двумя цепочками символов – именем ресурса и действием. Например, в качестве ресурса может выступать файл, а в качестве действия – чтение. Важнейшим методом «правовых» объектов является implies(). Он проверяет, следует ли одно право (запрашиваемое) из другого (имеющегося).
Политика безопасности задает соответствие между источником и правами поступивших из него программ (формально можно считать, что каждому источнику соответствует своя «песочница»). В JDK 1.2 «родные» программы не имеют каких-либо привилегий в плане безопасности, и политика по отношению к ним может быть любой. В результате получился традиционный для современных ОС и СУБД механизм прав доступа со следующими особенностями:
На первый взгляд, учет контекста представляется логичным. Нельзя допускать, чтобы вызов какого-либо метода расширял права доступа хотя бы по той причине, что доступ к системным ресурсам осуществляется не напрямую, а с помощью системных объектов, имеющих все права.
К сожалению, подобные доводы противоречат одному из основных принципов объектного подхода – принципу инкапсуляции. Если объект A обращается к объекту B, он не может и не должен знать, как реализован B и какими ресурсами он пользуется для своих целей. Если A имеет право вызывать какой-либо метод B с некоторыми значениями аргументов, B обязан обслужить вызов. В противном случае при формировании политики безопасности придется учитывать возможный граф вызовов объектов, что, конечно же, нереально.
Разработчики Java осознавали эту проблему. Чтобы справиться с ней, они ввели понятие привилегированного интервала программы. При выполнении такого интервала контекст игнорируется. Привилегированная программа отвечает за себя, не интересуясь предысторией. Аналогом привилегированных программ являются файлы с битами переустановки идентификатора пользователя/группы в ОС Unix, что лишний раз подтверждает традиционность подхода, реализованного в JDK 1.2. Известны угрозы безопасности, которые привносят подобные файлы. Теперь это не лучшее средство ОС Unix перекочевало в Java.
Рассмотрим дисциплину контроля прав доступа более формально.
Класс AccessController (встроенный менеджер безопасности) предоставляет единый метод для проверки заданного права в текущем контексте – checkPermission (Permission). Это лучше (по причине параметризуемости), чем множество методов вида checkXXX, присутствующих в SecurityManager – динамически изменяемом менеджере безопасности из ранних версий JDK.
Пусть текущий контекст выполнения состоит из N стековых фреймов (верхний соответствует методу, вызвавшему checkPermission(p)). Метод checkPermission реализует следующий алгоритм (см. Листинг 10.1).
Сначала в стеке ищется фрейм, не обладающий проверяемым правом. Проверка производится до тех пор, пока либо не будет исчерпан стек, либо не встретится «привилегированный» фрейм, созданный в результате обращения к методу doPrivileged(PrivilegedAction) класса AccessController. Если при порождении текущего потока выполнения был сохранен контекст inheritedContext, проверяется и он. При положительном результате проверки метод checkPermission(p) возвращает управление, при отрицательном возникает исключительная ситуация AccessControlException.
Выбранный подход имеет один недостаток – тяжеловесность реализации. В частности, при порождении нового потока управления с ним приходится ассоциировать зафиксированный «родительский» контекст и, соответственно, проверять последний в процессе контроля прав доступа.
Отметим, что этот подход не распространяется на распределенный случай (хотя бы потому, что контекст имеет лишь локальный смысл, как, впрочем, и политика безопасности).
В целом средства управления доступом в JDK 1.2 можно оценить как «наполовину объектные». Реализация оформлена в виде интерфейсов и классов, однако по-прежнему разграничивается доступ к необъектным сущностям – ресурсам в традиционном понимании. Не учитывается семантика доступа. Имеют место и другие отмеченные выше концептуальные проблемы.
Возможный подход к управлению доступом в распределенной объектной среде
Представляется, что в настоящее время проблема управления доступом существует в трех почти не связанных между собой проявлениях:
На наш взгляд, необходимо объединить существующие подходы на основе их развития и обобщения.
Формальная постановка задачи разграничения доступа может выглядеть следующим образом.
Рассматривается множество объектов (в смысле объектно-ориентированного программирования). Часть объектов может являться контейнерами, группирующими объекты-компоненты, задающими для них общий контекст, выполняющими общие функции и реализующими перебор компонентов. Контейнеры либо вложены друг в друга, либо не имеют общих компонентов.
С каждым объектом ассоциирован набор интерфейсов, снабженных дескрипторами (ДИ). К объекту можно обратиться только посредством ДИ. Разные интерфейсы могут предоставлять разные методы и быть доступными для разных объектов.
Каждый контейнер позволяет опросить набор ДИ объектов-компонентов, удовлетворяющих некоторому условию. Возвращаемый результат в общем случае зависит от вызывающего объекта.
Объекты изолированы друг от друга. Единственным видом межобъектного взаимодействия является вызов метода.
Предполагается также, что разрешение или запрет на доступ не зависят от возможного параллельного выполнения методов (синхронизация представляет отдельную проблему, которая здесь не рассматривается).
Рассматривается задача разграничения доступа для выделенного контейнера CC, компонентами которого должны являться вызывающий и/или вызываемый объекты. ДИ этого контейнера полагается общеизвестным. Считается также, что между внешними по отношению к выделенному контейнеру объектами возможны любые вызовы.
Выполнение ПРД контролируется монитором обращений.
При вызове метода мы будем разделять действия, производимые вызывающим объектом ( инициация вызова) и вызываемым методом (прием и завершение вызова).
При инициации вызова может производиться преобразование ДИ фактических параметров к виду, доступному вызываемому методу ( «трансляция интерфейса» ). Трансляция может иметь место, если вызываемый объект не входит в тот же контейнер, что и вызывающий.
Параметры методов могут быть входными и/или выходными. При приеме вызова возникает информационный поток из входных параметров в вызываемый объект. В момент завершения вызова возникает информационный поток из вызываемого объекта в выходные параметры. Эти потоки могут фигурировать в правилах разграничения доступа.
Структурируем множество всех ПРД, выделив четыре группы правил:
Правила, общие для всех объектов, входящих в контейнер C, назовем политикой безопасности данного контейнера.
Пусть метод M1 объекта O1 в точке P1 своего выполнения должен вызвать метод M объекта O. Правила, которым должен удовлетворять M, можно разделить на четыре следующие подгруппы:
Метод M объекта O, потенциально доступный для вызова, может предъявлять к вызывающему объекту следующие группы требований:
Можно выделить три разновидности предикатов, соответствующих семантике и/или особенностям реализации методов:
Перечисленные ограничения можно назвать добровольными, поскольку они соответствуют реальному поведению объектов и не связаны с какими-либо внешними требованиями.
Предложенная постановка задачи разграничения доступа соответствует современному этапу развития программирования, она позволяет выразить сколь угодно сложную политику безопасности, найти баланс между богатством выразительных возможностей и эффективностью работы монитора обращений.
Ответы на экзаменационные вопросы интернет-курсов ИНТУИТ Ответы на экзаменационные вопросы интернет-курсов ИНТУИТ (INTUIT): Основы информационной безопасности
1. «Общие критерии» содержат следующие виды требований:
4. Melissa подвергает атаке на доступность:
5. Агрессивное потребление ресурсов является угрозой:
6. Архитектурными элементами систем управления являются:
7. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
8. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:
9. Аутентификация на основе пароля, переданного по сети в открытом виде, плоха, потому что не обеспечивает защиты от:
10. Большинство людей не совершают противоправных действий потому, что это:
11. В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
12. В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
13. В качестве аутентификатора в сетевой среде могут использоваться:
14. В качестве аутентификатора в сетевой среде могут использоваться:
15. В рамках программы безопасности нижнего уровня определяются:
16. В рамках программы безопасности нижнего уровня осуществляются:
17. В следующих странах сохранилось жесткое государственное регулирование разработки и распространения криптосредств на внутреннем рынке:
18. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
19. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
20. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
21. В число возможных стратегий нейтрализации рисков входят:
22. В число возможных стратегий нейтрализации рисков входят:
23. В число возможных стратегий нейтрализации рисков входят:
24. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
25. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
26. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
27. В число классов мер процедурного уровня входят:
28. В число классов мер процедурного уровня входят:
29. В число классов мер процедурного уровня входят:
30. В число классов требований доверия безопасности «Общих критериев» входят:
31. В число классов функциональных требований «Общих критериев» входят:
32. В число направлений повседневной деятельности на процедурном уровне входят:
33. В число направлений повседневной деятельности на процедурном уровне входят:
34. В число направлений повседневной деятельности на процедурном уровне входят:
35. В число направлений физической защиты входят:
36. В число направлений физической защиты входят:
37. В число направлений физической защиты входят:
38. В число основных понятий ролевого управления доступом входит:
39. В число основных понятий ролевого управления доступом входит:
40. В число основных принципов архитектурной безопасности входят:
41. В число основных принципов архитектурной безопасности входят:
42. В число основных принципов архитектурной безопасности входят:
43. В число основных угроз доступности входят:
44. В число понятий объектного подхода входят:
45. В число принципов управления персоналом входят:
46. В число принципов управления персоналом входят:
47. В число принципов физической защиты входят:
48. В число универсальных сервисов безопасности входят:
49. В число универсальных сервисов безопасности входят:
50. В число универсальных сервисов безопасности входят:
51. В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:
52. В число целей политики безопасности верхнего уровня входят:
53. В число целей политики безопасности верхнего уровня входят:
54. В число целей политики безопасности верхнего уровня входят:
55. В число целей программы безопасности верхнего уровня входят:
56. В число целей программы безопасности верхнего уровня входят:
57. В число целей программы безопасности верхнего уровня входят:
58. В число целей программы безопасности нижнего уровня входят:
59. В число этапов жизненного цикла информационного сервиса входят:
60. В число этапов жизненного цикла информационного сервиса входят:
61. В число этапов жизненного цикла информационного сервиса входят:
62. В число этапов процесса планирования восстановительных работ входят:
63. В число этапов процесса планирования восстановительных работ входят:
64. В число этапов процесса планирования восстановительных работ входят:
65. В число этапов управления рисками входят:
66. В число этапов управления рисками входят:
67. В число этапов управления рисками входят:
68. Включение в число основных аспектов безопасности подотчетность.
69. Выберите вредоносную программу, которая открыла новый этап в развитии данной области:
70. Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
71. Главная цель мер, предпринимаемых на административном уровне:
72. Действие Закона «О лицензировании отдельных видов деятельности» не распространяется на:
73. Действие Закона «О лицензировании отдельных видов деятельности» распространяется на:
74. Деление на активные и пассивные сущности противоречит:
75. Демилитаризованная зона располагается:
77. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
78. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
79. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
80. Достоинствами асинхронного тиражирования являются:
81. Достоинствами синхронного тиражирования являются:
82. Доступность достигается за счет применения мер, направленных на повышение:
83. Доступность достигается за счет применения мер, направленных на повышение:
84. Доступность достигается за счет применения мер, направленных на повышение:
85. Дублирование сообщений является угрозой:
86. Затраты организаций на информационную безопасность:
87. Из принципа разнообразия защитных средств следует, что:
88. Интенсивности отказов независимых компонентов:
90. Информационный сервис считается недоступным, если:
91. К межсетевым экранам целесообразно применять следующие принципы архитектурной безопасности:
92. Каркас необходим системе управления для придания:
93. Комплексное экранирование может обеспечить:
94. Компьютерная преступность в мире:
95. Контейнеры в компонентных объектных средах предоставляют:
96. Контроль целостности может использоваться для:
97. Криптография необходима для реализации следующих сервисов безопасности:
98. Криптография необходима для реализации следующих сервисов безопасности:
99. Криптография необходима для реализации следующих сервисов безопасности:
100. Любой разумный метод борьбы со сложностью опирается на принцип:
101. Меры информационной безопасности направлены на защиту от:
102. Метод объекта реализует волю:
103. На законодательном уровне информационной безопасности особенно важны:
104. На межсетевой экран целесообразно возложить функции:
105. На межсетевые экраны целесообразно возложить следующие функции:
106. На межсетевые экраны целесообразно возложить следующие функции:
107. На межсетевые экраны целесообразно возложить следующие функции:
108. На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:
109. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
110. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
111. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
112. Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией органов лицензирования и сертификации по данной тематике:
113. Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
114. Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией о методах использования уязвимостей:
115. Обеспечение высокой доступности можно ограничить:
116. Обеспечение информационной безопасности зависит от:
117. Объектно-ориентированный подход использует:
118. Объектно-ориентированный подход помогает справляться с:
120. Окно опасности перестает существовать, когда:
121. Окно опасности появляется, когда:
122. Основными функциями ПО промежуточного слоя, существенными для обеспечения высокой доступности, являются:
123. Оценка рисков позволяет ответить на следующие вопросы:
124. Оценка рисков позволяет ответить на следующие вопросы:
125. Оценка рисков позволяет ответить на следующие вопросы:
127. Перехват данных является угрозой:
128. Под определение средств защиты информации, данное в Законе «О государственной тайне», подпадают:
129. Политика безопасности строится на основе:
130. Политика безопасности:
131. Пороговый метод выявления атак хорош тем, что он:
132. После идентификации угрозы необходимо оценить:
133. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:
134. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:
135. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на текстовый редактор могут быть наложены следующие ограничения:
136. При анализе стоимости защитных мер следует учитывать:
137. При использовании версии сервера аутентификации Kerberos, описанной в курсе:
138. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:
139. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование:
140. При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:
141. При использовании сервера аутентификации Kerberos пароли по сети:
142. Принцип усиления самого слабого звена можно переформулировать как:
143. Программно-технические меры безопасности подразделяются на:
144. Программно-технические меры безопасности подразделяются на:
145. Протоколирование и аудит могут использоваться для:
146. Протоколирование само по себе не может обеспечить неотказуемость, потому что:
147. Протоколирование само по себе не может обеспечить неотказуемость, потому что:
148. Протоколирование само по себе не может обеспечить неотказуемость, потому что:
149. Реализация протоколирования и аудита преследует следующие главные цели:
150. Реализация протоколирования и аудита преследует следующие главные цели:
151. Реализация протоколирования и аудита преследует следующие главные цели:
152. Риск является функцией:
153. Риск является функцией:
154. Риск является функцией:
155. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
156. С информацией о новых уязвимых местах достаточно знакомиться:
157. Самым актуальным из стандартов безопасности является:
158. Самыми опасными источниками внутренних угроз являются:
159. Самыми опасными источниками угроз являются:
160. Самыми опасными угрозами являются:
161. Сервер аутентификации Kerberos:
162. Сервисы безопасности подразделяются на:
163. Сигнатурный метод выявления атак хорош тем, что он:
164. Системы анализа защищенности выявляют уязвимости путем:
165. Системы анализа защищенности помогают предотвратить:
166. Системы анализа защищенности помогают:
167. Сложность обеспечения информационной безопасности является следствием:
168. Сложность обеспечения информационной безопасности является следствием:
169. Сложность обеспечения информационной безопасности является следствием:
170. Совместно с криптографическими сервисами туннелирование может применяться для достижения следующих целей:
171. Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
172. Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
173. Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
174. Согласно Закону «О лицензировании отдельных видов деятельности», лицензия, это:
175. Согласно рекомендациям X.800, аутентификация может быть реализована на:
176. Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
177. Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
178. Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
179. Согласно рекомендациям X.800, неотказуемость может быть реализована на:
180. Согласно рекомендациям X.800, целостность с восстановлением может быть реализована на:
181. Согласно стандарту X.700, в число задач управления входят:
182. Согласно стандарту X.700, в число задач управления входят:
183. Согласно стандарту X.700, в число задач управления входят:
184. Согласно стандарту X.700, в число функций управления безопасностью входят:
185. Согласно стандарту X.700, в число функций управления конфигурацией входят:
186. Согласно стандарту X.700, в число функций управления отказами входят:
187. Среди нижеперечисленного выделите троянские программы:
188. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
189. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
190. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
191. Среднее время наработки на отказ:
192. Средний ущерб от компьютерного преступления в США составляет примерно:
193. Статистический метод выявления атак хорош тем, что он:
194. Структурный подход опирается на:
195. Требование безопасности повторного использования объектов противоречит:
196. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
197. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
198. Туннелирование может использоваться на следующих уровнях эталонной семиуровневой модели:
199. Туннелирование может применяться для достижения следующих целей:
200. Туннелирование может применяться для достижения следующих целей:
201. Уголовный кодекс РФ не предусматривает наказания за:
202. Уголовный кодекс РФ не предусматривает наказания за:
203. Уголовный кодекс РФ не предусматривает наказания за:
204. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
205. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
206. Управление рисками включает в себя следующие виды деятельности:
207. Управление рисками включает в себя следующие виды деятельности:
208. Управление рисками включает в себя следующие виды деятельности:
209. Уровень безопасности A, согласно «Оранжевой книге», характеризуется:
210. Уровень безопасности B, согласно «Оранжевой книге», характеризуется:
211. Уровень безопасности C, согласно «Оранжевой книге», характеризуется:
212. Цифровой сертификат содержит:
213. Цифровой сертификат содержит:
214. Цифровой сертификат содержит:
215. Что из перечисленного не относится к числу основных аспектов информационной безопасности:
216. Что из перечисленного не относится к числу основных аспектов информационной безопасности:
217. Что из перечисленного не относится к числу основных аспектов информационной безопасности:
218. Что из перечисленного относится к числу основных аспектов информационной безопасности:
219. Что из перечисленного относится к числу основных аспектов информационной безопасности:
220. Что из перечисленного относится к числу основных аспектов информационной безопасности:
221. Что понимается под информационной безопасностью:
222. Что такое защита информации:
223. Экран выполняет функции:
224. Экран выполняет функции:
225. Экран выполняет функции:
226. Экранирование может использоваться для:
227. Экранирование на сетевом и транспортном уровнях может обеспечить:
228. Экранирование на сетевом уровне может обеспечить:
229. Элементом процедурного уровня ИБ является:
230. Эффективность информационного сервиса может измеряться как:
Актуальная информация по учебным программам ИНТУИТ расположена по адресу: http://www. *****/.
(программ: 450)
(программ: 14)
Developer Project предлагает поддержку при сдаче экзаменов учебных курсов Интернет-университета информационных технологий INTUIT (ИНТУИТ). Мы ответили на экзаменационные вопросы 380 курсов INTUIT (ИНТУИТ), всего вопросов, ответов (некоторые вопросы курсов INTUIT имеют несколько правильных ответов). Текущий каталог ответов на экзаменационные вопросы курсов ИНТУИТ опубликован на сайте объединения Developer Project по адресу: http://www. dp5.su/
Подтверждения правильности ответов можно найти в разделе «ГАЛЕРЕЯ», верхнее меню, там опубликованы результаты сдачи экзаменов по 100 курсам (удостоверения, сертификаты и приложения с оценками).
Болеевопросов по 70 курсам и ответы на них, опубликованы на сайте http://www. dp5.su/, и доступны зарегистрированным пользователям. По остальным экзаменационным вопросам курсов ИНТУИТ мы оказываем платные услуги (см. вкладку верхнего меню «ЗАКАЗАТЬ УСЛУГУ». Условия поддержки и помощи при сдаче экзаменов по учебным программам ИНТУИТ опубликованы по адресу: http://www. dp5.su/
— часть вопросов могла не войти в настоящий перечень, т. к. они представлены в графической форме. В перечне возможны неточности формулировок вопросов, что связано с дефектами распознавания графики, а так же коррекцией со стороны разработчиков курсов.