Модель разграничения доступа к компьютерной системе при которой для каждого объекта
Динамика развития современных компьютерных систем характеризуется резким возрастанием информации, накапливаемой и предоставляемой различным пользователям. Растет и количество пользователей, для которых важны доступность, целостность информации, а при необходимости обеспечение конфиденциальности определенных сведений. Одно из базовых решений в данном направлении связано с разграничением доступа к предоставляемым данным.
В соответствии со стандартами, принятыми в «Критериях оценки доверенных компьютерных систем», степень доверия, или надежность систем, определяется двумя основными составляющими: политикой безопасности и гарантированностью механизмов, обеспечивающих безопасность. Политика безопасности должна включать в себя, по крайней мере, следующие элементы:
Добровольное управление (класс С)
- это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит.Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту;
- Принудительное управление доступом (класс В) основано на сопоставлении меток безопасности субъекта и объекта.Метка субъекта описывает его благонадежность, метка объекта степень закрытости содержащейся в нем информации. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта;
- Верифицируемая безопасность (класс А) для проверки спецификации системы использует методы формальной верификации.Системы подобного класса чаще всего встречаются там, где в течение всего времени требуется поддерживать максимально возможную защиту.
Применяемые в реальных системах модели доступа к данным на самом деле являются выражением той или иной политики безопасности, принятой в данной организации. Так, принятие дискреционной политики безопасности предусматривает выбор моделей дискреционного доступа на основе матрицы доступа (DAC-discretionary access control), 5-мерного пространства Харрисона, модели Харрисона-РузоУльмана, типизированной матрицы TakeGrant, модели целостности КларкаВильсона и др.
Принудительное управление доступом основано на принятии мандатной политики безопасности (MAC – mandatory access control), предлагающей реализацию моделей Белла Ла-Падулла, МакЛина, LowWaterMark, целостности Биба.
Политика ролевого или типизированного доступа (RBAC role based access control) основана на применении технологии рабочих групп. Основой политики является авторизация пользователя с одной или группой назначенных ему в системе ролей и доступ к объектам системы в соответствующих ролях.
Как правило, трудно в рамках одной модели удовлетворить широкий спектр требований к ограничению доступа к данным. Примером сочетания дискреционной, мандатной и ролевой политик безопасности является модель Лендвера-МакЛина. Также можно в нотациях моделей тематической решетки, автоматной модели ГогенаМессигера, теоретико-графовой модели Клементса формально описать основы и принципы тематической, временной, маршрутной политик безопасности.
Рис. 1. Классификация моделей систем разграничения доступа
Представленная классификация моделей разграничения доступа обеспечивает выбор той или иной модели, в зависимости от принятой в системе правил безопасности, степени критичности информации, архитектурных решений компьютерных систем.
Модели дискреционного и мандатного разграничений доступа являются традиционными, наиболее распространенными и представлены широким набором разных видов. Однако создание автоматизированных рабочих мест, сетевых технологий, внедрение объектно-ориентированной методологии во все современные разработки породило новые модели, такие, как модели ролевого разграничения доступа, модели, обеспечивающие безопасность информационных потоков и др. (рис. 1), позволяющие более эффективно реализовать сложные требования к разграничению доступа.
В настоящее время ролевая модель стала доминирующей моделью контроля доступа, так как она уменьшает сложность и стоимость администрирования безопасности. Хотя данная модель безопасности может быть чересчур утяжеленной для примитивных настроек (например, в случае маленьких предприятий с несколькими пользователями), она является чрезвычайно мощным инструментом для контроля сложных сред. Концепция ролевого разграничения предоставляет права доступа к данным, зависящие от должности или задач пользователя в организации. Целью ролевой модели безопасности является предоставление услуги контроля доступа. Когда базовая модель ролевой безопасности для предприятия определена, дальнейшие действия по администрированию сводятся к назначению и отзыву ролей для пользователей, в соответствии с должностными обязанностями пользователей.
Основой ролевой модели безопасности является концепция сбора прав в ролях, которые потом могут быть назначены пользователям. Каждая роль базируется на одном или более профилях. Профили, ассоциированные с ролями, разрешают пользователям, которым назначены роли, указанный набор действий. Администрирование безопасности в ролевой модели сводится к определению операций, выполняемых пользователями во время типовых действий, и назначению сотрудникам правильных ролей. Ролевая структура модели безопасности предоставляет как исключительные, так и перекрывающиеся права и обязанности. Например, некоторые общепринятые операции могут быть разрешены всем сотрудникам, а какие-то операции могут быть специфичными для роли. Ролевые иерархии, естественно, соответствуют ролевой организации внутри компании и определяют отношения и атрибуты ролей. Сложности, вызванные взаимноисключительными ролями либо иерархиями ролей, так же, как и определение, кто какие действия может совершать, регулируются ролевой моделью установок безопасности.
Одной из преимуществ ролевой модели безопасности являются поддерживаемая ею возможность администрирования. Принадлежность пользователя к роли может быть легко назначена и отозвана, и новое назначение устанавливается в соответствии с назначенной работой. При ролевой модели безопасности пользователям не даются на индивидуальном уровне права выполнения операций, а наоборот, операции ассоциированы с ролями. Ассоциация ролей с новыми операциями либо удаление старых операций из ролевых прав может производиться по мере изменения и расширения должностных обязанностей. Эта главная концепция обладает преимуществом простоты понимания и управления правами. Изменение ролей не вызывает необходимости изменения прав пользователей на индивидуальной основе.
Отношение между пользователями, ролями и профилями является отношением многие-ко-многим (рис. 2). Пользователь может быть связан с одной или более ролями посредством различных пользовательских имен, а роль может быть назначена одному или более пользователям. Роли могут создаваться для различных должностей в организации. Например, может быть создана роль для студента, преподавателя, руководителя структурного подразделения и т.п. Например, внутри кафедры роль преподавателя может включать операции оценки достижений студента, роль студента может быть ограничена просмотром существующей информации по проставленным оценкам, а роль заведующего кафедрой может предоставлять право закрепления дисциплин за преподавателями кафедры, просмотра и редактирования любых данных кафедры.
Связывание профилей с ролями внутри предприятия может обеспечить самодостаточность ролей. Профили могут быть заданы способом, который используется для демонстрации и обеспечения выполнения требований инструкций. Например, обязанности преподавателя могут быть ограничены оценкой достижений студента в ведомости, а не их последующим повторным редактированием.
Рис. 2. Схема модели ролевого разграничения доступа
Пользователям может быть назначено несколько ролей для отражения того факта, что некоторые пользователи входят в систему для выполнения различных функций, в зависимости от текущих задач. Например, пользователю может быть назначена роль "преподаватель", так как этот пользователь является преподавателем, и роль "заведующий кафедрой", так как данный преподаватель также является заведующим кафедры. Если пользователь хочет работать как заведующий, он заходит в систему как "заведующий кафедрой", а если пользователь хочет работать как преподаватель, он заходит в систему как "преподаватель". Оптимальным решением является разрешение заходить в систему с тем же самым паролем, вне зависимости от того, действует ли он как преподаватель или заведующий кафедрой. Приведенные примеры пользователей, ролей и профилей взяты из функционирующей автоматизированной системы, пользователями которого являются авторы данного материала.
Ролевая модель определяет и принуждает использовать специфические политики безопасности предприятия таким путем, который естественно согласуется с организационной структурой предприятия. Достоинством модели является адекватное отражение реальных условий предоставления прав доступа различным категориям пользователей информационной системы, в зависимости от выполняемых должностных функций. Наиболее интересным и в то же время сложным в реализации, пожалуй, является обеспечение динамических процессов в случае выполнения одним пользователем нескольких ролей, то есть совмещение нескольких ролей одного пользователя в одном процессе (одной задаче), которые на самом деле не могут быть выполнены в силу специфики процесса одновременно (параллельно). Например, совмещение расписания занятия пользователя, который, возможно, выполняет роли как преподавателя, так и обучаемого (магистранта).
Модели доступа к данным, анализ их характеристик, границ применимости позволяют решить широкий круг проблем, связанных с формированием эффективной политики в области ограничения доступа к данным компьютерных систем:
Денис Макашов,руководитель службы представления проектов компании "Поликом Про"
Информационной безопасности в наше время уделяется (и справедливо уделяется!) очень большое внимание. Создана большая нормативно-теоретическая база, формальные математические методы которой обосновывают большинство понятий, формулировавшихся ранее лишь с помощью словесных описаний. При этом разработчики систем безопасности, реализующих различные способы и методы противодействия угрозам информации, стараются максимально облегчить работу по администрированию безопасности. Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Разработка системы защиты информации должна реализовывать какую-либо политику безопасности (набор правил, определяющих множество допустимых действий в системе), при этом должна быть реализована полная и корректная проверка ее условий.
Модель систем дискреционного разграничения доступа
- каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
- система имеет одного выделенного субъекта — суперпользователя, который уполномочен устанавливать права владения для всех остальных субъектов системы.
Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.
Мандатное управление доступом
Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Комплекс средств защиты (КСЗ) при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
- субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;
- субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.
Ролевое разграничение
Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемыми каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем. Однако до недавнего времени исследователи мало обращали внимание на этот принцип.
Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.
Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах.
Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. При этом такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.
Роль является совокупностью прав доступа на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.
Если подвести итог, то у каждой из перечисленных нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной системе. Они просто разные и служат для разных целей.
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Бопп Виктория Андреевна
В работе рассматриваются модели разграничения доступа. В основе мандатной модели - метки конфиденциальности. Дискреционная модель предоставляет доступ с использованием матрицы доступа, однако не так проста в администрировании, как ролевая , которая позволяет быстро переназначать пользовательские роли и более гибко настраивать права доступа.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Бопп Виктория Андреевна
Политика управления доступом в системе защиты информации высокопроизводительной системы обработки геолого-геофизических данных Совмещение политик безопасности, основанное на алгоритмах поддержки принятия решений Разработка модели разграничения прав доступа для автоматизированных систем технологического управления Новый подход к защите данных в информационной системе i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.TYPES OF ACCESS CONTROL MODELS
The paper considers models of access control. The mandate model is based on privacy labels. The discretionary model provides access using the access matrix, but is not as easy to administer as the role model, which allows you to quickly reassign user roles and configure access rights more flexibly.
Текст научной работы на тему «ТИПЫ МОДЕЛЕЙ РАЗГРАНИЧЕНИЯ ДОСТУПА»
ТИПЫ МОДЕЛЕЙ РАЗГРАНИЧЕНИЯ ДОСТУПА
В работе рассматриваются модели разграничения доступа. В основе мандатной модели - метки конфиденциальности. Дискреционная модель предоставляет доступ с использованием матрицы доступа, однако не так проста в администрировании, как ролевая, которая позволяет быстро переназначать пользовательские роли и более гибко настраивать права доступа.
Ключевые слова: модели доступа, мандатная, ролевая, дискреционная, разграничение прав.
В настоящее время современный мир переживает технологическую революцию. Информация не только переносится в электронный вид, но и может иметь только цифровой вариант. Утрата важных данных всегда приводила к потерям: временным, финансовым и репутационным. Исключить такие потери полностью невозможно, однако реально снизить риск утраты данных и снизить последующие издержки.
В настоящее время существует множество различных способов обеспечения сохранности данных в информационных системах. Все они базируются на известных технологиях, одна из которых - обеспечение безопасности доступа к данным.
Под безопасностью доступа к данным следует понимать грамотное разграничение доступа к информации, где конечный пользователь имеет доступ только к тем данным, которые для него предназначены и может выполнять только те действия, которые ему разрешены. Такой подход осуществим с использованием политик безопасности с мандатным, ролевым и дискреционным доступом [1].
Мандатный способ управления доступом подразумевает использование метки конфиденциальности, хранящейся на объекте для определения возможности доступа субъекта к этой информации [2].
Когда пользователь обращается к файлу или информационному ресурсу, система запрашивает метку конфиденциальности у пользователя и принимает решение о предоставлении доступа.
Мандатная модель управления доступом может иметь вид иерархической (рис. 1) и неиерархической. При иерархической структуре пользователь с уровнем доступа выше, чем требует метка конфиденциальности, получает доступ к файлу или ресурсу.
В обратном случае, когда метка конфиденциальности объекта выше по значимости, чем метка пользователя, то пользователь получить доступ не может. При неиерархическом способе мандатного доступа определяется совпадение меток. Пользователь может получить доступ к информации только в случае равенства метки пользователя и метки файла или ресурса.
Рис. 1. Мандатная модель управления доступом
Пользователь с высшим уровнем доступа, чем требует метка конфиденциальности, в отличие от иерархической структуры, не получит доступ к запрашиваемому ресурсу. Такая модель применяется в системах с чёткой классификацией информации и высоким уровнем конфиденциальности.
В основе дискреционной модели лежит определяющая права доступа матрица (рис. 2), где строки - субъекты, а столбцы - объекты. В такой модели ресурсы системы принадлежат пользователям, доступ к ресурсам определяет его владелец. Дискреционная модель доступа позволяет определить какие операции разрешены с запрашиваемыми ресурсами. Для каждого из них определяются права доступа: право на просмотр, изменение, выполнение или удаление объекта [3].
Преимущество такого способа в простоте его реализации и его универсальности, поскольку дискреционная модель управления доступом поддерживается всеми операционными системами семейства Windows и Linux.
Один из главных недостатков заключается в том, что пользователь, имеющий право на чтение, может передать это право другим, не имеющим прав, пользователям без уведомления владельца. Нет уверенности, что информация не станет доступна пользователям, у которых нет к ней доступа.
Развитием дискреционной модели является ролевая модель доступа. Она заключается в предоставлении доступа к запрашиваемому объекту на основе роли пользователя, которая определяется на основе типов активностей в системе. Вместо предоставления доступа каждому пользователю к каждому объекту, доступ предоставляется группе пользователей, входящих в роль.
Предоставление доступа на уровне ролей позволяет настраивать систему таким образом, чтобы каждая роль со своими привилегиями наследовала привилегии других ролей, что позволяет гибко настраивать систему. В случае, когда у пользователя меняются обязанности, достаточно лишь удалить его связь со старыми ролями и назначить новые.
Субекты доступа Объекты доступа
Рис. 2. Дискреционная модель управления доступом
Существуют операции, которые в целях безопасности и исключения мошенничества, не могут быть выполнены одним пользователем. Такой операцией может быть подготовка, подтверждение и выполнение платежа. Один пользователь подготавливает платёж, второй его подтверждает, третий - выполняет. Система ролевого управления позволяет обеспечить подобное разделение обязанностей. Кроме того, пользователю с большим количеством привилегий не всегда требуется использовать их все. В таком случае регистрация может происходить только с теми привилегиями, которые требуются для выполнения задачи.
Таким образом, модели доступа различаются между собой технологически, однако все они позволяют уменьшить вероятность несанкционированного взаимодействия с информацией, в том числе модификации и её безвозвратного удаления. Мандатная модель управления доступом позволяет получать доступ по меткам конфиденциальности, однако пользователь может получить доступ к любой менее конфиденциальной информации. Дискреционная модель позволяет более гибко распределять права доступа, но при таком способе невозможно в целях обеспечения наивысшей безопасности разделить операцию на нескольких пользователей. Это позволяет реализовать ролевая модель. Она проста в администрировании и позволяет быстро перераспределять роли в случае появления у пользователя необходимости в доступе к недоступным ранее ресурсам. Грамотная система распределения доступа и управления файловыми ресурсами позволяет значительно снизить вероятность неправомерного ознакомления, модификации и удаления информации из системы.
TYPES OF ACCESS CONTROL MODELS V.A. Bopp
The paper considers models of access control. The mandate model is based on privacy labels. The discretionary model provides access using the access matrix, but is not as easy to administer as the role model, which allows you to quickly reassign user roles and configure access rights more flexibly.
Key words: access models, mandate, role, discretionary, differentiation of rights.
Bopp Victoria Andreevna, master, miss. blackbery@yandex. ru, Russia, Tula, Tula State University
При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.
Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.
Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.
Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.
Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.
Модели разграничения доступа
Наиболее распространенные модели разграничения доступа:
- дискреционная (избирательная) модель разграничения доступа;
- полномочная (мандатная) модель разграничения доступа.
Дискреционная модель характеризуется следующими правилами:
Готовые работы на аналогичную тему
Получить выполненную работу или консультацию специалиста по вашему учебному проекту Узнать стоимость- любой объект имеет владельца;
- владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
- для каждого набора субъект – объект – метод право на доступ определен однозначно;
- наличие хотя бы одного привилегированного пользователя (например, администратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.
В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.
Полномочная модель характеризуется следующими правилами:
- каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
- у каждого субъекта доступа есть уровень допуска.
Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.
Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.
Методы разграничения доступа
Виды методов разграничения доступа:
Разграничение доступа по спискам
Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий
При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы.
В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др.
Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.
Разграничение доступа по уровням секретности и категориям
Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен.
При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.
Парольное разграничение доступа
Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.
На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.
Читайте также: