Индивидуальное задание по практике: Безопасность КС

МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Институт кибербезопасности и цифровых технологий
(наименование института, филиала)
Кафедра КБ-3 «Разработка программных решений и системное
программирование»
(наименование кафедры)
ИНДИВИДУАЛЬНОЕ ЗАДАНИЕ НА
УЧЕБНУЮ
ПРАКТИКУ
(указать вид практики: учебная / производственная)
Ознакомительная практика
(указать тип практики в соответствии с учебным планом)
Студенту
1
курса учебной группы БСБО-21-24
Гущину Сергею Романовичу
.
(фамилия, имя и отчество)
Место и время практики: с 10.02.2025 по 31.05.2025
1. ЦЕЛЕВАЯ УСТАНОВКА: закрепление, углубление и систематизация знаний,
полученных в процессе обучения, приобретение необходимых умений, навыков и опыта
практической работы по направлению подготовки.
2. СОДЕРЖАНИЕ ПРАКТИКИ:
2.1. Изучить:
№ Перечень
Литература
теоретических
вопросов,
подлежащих
разработке
1 Базовые
Каннер, А. М. Модель и алгоритмы обеспечения безопасности
принципы,
управления доступом в операционных системах семейства Linux
лежащие в основе : специальность 02.03.06 "Методы и системы защиты
моделей политики информации, информационная безопасность" : диссертация на
безопасности
в соискание ученой степени кандидата технических наук / Каннер
КС.
Андрей Михайлович, 2023. – 200 с. – EDN YPDSXK.
2 Матричная
Каннер, А. М. Модель и алгоритмы обеспечения безопасности
модель
управления доступом в операционных системах семейства Linux
управления
: специальность 02.03.06 "Методы и системы защиты
доступом
к информации, информационная безопасность" : диссертация на
ресурсам КС.
соискание ученой степени кандидата технических наук / Каннер
Андрей Михайлович, 2023. – 200 с. – EDN YPDSXK.
3 Мандатная
Капгер, И. В. Управление доступом к информационным
модель
ресурсам в условиях нулевого доверия / И. В. Капгер, П. А.
управления
Иванов // Автоматизированные системы управления и
Информационные технологии : Материалы всероссийской
доступом
ресурсам КС.
к научно-технической конференции, Пермь, 07–09 июня 2023
года. – Пермь: Пермский национальный исследовательский
политехнический университет, 2023. – С. 291-297. – EDN
OOBAGX.
2.2. Практически выполнить:
№ Перечень практических заданий
Планируемый результат
1 Написать реферат на заданную тему
Отчет
2.3. Ознакомиться:
№ Перечень вопросов для ознакомления
Планируемый результат
1 Основные нормативные и методические материалы,
Отчет
регламентирующие информационно-аналитическую
деятельность
3. ДОПОЛНИТЕЛЬНОЕ ЗАДАНИЕ:
№ Перечень дополнительных вопросов для разработки
Планируемый результат
1 Модель управления доступом в SELinux
Отчет
4. ОРГАНИЗАЦИОННО-МЕТОДИЧЕСКИЕ УКАЗАНИЯ: совместно с руководителем
практики от кафедры разработать календарно-тематический план, составить перечень
теоретических и практических вопросов для изучения, организовать рабочее место на
кафедре КБ-3; сформировать итоговый отчет по практике.
Руководитель практики от кафедры
«___» ____________ 20___ г.
(Алёшкин А.С., доцент)
Подпись
Задание получил:
«___» ____________ 20___ г.
ФИО
(Гущин С.Р.)
Подпись
СОГЛАСОВАНО:
Заведующий кафедрой:
«___» ____________ 20___ г.
ФИО
(Д.С. Горин )
Подпись
Проведенные инструктажи:
Охрана труда:
Инструктирующий
ФИО
«___» ____________ 2025 г.
(Алёшкин А.С., доцент)
Подпись
Инструктируемый
Расшифровка, должность
(Гущин С.Р.)
Подпись
Техника безопасности:
Расшифровка
«___» ____________ 2025 г.
Инструктирующий
(Алёшкин А.С., доцент)
Подпись
Инструктируемый
Расшифровка, должность
(Гущин С.Р.)
Подпись
Пожарная безопасность:
Инструктирующий
Расшифровка
«___» ____________ 2025 г.
(Алёшкин А.С., доцент)
Подпись
Инструктируемый
Расшифровка, должность
(Гущин С.Р.)
Подпись
С правилами внутреннего распорядка ознакомлен:
Подпись
Расшифровка
«___» ____________ 2025 г.
(Гущин С.Р.)
Расшифровка
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Институт кибербезопасности и цифровых технологий
(наименование института, филиала)
Кафедра КБ-3 «Разработка программных решений и системное
программирование»
(наименование кафедры)
Тема практики: Базовые принципы, лежащие в основе моделей политики
безопасности в КС. Матричная (дискреционная) модель и мандатная
(полномочная) модель управления доступом к ресурсам КС
приказ Университета о направлении на практику от « 24 » января 20 25 г. № 458-С
Отчет представлен к
рассмотрению:
Студент группы БСБО-21-24
«
»
2025 г.
______Гущин С.Р.______
(подпись и расшифровка подписи)
Отчет утвержден.
Допущен к защите:
Руководитель практики
от кафедры
«
»
2025 г.
Алёшкин А.С., доцент_
(подпись и расшифровка подписи)
Москва 2025
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
РАБОЧИЙ ГРАФИК ПРОВЕДЕНИЯ
. УЧЕБНОЙ ПРАКТИКИ
студента Гущина Сергея Романовича 1 курса группы БСБО-21-24 очной
формы обучения, обучающегося по направлению подготовки
09.03.02 Информационные системы и технологии
,
профиль Безопасность программных решений
Неделя
Сроки
выполнения
1
10.02.25
1
10.02.25
1
10.02.25
1 - 15
23.05.25
16
31.05.25
Отметка о
выполнении
Этап
Выбор темы практики, Формирование и
утверждение основного и дополнительного
задания на практику.
Вводная лекция
Прохождение инструктажей
Выполнение практических работ,
консультации. Оформление и обсуждение
результатов.
Представление отчетных материалов по
практике и их защита. Передача
обобщенных материалов на кафедру для
архивного хранения. Зачетная аттестация.
Руководитель практики от
кафедры
Алёшкин А.С., доцент
(ФИО, ученая степень, ученое звание)
Обучающийся
Гущин С.Р.
(ФИО)
Согласовано:
Заведующий кафедрой
Горин Д.С., к.э.н.
(ФИО, ученая степень, ученое звание)
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ОБРАЗОВАНИЯ
«МИРЭА – РОССИЙСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»
РТУ МИРЭА
ОТЧЕТ
по учебной практике
студента 1 курса учебной группы БСБО-21-24 Института
кибербезопасности и цифровых технологий
Гущина Сергея Романовича
1. Практику проходил с 10 февраля 2025г. По 31 мая 2025г. На кафедре КБ-3 «Разработка
программных решений и системное программирование».
2. Задание на практику
Выполнил в полном объеме
(указать: в полном объеме или частично)
2. Не выполнены следующие задания:
(указать также причины невыполнения)
3. Подробное содержание выполненной на практике работы и достигнутые результаты:
Изучены материалы по выбранной теме, составлен реферат, выполнено дополнительное
задание.
4. Предложения по совершенствованию организации и прохождения практики:
Улучшить коммуникацию информации с группами, обновить методические указания и
шаблоны документов, все-таки выдавать студентам задания на практику, добавить в
личный кабинет кнопку для скачивания приказа о направлении на ознакомительную
практику.
Студент:
31.05.2025
Гущин С.Р.
подпись
дата
инициалы и фамилия
5. Заключение руководителя практики:
Приобрел следующие профессиональные навыки: подготовлен к исследовательской
деятельности.
Проявил себя как: целеустремленный студент.
Отчет проверил:
Руководитель практики от Университета
подпись
Москва 2025 г.
к.т.н., доц. Алёшкин А.С.
инициалы и фамилия
Оглавление
Введение.......................................................................................................................................................1
Основная часть ............................................................................................................................................4
1. Матричная (дискреционная) модель управления доступом (ДКД) ................................................4
1.1. Основные принципы ....................................................................................................................4
1.2. Механизмы реализации ...............................................................................................................4
1.3. Преимущества ..............................................................................................................................4
1.4. Недостатки ....................................................................................................................................4
2. Мандатная (полномочная) модель управления доступом (МКД) ..................................................5
2.1. Основные принципы ....................................................................................................................5
2.2. Механизмы реализации ...............................................................................................................5
2.3. Преимущества ..............................................................................................................................6
2.4. Недостатки ....................................................................................................................................6
Заключение ..................................................................................................................................................8
Список используемых ресурсов...............................................................................................................10
ВВЕДЕНИЕ
Комплексная политика обеспечения информационной безопасности,
реализуемая в сложной и многокомпонентной среде компьютерных систем
(далее для удобства именуемых КС), представляет собой не просто перечень
указаний, а тщательно проработанный и систематизированный свод
регламентирующих
положений,
нормативных
установлений
и
технологических инструментариев. Эти элементы в своей совокупности
призваны
обеспечить
всеобъемлющую
и
многоуровневую
защиту
циркулирующей и хранимой информации от целого спектра потенциальных
угроз, включая, но не ограничиваясь, неавторизованные попытки получения
доступа к конфиденциальным сведениям, неправомерное изменение или
искажение целостности данных, а также их полное или частичное физическое
либо логическое уничтожение, которое может привести к необратимым
последствиям для функционирования системы и ее пользователей. Важность
данного аспекта трудно переоценить в условиях повсеместной цифровизации
и возрастающей зависимости от информационных технологий во всех сферах
человеческой деятельности.
Ключевой, фундаментальной задачей, стоящей перед разработчиками и
администраторами
подобных
регламентирующих
документов
и
сопутствующих им защитных систем, выступает непреложное обеспечение и
поддержание на должном, высоком уровне трех основополагающих столпов
информационной
безопасности,
а
именно:
конфиденциальности,
подразумевающей сохранение информации в тайне от неавторизованных лиц
и предотвращение ее утечки; целостности, гарантирующей неизменность и
подлинность данных в процессе их хранения, обработки и передачи, защищая
от
несанкционированной
обеспечивающей
модификации;
предоставление
и,
наконец,
авторизованным
доступности,
пользователям
своевременного и беспрепятственного доступа к информации и связанным с
ней ресурсам тогда, когда это необходимо. Эти три компонента, часто
1
именуемые триадой Конфиденциальность, Полноценность, Доступность,
являются краеугольным камнем любой эффективной и надежной системы
защиты информационных активов.
В арсенале средств, применяемых для практической реализации
вышеупомянутых целей и задач, особое место занимают различные
концептуальные модели разграничения и контроля прав доступа к
информационным
ресурсам.
Среди
наиболее
значимых,
широко
распространенных и теоретически проработанных подходов в данной области
следует особо отметить такие фундаментальные парадигмы, как матричная
модель управления доступом, также известная в профессиональных кругах
под наименованием дискреционной (или избирательной), и, в качестве
альтернативы или дополнения, мандатная модель, именуемая также
полномочной (или принудительной). Каждая из этих моделей обладает своими
уникальными характеристиками, преимуществами, недостатками и, как
следствие, специфической сферой оптимального применения, что делает их
выбор важным стратегическим решением при проектировании систем защиты.
Указанные концептуальные построения и формализованные подходы
призваны четко регламентировать и недвусмысленно определить порядок и
условия взаимодействия активных компонентов вычислительной системы,
традиционно
именуемых
субъектами
(к
которым
относятся
как
непосредственно пользователи, оперирующие системой, так и различные
программные процессы, выполняемые от их имени или функционирующие в
автоматическом режиме), с пассивными компонентами, представляющими
собой объекты информационного взаимодействия и доступа (такими как
отдельные файлы, структурированные каталоги, реляционные или иные базы
данных, подключенные периферийные устройства, сетевые интерфейсы и
другие значимые системные ресурсы), все это в рамках единого, целостного
информационного пространства конкретной компьютерной системы или
распределенной сети.
2
В представленном далее исследовании, предлагаемом вниманию
уважаемого читателя, предпринимается попытка детального и всестороннего
анализа фундаментальных принципов, лежащих в основе функционирования
упомянутых ранее моделей управления доступом. Будут тщательно
рассмотрены их характерные особенности, выявлены сильные и слабые
стороны, а также обозначены ключевые различия, определяющие специфику
их практического применения в тех или иных сценариях и для решения
различных классов задач обеспечения безопасности. Глубокое понимание
этих аспектов является критически важным элементом для формирования
компетенций, необходимых для построения действительно надежных,
эффективных и адекватных современным угрозам механизмов защиты в
динамично развивающихся информационных системах.
3
ОСНОВНАЯ ЧАСТЬ
1. Матричная (дискреционная) модель управления доступом (ДКД)
1.1. Основные принципы
Дискреционная модель основана на идее, что владелец ресурса
самостоятельно определяет права доступа к нему. Каждому субъекту
присваивается набор разрешений (чтение, запись, выполнение) для
конкретных объектов.
1.2. Механизмы реализации
•
Матрица прав доступа: Таблица, где строки соответствуют субъектам,
а столбцы — объектам. В ячейках указываются разрешенные операции.
•
Списки контроля доступа (СКД): Для каждого объекта хранится
список субъектов с их правами.
•
Ролевое управление: Права могут назначаться через роли, которые
присваиваются пользователям (например, «администратор», «гость»).
1.3. Преимущества
•
Гибкость: Пользователи могут настраивать доступ к своим ресурсам.
•
Простота внедрения: Подходит
меняющимися требованиями.
для
систем
с
динамически
1.4. Недостатки
•
Риск утечки прав: Владелец может случайно предоставить доступ
ненадежным субъектам.
•
Отсутствие централизованного контроля: Усложняет управление в
крупных системах.
Пример: В операционных системах семейства Windows дискреционная
модель реализована через СКД, где пользователи настраивают права доступа
к файлам и папкам.
Матричное управление доступом предполагает использование матриц
доступа. Матрица доступа представляет собой таблицу, в которой объекту
доступа соответствует столбец Оj, а субъекту доступа - строка Si. На
пересечении столбцов и строк записываются операция или операции, которые
допускается выполнять субъекту доступа i с объектом доступа j (рис. 2).
4
Матричное
детализацией
управление
установить
доступом
права
позволяет
субъекта
доступа
с
максимальной
по
выполнению
разрешенных операций над объектами доступа. Такой подход нагляден и легко
реализуем. Однако в реальных системах из-за большого количества субъектов
и объектов доступа матрица доступа достигает таких размеров, при которых
сложно поддерживать ее в адекватном состоянии.
…
Oj
…
O1
O2
Om
S1
R
R,W
Е
R
S2
R, А
-
R
Е
R
-
-
R
R, W
-
Е
Е
...
Si
...
Sn
Рис. 2. Матрица доступа
Для работы стандартного дискреционного механизма разграничения
доступа не требуется искать правила для объекта, к которому осуществляется
доступ, – эти правила содержатся непосредственно в самом объекте доступа и
фактически являются «неотделимыми» от защищаемых данных. Такая
«привязка» атрибутов доступа непосредственно к защищаемым данным
является логичной и правильной – защищаемые данные однозначно
идентифицированы, а атрибуты доступа, содержащиеся в метаданных,
соответствуют вполне определенным блокам с данными на носителе
информации [1].
2. Мандатная (полномочная) модель управления доступом (МКД)
2.1. Основные принципы
Мандатная модель предполагает централизованное управление
правами на основе системных политик, а не решений пользователей. Доступ
регулируется метками безопасности, присваиваемыми как субъектам, так и
объектам.
2.2. Механизмы реализации
5
•
Метки безопасности: Каждому объекту и субъекту присваивается
метка, определяющая уровень конфиденциальности (например,
«секретно», «совершенно секретно»).
•
Правила доступа:
o
Субъект
может
читать
объект,
метка доминирует над меткой объекта.
только
если
его
o
Запись разрешена, если метка объекта доминирует над меткой
субъекта (для предотвращения утечки вниз).
2.3. Преимущества
•
Высокая
безопасность:
Исключает
несанкционированного изменения прав пользователями.
возможность
•
Централизованный контроль: Подходит для государственных и
военных систем с жесткими требованиями.
2.4. Недостатки
•
Сложность администрирования: Требует тщательной настройки
меток.
•
Ограниченная гибкость: Пользователи не могут изменять правила
доступа.
Пример: Мандатная модель используется в ОС SELinux, где доступ к
ресурсам контролируется на уровне ядра.
Полномочный или мандатный метод базируется на многоуровневой
модели защиты. Такой подход построен по аналогии с "ручным"
конфиденциальным
(секретным)
делопроизводством.
Документу
присваивается уровень конфиденциальности (гриф секретности), а также
могут присваиваться метки, отражающие категории конфиденциальности
(секретности) документа. Таким образом, конфиденциальный документ имеет
гриф конфиденциальности (конфиденциально, строго конфиденциально,
секретно, совершенно секретно и т. д.) и может иметь одну или несколько
меток, которые уточняют категории лиц, допущенных к этому документу
("для руководящего состава", "для инженерно-технического состава" и т. д.).
Субъектам доступа устанавливается уровень допуска, определяющего
максимальный для данного субъекта уровень конфиденциальности документа,
к которому разрешается допуск. Субъекту доступа устанавливаются также
категории, которые связаны с метками документа.
6
Для субъектов, требующих административных полномочий, должны
использоваться специализированные методы и инструменты обеспечения
безопасности доступа этих субъектов [2].
Требуется формировать их с учетом каждого конкретного технического
сервиса и обеспечивать доступ к минимально необходимым информационным
ресурсам [2].
7
ЗАКЛЮЧЕНИЕ
Матричная и мандатная модели управления доступом представляют
собой два подхода к обеспечению безопасности в КС. Дискреционная модель
ориентирована на гибкость и удобство пользователей, тогда как полномочная
— на строгий контроль и минимизацию рисков.
Процесс принятия взвешенного и обоснованного решения относительно
выбора той или иной из упомянутых моделей, или же их определенной
комбинации
для
конкретного
внедрения,
находится
в
прямой
и
непосредственной зависимости от целого комплекса специфических, зачастую
уникальных, требований, предъявляемых к конкретной компьютерной
системе, характеру обрабатываемой в ней информации, а также к уровню
предполагаемых угроз и потенциального ущерба. В тех случаях, когда
ключевым критерием выступает необходимость обеспечения высокой степени
адаптивности системы к изменяющимся операционным условиям и
разнообразным задачам, а также предоставления конечным пользователям
достаточно широких возможностей по самостоятельному конфигурированию
и управлению правами доступа к собственным информационным ресурсам,
выбор, как правило, склоняется в пользу дискреционного контроля доступа,
как более соответствующего данным критериям и обеспечивающего меньшие
накладные расходы на администрирование в определенных сценариях. С
другой стороны, в ситуациях, где абсолютным и неоспоримым приоритетом
является обеспечение максимального, гарантированного уровня защиты для
данных,
классифицируемых
как
критически
важные,
составляющие
государственную, коммерческую или иную охраняемую законом тайну,
предпочтение однозначно и без каких-либо компромиссов отдается
мандатному контролю доступа, способному обеспечить более жесткую,
иерархическую и формализованную систему разграничения полномочий,
основанную на метках безопасности субъектов и объектов.
Необходимо также особо подчеркнуть, что в контексте современных,
зачастую
гетерогенных,
распределенных
8
и
многофункциональных
компьютерных систем и информационных инфраструктур, все более широкое
распространение и
называемый
активное практическое
гибридный,
или
применение находит
комбинированный,
подход.
так
Данный
инновационный подход стремится к синергетическому объединению наиболее
сильных сторон, характерных преимуществ и функциональных возможностей,
присущих как дискреционной, так и мандатной моделям разграничения
доступа. Подобная интеграция позволяет разработчикам и администраторам
систем безопасности достигать оптимального, тщательно выверенного
баланса между необходимой гибкостью управления, должным уровнем
удобства для легитимных пользователей и требуемым, зачастую весьма
высоким, уровнем защищенности критически важных информационных
активов организации, что в конечном итоге способствует построению более
устойчивых, адаптивных и надежных защитных контуров.
9
СПИСОК ИСПОЛЬЗУЕМЫХ РЕСУРСОВ
1. Каннер, А. М. Модель и алгоритмы обеспечения безопасности управления доступом
в операционных системах семейства Linux : специальность 02.03.06 "Методы и
системы защиты информации, информационная безопасность" : диссертация на
соискание ученой степени кандидата технических наук / Каннер Андрей Михайлович,
2023. – 200 с. – EDN YPDSXK.
2. Капгер, И. В. Управление доступом к информационным ресурсам в условиях
нулевого доверия / И. В. Капгер, П. А. Иванов // Автоматизированные системы
управления и Информационные технологии : Материалы всероссийской научнотехнической конференции, Пермь, 07–09 июня 2023 года. – Пермь: Пермский
национальный исследовательский политехнический университет, 2023. – С. 291-297. –
EDN OOBAGX.
10