Cтраница 4
Семантика языков защиты определяется на предложенной автором диссертации модели контроля доступа. Основное внимание уделено исследованию двух процессов: установлению полномочий и соблюдению требования защиты. Показано, что решение о доступе должно основываться на предыстории обращений к базе данных. Кроме того, в модели предусмотрены средства для вызова вспомогательных процедур. В заключение рассмотрены вид и структура языков защиты. [46]
Важное значение имеет также существенный прогресс в разработке систем контроля доступа. Человек-часовой на входе в защищаемую зону с успехом может быть заменен электронным контроллером, обеспечивающим высокую степень идентификации личности, причем не только путем подтверждения истинности пропуска, но также путем анализа объективных характеристик данной личности, например, геометрических параметров ладони, дактилоскопического рисунка, характерных особенностей голоса или динамических характеристик подписи. [47]
Автор обсуждает четыре типа систем идентификации, используемых для контроля доступа к вычислительным средствам: кнопочные системы; системы с кодированными картами; системы, использующие сочетание кодированных карт и кнопочных устройств, и системы идентификации по физическим свойствам. [48]
В табл. 8.2 показано, как с помощью предикатов осуществляется контроль доступа на уровне записей. Выше уже отмечалось, что на шаге 3 контроль доступа осуществляется на уровне файлов, а на шаге 10 - на уровне подфайлов. Поскольку владельцу файла или под-файла разрешено разрабатывать программы контроля на уровне записей, записи, уже ставшие доступными для других пользователей, подвергаются дальнейшей проверке и контролю для того, чтобы выяснить, может ли данный пользователь работать с ними. [49]
Поэтому в некоторых операционных системах используются только списки полномочий и контроль доступа организуется с помощью идентификаторов пользователей. В этом случае система управления файлами для каждого идентификатора пользователя формирует описок ресурсов, к которым этому пользователю разрешен доступ; она заносит в него идентификаторы ресурсов, имена программ и наборов данных и соответствующие им атрибуты защиты. Когда осуществляется регистрация пользователя и установление его подлинности, идентификатор пользователя средствами операционной системы на этапе проверки заносится в системный журнал. Затем система управления файлами находит список ресурсов, к которым разрешен доступ данному пользователю. Операционная система формирует указатель, с помощью которого выполняется обращение к этому списку, и заносит значение указателя в системный журнал. Преимущество такого подхода заключается в том, что идентификаторы всех разрешенных ресурсов, программ и наборов данных содержатся в списке, который только что просматривался системой. Это облегчает последующую процедуру проверки при обработке запросов на ресурсы, программы и данные. [50]
Процедуры базы данных широко используются для контроля целостности данных, контроля доступа к данным, сбора статистики обращения к данным, реализации каких-либо других функций управления данными. [51]
До сих пор является наиболее используемой технологией в области систем контроля доступа. Множество людей хорошо знакомы с ней, поскольку она широко используется в банковских и кредитных картах. Стандартная магнитная полоса содержит три дорожки. В области СКД и банковских технологий принято использовать вторую дорожку. Карта должна быть проведена или вставлена в считыватель таким образом, чтобы считывающая головка смогла прочесть данные. Эта контактная операция приводит к износу карты и считывающей головки. Однако использование новых, более прочных магнитных материалов снижает вероятность потери данных по вышеуказанной причине. [52]
Это наиболее быстро развивающаяся технология в области карт для систем контроля доступа. Proximity-считыватель постоянно излучает сигнал низкой мощности ( в радиодиапазоне), который питает карту. [53]
При выборе СКД необходимо учитывать вид объекта, который требует контроля доступа. [54]