close

Вход

Забыли?

вход по аккаунту

?

СтандартыИБ лабораторная№3

код для вставкиСкачать
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное
учреждение высшего профессионального образования
"Тульский государственный университет"
Кафедра "Информационная безопасность"
Стандарты информационной безопасности
ЛАБОРАТОРНАЯ РАБОТА № 3
Применение нормативов спецификации Х.500 в защищенных автоматизированных системах.
Выполнили:Ст.гр.230701
Забелин В.Г.
Грудинин А.С.
Проверил: Лебеденко Ю.И.
Тула 2013
1. Цель работы Ознакомление с общими рекомендациями спецификации X.500 для выделения базовых элементов инфраструктуры информационной безопасности программно-технического уровня.
2. Задание на работу
В ОС Windows XP организовать каталог в соответствии с требованиями спецификации X.500.
3. Теоретические сведения
Рекомендации X.500 описывают службы директорий. Среди возможностей, предоставляемых этой службой, обычно выделяют дружественные именования и отображения имен в адреса (динамическое связывание объекта, его расположение, как необходимое условие поддержки самоконфигурируемости сетевых систем).
Основные понятия этого документа: X.501: "Служба директорий: модели". X.500: "Служба директорий: абстрактное определение сервисов"
Множество систем, обеспечивающих работу службы директорий вместе с содержащейся в ней информацией можно представлять, как единое целое - Директорию. Информация, доступ к которой возможен посредствам Директории, называется информационной базой Директории. Она обычно используется для облегчения взаимодействия таких сущностей, как объекты прикладного уровня, люди, списки рассылок и так далее, а так же для получения сведений о них. Информационная база имеет древовидную структуру, называемую информационным деревом директории. Вершина этого дерева - элементы Директории, в которой хранится информация об объектах. У каждого элемента есть однозначное различительное имя, при этом в пределах поддеревьев могут использоваться относительные имена. Природа объектов, информация о которых хранится в директориях - произвольна, единственное требование к ним - возможность именования. Каждый объект должен принадлежать минимум к 1 классу. Элементы Директории могут быть составными, объединять под-элементы, содержащие информацию об отдельных аспектах объекта. Каждый элемент состоит из атрибутов, имеющих тип и одно или несколько значений. Набор атрибутов зависит от класса объекта. Некоторые из концевых узлов Дерева могут представлять собой синонимы, содержащие альтернативное имя и указатель на элемент с информацией об объекте.
Служба Директорий предоставляет 2 группы операций: опрос и модификация.
Опрос:
1. Чтение значений атрибутов элемента директории
2. Сравнение значений атрибута с заданной величиной (полезно для проверки пароля без предоставления доступа к хранимому значению пароля)
3. Выдача списка (перечисление) непосредственных приемников заданного узла информационного Дерева
4. Поиск и чтение элементов, удовлетворяющих заданным фильтрам в заданных частях информационного Дерева
5. Отказ от незавершенной операции опроса
Модификация:
1. Добавление нового концевого узла информационного Дерева
2. Удаление концевого узла
3. Модификация элемента Директории с возможным удалением или добавлением атрибутов и их значений
4. Модификация относительного различительного имени элемента или узла другому предшественнику
Рекомендация Х.501 описывает 3 возможные схемы управления доступом к Директории:
1. Базовая
2. Упрощенная
3. Основанная на правилах (в том числе реализующая мандатное управление доступом)
Решение о предоставлении доступа принимаются с учетом существующей политики безопасности, предусмотрена также аутентификация системных агентов и пользователей, а также источников данных Директорий.
Реализацию Х.500 можно проиллюстрировать на примере системы Intranet Ware, которая реализует службу сетевого каталога Novell Directory Service (NDS). NDS представляет собой иерархическую БД, которая может содержать в себе всю информацию, управляющую работой корпоративной сети на базе Intranet Ware. Предполагается, что сеть гетерогенная, в которой кроме Intranet Ware - сервером, могут входить серверы и рабочие станции Windows, Unix разных модификаций.
Объекты по своему статусу делятся на 2 категории: контейнер и конечный объект.
К контейнерам относятся объекты классов:
1. Организационный объект - Organization Unit - содержит Organization, Organization Unit
2. Организация - Organization - содержит Organization, Organization Unit
3. Страна - Country - содержит Organization 4. Корень - Root - содержит Country, organization
Также как и при структурировании файловой системы, используют поддиректории, то есть контейнеры, в которые можно поместить как другие контейнеры, так и конечные объекты. Эти отношения подчиненности между объектами разных типов задают динамическую схему NDS, под которой понимают совокупность правил, определяющих структуру базы данных и отношение старшинства и подчиненности между объектами.
В отличие от баз данных, управляющих, например, ОС Windows, где схема является статической и запоминается в специальном файле, схема NDS является динамической. То есть все изменения, внесенные в схему, вступают в силу немедленно без ре-инициализации. Так как NDS носит глобальный характер, то все изменения в схеме тиражируются на все серверы Дерева. Атрибуты объекта делят на обязательные (сетевое имя и фамилия пользователя) и необязательные (телефонный номер). Классы представляют собой набор атрибутов, образующий набор для хранения объектов NDS вместе с совокупностью правил, определяющих место объекта в NDS. Для каждого класса объектов атрибуты могут быть обязательными (mandatory) и необязательными (optional). Некоторые атрибуты используются в имени объекта, некоторые служат дополнительными признаками класса. Для каждого из объектов NDS указываются типы контейнеров, в которые он может входить. Динамический характер NDS позволяет добавлять новые типы объектов и классов и новые типы существующих классов. Дополнительным классом может быть группа пользователей или список рассылок. Таким образом, ОС NDS позволяет централизованно управлять как существующими, так и вновь появляющимися сервисами, например, сервисом службы аудита, относящимся к обеспечению безопасности
4. Ход работы.
Знакомство с серией стандартов ITU-T X.500 для службы распределенного каталога сети.
Установка виртуальной машины VirtualBox и ОС WindowsXP на нее. Создание каталога, состоящего из контейнеров и объектов в соответствии с требованиями спецификации X.500 Данный каталог предназначен для хранения данных об организациях, об их внутренней иерархии и продукции, а так же о странах, которые эти организации представляют. Приставки 'с=', 'o=', 'ou=' обозначают соответственно уровни иерархии - страна (country), организация (organization), элемент (organization unit) и упрощают процедуру поиска по уровням, а так же классификацию объекта каталога по уровням иерархии.
В данной структуре соблюдены рекомендации стандарта Х.500:
* Структура является иерархической (древовидной)
* У каждого элемента есть идентифицирующее его имя (обеспечивает возможность именования)
* Каждый объект принадлежит хотя бы одному классу
* Имеется корневая Директория
* Некоторые Директории являются составными (содержат другие Директории)
* Поддерживаются операции чтения и модификации данных, предоставляемые службой Директорий.
Screen-shot с результатом выполнения работы представлен в Приложении 1 Написание отчета о проделанной работе в соответствии с требованиями Минобрнауки и преподавателя 5. Вывод по работе.
В ходе лабораторной работы мы ознакомились с общими рекомендациями спецификации X.500 для выделения базовых элементов инфраструктуры информационной безопасности программно-технического уровня.
6. Список литературы
* http://docs.oracle.com/javase/jndi/tutorial/ldap/models/x500.html
* http://ru.wikipedia.org/
Приложение 1
Документ
Категория
Рефераты
Просмотров
24
Размер файла
136 Кб
Теги
стандарты, лабораторная
1/--страниц
Пожаловаться на содержимое документа