Какими правами обладает пользователь информатика ответы кратко

Обновлено: 05.07.2024

Права доступа (к информации) — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации.

Содержание

Функции системы разграничения доступа

  • реализация правил разграничения доступа субъектов и их процессов к данным;
  • реализация ПРД субъектов и их процессов к устройствам создания твёрдых копий;
  • изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
  • управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
  • реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Кроме того, вышеуказанный руководящий документ предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

  • идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
  • регистрацию действий субъекта и его процесса;
  • предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
  • реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
  • тестирование;
  • очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
  • учёт выходных печатных и графических форм и твёрдых копий в АС;
  • контроль целостности программной и информационной части как СРД, так и обеспечивающих её средств.

Основные принципы контроля доступа в СВТ

Дискреционный принцип контроля доступа

Комплекс средств защиты должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т. д.).

Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т. д.).

Мандатный принцип контроля доступа

Для реализации этого принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

  • субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
  • субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

осуществлять иные действия в соответствии с настоящим Законом и иными актами законодательства Республики Беларусь.

Пользователь информации обязан:

соблюдать права и законные интересы других лиц при использовании информационных технологий, информационных систем и информационных сетей;

принимать меры по защите информации, если такая обязанность установлена законодательными актами Республики Беларусь;

обеспечивать сохранность информации, распространение и (или) предоставление которой ограничено, и не передавать ее полностью или частично третьим лицам без согласия обладателя информации;

исполнять другие обязанности в соответствии с настоящим Законом и иными законодательными актами Республики Беларусь.

Статья 35. Права и обязанности пользователя информационной системы и (или) информационной сети

Пользователь информационной системы и (или) информационной сети имеет право:

использовать информационную систему и (или) информационную сеть для доступа к информационным ресурсам;

получать, распространять и (или) предоставлять информацию, содержащуюся в информационной системе и (или) информационной сети;

осуществлять иные действия в соответствии с настоящим Законом и иными актами законодательства Республики Беларусь.

Пользователь информационной системы и (или) информационной сети обязан:

соблюдать права других лиц при использовании информационной системы и (или) информационной сети;

исполнять другие обязанности в соответствии с настоящим Законом и иными законодательными актами Республики Беларусь.

Пользователь информации имеет право:

получать, распространять и (или) предоставлять информацию;

использовать информационные технологии, информационные системы и информационные сети;

знакомиться со своими персональными данными;

осуществлять иные действия в соответствии с настоящим Законом и иными актами законодательства Республики Беларусь.

Пользователь информации обязан:

соблюдать права и законные интересы других лиц при использовании информационных технологий, информационных систем и информационных сетей;

принимать меры по защите информации, если такая обязанность установлена законодательными актами Республики Беларусь;

обеспечивать сохранность информации, распространение и (или) предоставление которой ограничено, и не передавать ее полностью или частично третьим лицам без согласия обладателя информации;

исполнять другие обязанности в соответствии с настоящим Законом и иными законодательными актами Республики Беларусь.

Статья 35. Права и обязанности пользователя информационной системы и (или) информационной сети

Пользователь информационной системы и (или) информационной сети имеет право:

использовать информационную систему и (или) информационную сеть для доступа к информационным ресурсам;

получать, распространять и (или) предоставлять информацию, содержащуюся в информационной системе и (или) информационной сети;

осуществлять иные действия в соответствии с настоящим Законом и иными актами законодательства Республики Беларусь.

Пользователь информационной системы и (или) информационной сети обязан:

соблюдать права других лиц при использовании информационной системы и (или) информационной сети;

исполнять другие обязанности в соответствии с настоящим Законом и иными законодательными актами Республики Беларусь.

ü Пользователи могут быть реальными, с именем и фамилией, но могут быть и абстрактными, например,anonymous.

ü Различают две процедуры проверки пользователя:

ü Аутентификация – процедура идентификации пользователя

ü Авторизация – процедура проверки права пользователя на совершение определенного действия.

Рассмотрим пользователей и его атрибуты на примере системы UNIX.

Прежде чем вы сможете начать работу в UNIX, вы должны стать пользователем системы, т. е. получить имя, пароль и ряд других атрибутов.

С точки зрения системы, пользователь — не обязательно человек. Пользователь является объектом, который обладает определенными правами, может запускать на выполнение программы и владеть файлами. В качестве пользователей могут, например, выступать удаленные компьютеры или группы пользователей с одинаковыми правами и функциями. Такие пользователи называются псевдопользователями. Они обладают правами на определенные файлы системы и от их имени запускаются задачи, обеспечивающие ту или иную функциональность UNIX.

Как правило, большинство пользователей являются реальными людьми, которые регистрируются в системе, запускают те или иные программы, короче говоря, используют UNIX в своей работе.

В системе существует один пользователь, обладающий неограниченными правами. Это суперпользователь или администратор системы.

Каждый пользователь системы имеет уникальное имя. Однако система различает пользователей по ассоциированному с именем идентификатору пользователя или UID (User Identifier). Понятно, что идентификаторы пользователя также должны быть уникальными. Пользователь является членом одной или нескольких групп — списков пользователей, имеющих сходные задачи (например, пользователей, работающих над одним проектом). Принадлежность к группе определяет волнительные права, которыми обладают все пользователи группы. Каждая группа имеет уникальное имя (уникальное среди имен групп, имя группы и пользователя могут совпадать), но, как и для пользователя, внутренним представлением группы является ее идентификатор G1D (Group. entifier). В конечном счете UID и GID определяют, какими правами обдает пользователь в системе.

Вся информация о пользователях хранится в файле /etc/passwd. Это обычный текстовый файл, право на чтение которого имеют все пользователи системы, а право на запись имеет только администратор (суперпользователь). В этом файле хранятся пароли пользователей, правда в зашифрованном виде. Подобная открытость — недостаток с точки зрения безопасности, поэтому во многих системах зашифрованные пароли хранятся в дельном закрытом для чтения и записи файле /etc/shadow. Аналогично, информация о группах хранится в файле /etc/group и содержит списки пользователей, принадлежащих той или иной группе.

Атрибуты пользователя

Как правило, все атрибуты пользователя хранятся в файле /etc/passwd. В конечном итоге, добавление пользователя в систему сводится к внесению в файл /etc/passwd соответствующей записи. Однако во многих системах информация о пользователе хранится и в других местах (например, в специальных базах данных), поэтому создание пользователя простым редактированием файла /etc/passwd может привести к неправильной регистрации пользователя, а иногда и к нарушениям работы системы. Вместо этого при возможности следует пользоваться специальными утилитами, поставляемыми с системой.

Рассмотрим подробнее каждый из атрибутов:

Ø passwd-encod Пароль пользователя в закодированном виде. Алгоритмы кодирования известны, но они не позволяют декодировать пароль. При входе в систему пароль, который вы набираете, кодируется, и результат сравнивается с полем passwd-encod. В случае совпадения пользователю разрешается войти в систему.

Ø UID Идентификатор пользователя является внутренним представлением пользователя в системе. Этот идентификатор наследуется задачами, которые запускает пользователь, и файлами, которые он создает. По этому идентификатору система проверяет пользовательские права (например, при запуске программы или чтении файла). Суперпользователь имеет UID = 0, что дает ему неограниченные права в системе.

Ø GIDопределяет идентификатор первичной группы пользователя. Этот идентификатор соответствует идентификатору в файле /etc/group, который содержит имя группы и полный список пользователей, являющихся ее членами. Принадлежность пользователя к группе определяет дополнительные права в системе. Группа определяет общие для всех членов права доступа и тем самым обеспечивает возможность совместной работы (например, совместного использования файлов).

Ø Comments обычно, это полное "реальное" имя пользователя. Это поле может содержать дополнительную информацию, например, телефон или адрес электронной почты. Некоторые программы (например, finger(l) и почтовые системы) используют это поле.

Ø Home-dir Домашний каталог пользователя. При входе в систему пользователь оказывается в этом каталоге. Как правило, пользователь имеет ограниченные права в других частях файловой системы, но домашний каталог и его подкаталоги определяют область файловой системы, где он является полноправным хозяином.

Ø Shell Имя программы, которую UNIX использует в качестве командного интерпретатора. При входе пользователя в систему, UNIX автоматически запустит указанную программу. Обычно это один из стандартных командных интерпретаторов /bin/sh (Bourne shell), /bin/csh (C shell) или /bin/ksh (Kom shell), позволяющих пользователю вводить команды и запускать задачи. В принципе, в этом поле может быть указана любая программа, например, командный интерпретатор с ограниченными функциями (restricted shell), клиент системы управления базой данных или даже редактор. Важно то, что, завершив выполнение этой задачи, пользователь автоматически выйдет из системы. Некоторые системы имеют файл /etc/shells, содержащий список программ, которые могут быть использованы в качестве командного интерпретатора.

Права доступа к файлам и папкам

Права доступа определяют, кто может получить доступ для чтения, записи или изменения файлов и папок на сервере.

Если у файлов на сервере не установлены соответствующие права, то злоумышленник может получить доступ к файлам и сайту.

В этой статье вы узнаете о правах доступа, и как их использовать для увеличения безопасности сайта.

Установка достаточных прав не поможет спастись от всех атак, но сделает сайт гораздо более защищенным. Используйте этот способ защиты сайта вместе с другими способами.

Что такое права доступа

Права доступа состоят из двух категорий — Действия и Группы пользователей.

  • Чтение — разрешен доступ к файлу только для его просмотра,
  • Запись — разрешено изменение файла,
  • Исполнение — разрешен доступ к файлу для запуска программ или скриптов, записанных в этом файле.
  • Пользователь — владелец сайта,
  • Группа — другие пользователи сайта, у которых есть доступ к файлам, которые выбрал Пользователь.
  • Мир — любой другой пользователь, у которого есть доступ к Интернету.

Права доступа состоят из 3-х цифр:

  • Первая цифра — доступ Пользователя к действиям над файлом,
  • Вторая цифра — доступ Группы к действиям с файлом,
  • Третья цифра — доступ Мира к файлу.

Каждой цифре соответствует действие или несколько действий:

Например, право доступа 644 означает, что у Пользователя есть право читать и записывать в файл информацию, у Группы есть право просматривать файл, и у Мира есть право просматривать файл.

Самое меньшее право, которое можно дать файлу — 444, то есть Пользователь, Группа и Мир могут только читать содержимое файла.

Вы можете запомнить только цифры, соответствующие чтению, записи и исполнению, остальные цифры (действия) равняются сумме этих действий.

Например, если вы хотите дать Пользователю полный доступ к файлу, Группе — чтение и запись, Миру — только чтение, то права доступа к файлу будут выглядеть так:

  • Пользователь — Чтение (4), Запись (2), Исполнение (1), 4 + 2 + 1 = 7
  • Группа — Чтение (4), Запись (2), 4 + 2 = 6
  • Мир — только Чтение (4).

Права доступа к этому файлу будут 764.

Если вы смотрите на файлы через FTP или SSH, права доступа выглядят по-другому, :

Права доступа в FTP

Разрешения на действия с файлами и папками

Буквы означают действия: r = read (чтение), w = write (запись), x = execute (исполнение).

В этом случае у первых трех папок стоят права 700, у всех остальных файлов — права 700, кроме файла wp-config.php, у которого права доступа 600.

Какие права доступа дать файлам и папкам

Минимальные права, рекомендованные Кодексом Вордпресс:

  • Файлы — 644
  • Папки — 755
  • wp-config.php — 400 или 440 (если сервер относится к Пользователю или Группе)

Для некоторых файлов и папок можно установить более сильные ограничения:

Права доступа к файлам есть только на Linux и Unix серверах, на серверах Windows их нет.

Как изменить права доступа

1. Можно автоматически установить права доступа ко всем файлам и папкам в файле wp-config.php:

  • Не забудьте изменить права доступа к файлу wp-config.php на 400 или 440.

2. Зайдите в файл-менеджер на хостинг-панели:

Права доступа на хостинге Бегет

Нажмите правой кнопкой на папке или файле, выберите Изменить атрибуты:

Права доступа на хостинге Бегет

На других хостингах может быть другой интерфейс, но делается аналогично.

3. Другой способ изменить права доступа — через FTP клиент. Подключитесь к своему серверу, выберите нужный файл, нажмите правую кнопку мыши:

Права доступа через ftp клиент

Права доступа через ftp клиент

Поставьте галочки, числовое значение изменится автоматически, и наоборот.

4. Еще один способ — изменить права доступа через SSH. Откройте терминал, введите эти команды.

find /путь/к/вашей/папке/ -type d -exec chmod 755 <> \;

Замените /путь/к/вашей/папке/ и /путь/к/вашему/файлу/ на свой адрес. В этом примере папка получила права доступа 755, файл получил права доступа 644.

Читайте также: