Управление идентификацией и доступом реферат

СКУД как базовый компонент интегрированных систем………. Технические тенденции развития СКУД…………………. Вместе с охранно-пожарной сигнализацией и системами телевизионного наблюдения они образуют базу для интеграции систем безопасности зданий в единый комплекс. Последние оценки рынка свидетельствуют, что интерес к СКУД растет. Общие технические требования.

Защита любого объекта включает несколько рубежей, число которых зависит от уровня режимности объекта. При этом во всех случаях важным рубежом будет система управления контроля доступом СКУД на объект. Хорошо организованная с использованием современных технических средств СКУД позволит решать целый ряд задач. При реализации конкретных СКУД используют различные способы и реализующие их устройства для идентификации и аутентификации личности. Следует отметить, что СКУД являются одним из наиболее развитых сегментов рынка безопасности как в России, так и за рубежом.

Реферат Объекты и процедуры выполняемые системой контроля и управления доступом

Дело в том, что само понятие объекта а тем более видов доступа меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение для программных файлов , иногда на удаление и добавление.

Отдельным правом может быть возможность передачи полномочий доступа другим субъектам так называемое право владения. Процессы можно создавать и уничтожать.

Современные операционные системы могут поддерживать и другие объекты. Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура.

К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа. Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Теоретически это согласуется с современным объектно-ориентированным подходом, на практике же приводит к значительным трудностям. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов возможно, при этом придется преодолеть некоторые технические трудности.

Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой разобравшись предварительно в структуре хранения объектов базы данных. В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами приходится заботиться о согласованности разных частей матрицы.

При принятии решения о предоставлении доступа обычно анализируется следующая информация: идентификатор субъекта идентификатор пользователя, сетевой адрес компьютера и т. Подобные идентификаторы являются основой произвольного или дискреционного управления доступом; атрибуты субъекта метка безопасности, группа пользователя и т. Метки безопасности - основа принудительного мандатного управления доступом.

Матрицу доступа, ввиду ее разреженности большинство клеток - пустые , неразумно хранить в виде двухмерного массива.

Обычно ее хранят по столбцам, то есть для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администратору. Некоторые проблемы возникают только при удалении субъекта, когда приходится удалять его имя из всех списков доступа; впрочем, эта операция производится нечасто.

Списки доступа - исключительно гибкое средство. С их помощью легко выполнить требование о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ например, чтобы наказать нескольких членов группы пользователей. Безусловно, списки являются лучшим средством произвольного управления доступом. Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом.

Основное достоинство произвольного управления - гибкость. Вообще говоря, для каждой пары "субъект-объект" можно независимо задавать права доступа особенно легко это делать, если используются списки управления доступом.

К сожалению, у "произвольного" подхода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудника, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи.

Следовательно, произвольность управления должна быть дополнена жестким контролем за реализацией избранной политики безопасности. Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом.

Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности. Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого можно использовать также функциональный способ, когда матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток.

Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта. Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

Подобный подход обычно реализуют в рамках системы меню пользователю показывают лишь допустимые варианты выбора или посредством ограничивающих оболочек, таких как restricted shell в ОС Unix. В заключение подчеркнем важность управления доступом не только на уровне операционной системы, но и в рамках других сервисов, входящих в состав современных приложений, а также, насколько это возможно, на "стыках" между сервисами.

Здесь на первый план выходит существование единой политики безопасности организации, а также квалифицированное и согласованное системное администрирование. Ролевое управление доступом При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов.

Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить. Таким решением является ролевое управление доступом РУД. Суть его в том, что между пользователями и их привилегиями появляются промежуточные сущности - роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права см. Пользователи, объекты и роли. Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах.

Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме а не произведению количества пользователей и объектов, что по порядку величины уменьшить уже невозможно. Ролевой доступ развивается более 10 лет сама идея ролей, разумеется, значительно старше как на уровне операционных систем, так и в рамках СУБД и других информационных сервисов.

В частности, существуют реализации ролевого доступа для Web-серверов. В 2001 году Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом см. Ролевое управление доступом оперирует следующими основными понятиями: пользователь человек, интеллектуальный автономный агент и т. Ролям приписываются пользователи и права доступа; можно считать, что они роли именуют отношения "многие ко многим" между пользователями и правами.

Роли могут быть приписаны многим пользователям; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.

Между ролями может быть определено отношение частичного порядка, называемое наследованием. Если роль r2 является наследницей r1, то все права r1 приписываются r2, а все пользователи r2 приписываются r1. Очевидно, что наследование ролей соответствует наследованию классов в объектно-ориентированном программировании, только правам доступа соответствуют методы классов, а пользователям - объекты экземпляры классов. Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу.

В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц и, естественно, несколько наследниц, которых мы будем называть также преемницами. Можно представить себе формирование иерархии ролей, начиная с минимума прав и максимума пользователей , приписываемых роли "сотрудник", с постепенным уточнением состава пользователей и добавлением прав роли "системный администратор", "бухгалтер" и т.

Фрагмент подобной иерархии ролей показан на рис. Фрагмент иерархии ролей. Для реализации еще одного упоминавшегося ранее важного принципа информационной безопасности вводится понятие разделения обязанностей, причем в двух видах: статическом и динамическом.

Статическое разделение обязанностей налагает ограничения на приписывание пользователей ролям. В простейшем случае членство в некоторой роли запрещает приписывание пользователя определенному множеству других ролей. В общем случае данное ограничение задается как пара "множество ролей - число" где множество состоит, по крайней мере, из двух ролей, а число должно быть больше 1 , так что никакой пользователь не может быть приписан указанному или большему числу ролей из заданного множества.

При наличии наследования ролей ограничение приобретает несколько более сложный вид, но суть остается простой: при проверке членства в ролях нужно учитывать приписывание пользователей ролям-наследницам.

Динамическое разделение обязанностей отличается от статического только тем, что рассматриваются роли, одновременно активные быть может, в разных сеансах для данного пользователя а не те, которым пользователь статически приписан. Например, один пользователь может играть роль и кассира, и контролера, но не одновременно; чтобы стать контролером, он должен сначала закрыть кассу.

Тем самым реализуется так называемое временное ограничение доверия, являющееся аспектом минимизации привилегий. Вспомогательные функции обслуживание сеансов работы пользователей : открыть сеанс работы пользователя с активацией подразумеваемого набора ролей; активировать новую роль, деактивировать роль; проверить правомерность доступа.

Информационные функции получение сведений о текущей конфигурации с учетом отношения наследования. Здесь проводится разделение на обязательные и необязательные функции. К числу первых принадлежат получение списка пользователей, приписанных роли, и списка ролей, которым приписан пользователь. Все остальные функции отнесены к разряду необязательных.

Можно надеяться, что предлагаемый стандарт поможет сформировать единую терминологию и, что более важно, позволит оценивать РУД-продукты с единых позиций, по единой шкале.

Управление доступом в Java-среде Java - это объектно-ориентированная система программирования, поэтому и управление доступом в ней спроектировано и реализовано в объектном стиле. По этой причине рассмотреть Java-среду для нас очень важно. Подробно о Java-технологии и безопасности Java-среды рассказано в статье А. Таранова и В. Цишевского "Java в три года" Jet Info, 1998, 11-12. С разрешения авторов далее используются ее фрагменты. Прежде всего, остановимся на эволюции модели безопасности Java.

В JDK 1. Программы, располагающиеся на локальном компьютере, считались абсолютно надежными, и им было доступно все, что доступно виртуальной Java-машине. В число ограничений, налагаемых "песочницей", входит запрет на доступ к локальной файловой системе, на сетевое взаимодействие со всеми хостами, кроме источника апплета, и т. Чтобы справиться с этой проблемой, в JDK 1. Надежные апплеты приравнивались в правах к "родному" коду. Сделанное послабление решило проблемы тех, кому прав не хватало, но защита осталась неэшелонированной и, следовательно, неполной.

От модели "песочницы" отказались. Оформились три основных понятия: источник программы; политика безопасности. Источник программы определяется парой URL, распространители программы. Последние задаются набором цифровых сертификатов. Право - это абстрактное понятие, за которым, как и положено в объектной среде, стоят классы и объекты.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: СКУД (дальняя идентификация)

скачать работу "Системы контроля и управления доступом" (реферат) контроллеры и устройства идентификации личности (считыватели). Реферат: Системы контроля и управления доступом .. Появление карточек как универсального средства идентификации, ключа и.

Дело в том, что само понятие объекта а тем более видов доступа меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение для программных файлов , иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам так называемое право владения. Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты. Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа. Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Теоретически это согласуется с современным объектно-ориентированным подходом, на практике же приводит к значительным трудностям. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов возможно, при этом придется преодолеть некоторые технические трудности. Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой разобравшись предварительно в структуре хранения объектов базы данных. В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами приходится заботиться о согласованности разных частей матрицы. При принятии решения о предоставлении доступа обычно анализируется следующая информация: идентификатор субъекта идентификатор пользователя, сетевой адрес компьютера и т. Подобные идентификаторы являются основой произвольного или дискреционного управления доступом; атрибуты субъекта метка безопасности, группа пользователя и т. Метки безопасности - основа принудительного мандатного управления доступом. Матрицу доступа, ввиду ее разреженности большинство клеток - пустые , неразумно хранить в виде двухмерного массива.

Биометрическая идентификация - идентификация, основанная на использовании индивидуальных физических признаков человека отпечатков пальцев, рисунка ладони или сетчатки глаза, голоса, изображения лица и т.

В настоящее время, СКУД признаны одним из наиболее эффективных методов решения задач комплексной безопасности для объектов. Глядя на неуклонный рост интереса к СКУД и перспективу широкого их применения в ближайшем будущем, не следует забывать, что СКУД лишь упрощает процесс идентификации, экономит время и повышает эффективность работы служб безопасности предприятия, но, при этом, все равно требует контроля со стороны человека. От уровня вероятных угроз и поставленных перед системой задач, зависит необходимость подбора оптимального соотношения между людьми и техническими ресурсами системы.

СИСТЕМА КОНТРОЛЯ ДОСТУПА

В условиях большой разбросанности месторождений для успешного выполнения задач по добыче нефти необходима автоматизация контроля работы персонала ЦДНГ и сервисных служб. Такие, как недостаточно оперативное реагирование на сообщения об остановках скважин, особенно в ночное время и в выходные дни. Использование принципа биометрической идентификации по отпечаткам пальцев Внедрение средств автоматизации и автоматизированных систем управления технологическими процессами на предприятиях нефтедобычи приобретают особое значение, так как позволяют обеспечить эффективную работу предприятия в заданных режимах, повышать качество выпускаемой продукции, обеспечить безаварийность и экологическую безопасность производств, повысить производительность труда. В частности ключи для приобретенных блоков считывания контактных и бесконтактных электронных ключей рис. Эти контроллеры предназначены для управления доступом с идентификацией по отпечаткам пальцев.

Курсовая работа: Выбор систем контроля и управления доступом

Подготовка исходных данных для организации контрольно-пропускного режима. Идентификатор пользователя, контроллеры и устройства идентификации личности считыватели. Централизованная архитектура и программное обеспечение СКУД для распределенных объектов. Описание мер, направленных на реализацию системы контроля и управления доступом, видеонаблюдения. Расчет стоимости спроектированной системы. Разработка структурной схемы и описание работы устройства. Выбор и обоснование эмулятора для отладки программы работы СКУД. Отладка программы системы управления охранной сигнализацией. Принцип работы, функции и основные составляющие данного средства безопасности. Преимущества применения видеонаблюдения.

Правильное использование СКУД позволяет закрыть несанкционированный доступ на территорию, в здание, отдельные этажи и помещения. Экономический эффект от внедрения СКУД может оцениваться как снижение затрат на содержание персонала охраны за вычетом стоимости аппаратуры отнесенной на срок ее эксплуатации и затрат по обслуживанию.

.

Реферат: Системы контроля и управления доступом

.

.

.

.

.

.

ВИДЕО ПО ТЕМЕ: Управление идентификацией и доступом, обзор Forefront
Похожие публикации