Что такое дискреционное разграничение доступа
Разграничение доступа. Дискреционный и мандатный методы разграничения доступа. Матрица доступа.
Под разграничением доступа принято понимать установление полномочий субъектов для полследующего контроля санкционированного использования ресурсов, доступных в системе. Принято выделять два основных метода разграничения доступа: дискреционное и мандатное.
Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами. На практике дискреционное разграничение доступа может быть реализовано, например, с использованием матрицы доступа (рис. 1.3.4).
Как видно из рисунка, матрица доступа определяет права доступа для каждого пользователя по отношению к каждому ресурсу. Очевидно, что вместо матрицы доступа можно использовать списки полномочий: например, каждому пользователю может быть сопоставлен список доступных ему ресурсов с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к данному ресурсу.
Мандатное разграничение доступа обычно реализуется как разграничение доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности.
Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем: если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Сам термин «мандатное» является неудачным переводом слова mandatory – «обязательный». Тем самым,
мандатное разграничение доступа следует понимать как принудительное.
Дата добавления: 2015-01-19 ; просмотров: 325 ; Нарушение авторских прав
Что такое дискреционное разграничение доступа
(Раздел 1.Вопрос 7.) Модели управления доступом: дискретная, мандатная, ролевая. (Автор: Степаненко И. Д.)
Дискреционное управление доступом
например: чтение, запись, выполнение, возможность передачи прав другим субъектам и т.д.
Прямолинейное представление подобной матрицы невозможно (поскольку она очень большая), да и не нужно (поскольку она разрежена, то есть большинство клеток в ней пусто). В операционных системах более компактное представление матрицы доступа основывается либо на структуризации совокупности субъектов
(владелец/группа/другие у ОС UNIX), либо на механизме списков управления доступом (ACL, Access Control List), то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры ACL в разумных пределах.
Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар полномочий>, который определяет все субъекты с непустыми наборами прав для данного объекта.
Мандатная (многоуровневая) модель доступа
Права доступа каждого субъекта и характеристики конфиденциальности
каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п.
Основу реализации управления доступом составляют:
1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.
2. Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.
Мандатная модель управления доступом
Существуют требования к мандатному механизму, которые состоят в следующем:
1. Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа.
2. Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки(субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).
3. Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
3.a) субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта.
3.b) субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации.
4. Реализация мандатных ПРД должна предусматривать возможность
сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования. Причем это касается как исходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа.
Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.
Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня.
Отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней.
Ролевое управление доступом
При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить.
Таким решением является ролевое управление доступом (РУД). Суть его в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права (см. рис. 10.2).
Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.
Ролевое управление доступом оперирует следующими основными понятиями:
пользователь (человек, интеллектуальный автономный агент и т.п.);
сеанс работы пользователя ;
роль (обычно определяется в соответствии с организационной структурой);
объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.; для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными);
право доступа (разрешение выполнять определенные операции над определенными объектами).
Ролям приписываются пользователи и права доступа ; можно считать, что они (роли) именуют отношения «многие ко многим» между пользователями и правами. Роли могут быть приписаны многим пользователям; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.
Между ролями может быть определено отношение частичного порядка, называемое наследованием. Если роль r2 является наследницей r1, то все права r1 приписываются r2, а все пользователи r2 приписываются r1. Очевидно, что наследование ролей соответствует наследованию классов в объектно-ориентированном программировании, только правам доступа соответствуют методы классов, а пользователям – объекты (экземпляры) классов.
Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу. В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц (и, естественно, несколько наследниц, которых мы будем называть также преемницами).
При наличии наследования ролей ограничение приобретает несколько более сложный вид, но суть остается простой: при проверке членства в ролях нужно учитывать приписывание пользователей ролям-наследницам.
Дискреционное управление доступом
Аудит и классификация данных
на базе системы
У трата, утечка или изменение важной информации станут проблемой для компании, если она не приняла своевременные меры защиты. Дискреционное управление доступом – решение, позволяющее работать с конфиденциальными данными только лицам с определенным уровнем полномочий и закрывать доступ для остальных пользователей.
Необходимость дискреционного управления
Для компаний, работающих с персональными данными или информацией, содержащей государственную тайну, для государственных информационных систем (ГИС), банков, профессиональных участников рынка ценных бумаг необходимость разграничения доступа предусматривается на уровне законодательства, предписаний ФСТЭК РФ и Центробанка. Для большинства компаний, работающих с конфиденциальными данными, дискреционный доступ позволяет оградить ценные сведения от утечек или хищения контрагентами.
Матричная схема контроля
В программах дискреционное управление доступом реализуется в виде матрицы. В столбцах указываются объекты, права доступа к которым регламентируются (АРМ, базы данных, программы и приложения, удаленные устройства, Интернет), а в строках – пользователи. Для каждого из них определяется список разрешенных действий для пользователей с определенным уровнем доступа с объектами:
В линейном виде такая матрица не создается, она получится очень объемной, при этом большинство граф не будет содержать информацию. Поэтому пользователи и объекты данных группируются по категориям. Списки формируются средствами ACL, или Access Control List, с использованием метасимволов, отправляющих запросы к группам файлов, объединенных одним общим признаком. Это позволяет сделать матрицу более компактной.
Дискреционный контроль доступа реализуем в среде Windows и Linux, механизмы ACL применимы для обеих операционных систем. Возможность гибкой смены вводных является преимуществом.
Недостатки матричной схемы контроля доступа привели к созданию систем дискреционного управления, более чувствительных к потребностям организации.
Модель меток
Этот вариант разграничения прав доступа пользователей предполагает идентификацию субъектов (пользователей) и объектов (файлов, информационных баз, программ, аппаратных средств) путем присвоения им меток конфиденциальности. Выстраивается система доступа, в которой метки для субъекта дифференцируются в соответствии с уровнем доступа, определенного внутренней документацией, а для объекта – исходя из степени конфиденциальности информации, например, «Коммерческая тайна», «Общедоступно», «Секретно», «Совершенно секретно», «Особой важности».
Подобная модель реализована в «СёрчИнформ FileAuditor». Программа для автоматизированного аудита чувствительных файлов устанавливает метки на документы, что помогает администратору понять, сколько в компании конфиденциальных сведений и где они хранятся.
Метка представляет собой код. Получив его, программа реализует следующий механизм:
Особенности мандатной схемы доступа
Проблемой модели становится необходимость объемной подготовительной работы, включающей присвоение меток всем пользователям и объектам, находящимся в периметре информационной безопасности организации.
При внедрении этого механизма требуется:
Использование мандатной схемы дискреционного контроля доступа предполагает, что общие принципы классификации останутся неизменными, а уровни пользователей и информационных объектов будут меняться. В ИТ-подразделении должны быть выделены сотрудники, обладающие полномочиями на изменение мандатов.
Недостаток один, но он существенен – права пользователя остаются неизменными для одного уровня конфиденциальности информации, это исключает возможность ограничить доступ к данным по функциональному признаку, например, инженеру – к файлам бухгалтерии. Таким образом, возможность организовать утечку конфиденциальной информации, владельцем которой является другое подразделение, сохраняется.
Ролевое управление
По мере роста размеров информационной системы и количества сотрудников компании решение задачи организации дискреционного управления доступом к данным для сотрудников разного уровня становится все более сложным. Число связей на уровне «пользователь – файл» возрастает практически в геометрической прогрессии, это создает нагрузку на систему и персонал. Решить задачу призвана модель ролевого управления доступом (РУД). Основа этой системы является создание промежуточной сущности – роли, при администрировании она занимает место между пользователем и объектом. Роль прямо не связана с пользователем, но она предоставляет права доступа к определенному классу объектов. Для одного пользователя одновременно может быть открыто несколько ролей с различными правами доступа, это позволяет управлять доступом к информационным ресурсам более гибко.
Ролей всегда создается меньше, чем пользователей, это упрощает управление системой. Для модели управления доступом характерна возможность для одного пользователя активизировать несколько ролей и несколько сеансов работы, причем все процессы запускаются параллельно с одного устройства. Иерархическое взаимодействие ролей осуществляется по принципу наследования, роли более высшего порядка включают все полномочия, имеющиеся у ролей низшего. При назначении ролей с различными вариантами доступа к данным обязательно следовать принципу минимизации полномочий, никто не должен получить больше прав, чем требуется для выполнения служебных обязанностей.
Внедрение системы дискреционного управления доступом
Внедрение схемы дискреционного управления доступом осуществляется на двух уровнях – организационном и программном. В рамках организационных мер необходимо разработать и утвердить внутренний распорядительный документ, утверждающий список пользователей, их права, а также условия внесения изменения в перечень. Для упрощения процедуры корректировки персонального состава пользователей и их прав список может быть оформлен как приложение к документу.
Определение того, кому и какие права доступа предоставляются, осуществляется одним из трех способов:
Иногда используются смешанные механизмы организации дискреционного управления доступом. Все эти особенности для каждой компании должны быть описаны во внутренних организационных документах. Для операторов персональных данных необходимость разграничения прав прямо предусмотрена законом, и отсутствие такого документа при проверке может привести к штрафу.
Создавая систему разграничения прав доступа, нужно опираться на два принципа – она должна соответствовать требованиям регулятора и не быть избыточной, т.е. не создавать задержек при прохождении бизнес-процессов, излишних нагрузок на информационную систему, персонал и бюджет компании.
Что такое дискреционное разграничение доступа
В данной лекции мы поговорим о дискреционном механизме управления доступом, рассмотрим требования этого механизма, понятие используемой в нем матрицы доступа. А также поговорим, как происходит задание правил разграничения доступа с использованием данного механизма в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64».
Итак, все элементы компьютерной системы, как известно, разделяются на множество субъектов и объектов. Понятие субъекта несколько отличается от понятия пользователя компьютерной системы. Пользователь КС – это физическое лицо, обладающее некоторой идентифицирующей его информацией. При этом субъектом может быть, например, процесс операционной системы, то есть какая-либо запущенная пользователем компьютерной системы программа, которая осуществляет доступ к объектам, то есть файлам или каталогам.
Дискреционное управление доступом к объектам КС предполагает выполнение следующих требований:
Последнее свойство определяет невозможность существования в компьютерной системе потенциально недоступных объектов, владелец которых отсутствует.
Дискреционное управление доступом к объектам КС реализуется обычно в виде матрицы доступа, строки которой соответствуют объектам КС, а столбцы – ее субъектам. Элементы матрицы доступа определяют права доступа субъектов к объектам.
При этом субъект может получить определенный доступ к объекту, если в соответствующей ячейке матрицы доступа есть соответствующее право доступа.
Например, из матрицы, представленной на слайде, мы видим, что субъект 1 (пусть это будет например, какой-то пользователь) имеет право читать и писать в объект 1 (пусть это будет какой-то файл), а другие субъекты такого права не имеют. При этом субъект 2 (пусть это будет, например, какой-то другой пользователь) может только читать субъект 2 (какой-то другой файл), остальные же субъекты доступа к данному файлу не имеют. Субъект 3 может запускать объект 3 (какой-то исполняемый файл), но не имеет права его изменять. При этом Субъекты 1 и 2 не имеют права запускать объект 3.
Теперь давайте рассмотрим, как происходит задание правил разграничения доступа (ПРД) с использованием дискреционного механизма в комплексе «Аккорд».
Затем нужно перейти в программу «Редактор прав доступа», предъявить идентификатор и ввести пароль администратора. После чего нужно выбрать пользователя и в правом нижнем углу нажать кнопку рядом с полем «Разграничение доступа». Появится окно «Редактирование правил разграничения доступа для пользователя такого-то». В этом окне по умолчанию выведен перечень всех доступных корневых каталогов (для сетевых корневых каталогов указывается полное сетевое имя), а также ключей реестра (строки, начинающиеся с «\HKEY_») и сетевых и локальных принтеров. В этом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того чтобы запретить доступ к логическому диску достаточно исключить корневой каталог этого диска из списка объектов.
В список объектов для обычных пользователей уже включены ограничения, которые защищают от модификации программные компоненты комплекса «Аккорд».
Для того, чтобы сделать какой-либо файл «скрытым», т.е. полностью запретить к нему доступ, нужно включить его в список объектов, но не назначать ни одного атрибута доступа.
При необходимости добавления нового объекта и задания ему ПРД необходимо нажать кнопку «Новый», для редактирования – «Редактировать». Для удаления какого-либо объекта и установленных для него ПРД, нужно нажать кнопку «Удалить».
Для выхода из режима редактирования с сохранением, необходимо нажать кнопку «Сохранить», без сохранения – «Отмена».
В разделе «Объекты» выберем строку с любым именем объекта и нажмем кнопку «Редактировать». Выводится окно для определения правил доступа к объекту.
Права доступа по умолчанию могут отличаться в зависимости от типа операционной системы и установленных антивирусов.
При установке дискреционных ПРД могут использоваться атрибуты доступа, перечисленные в данном окне. Для операций с файлами – это:
Операции с каталогом:
Для группового манипулирования параметрами доступа можно пользоваться кнопками внизу окна. Кнопка «Сброс» сбрасывает все параметры. Кнопка «Чтение» устанавливает для выбранного объекта «файл» атрибуты R – открыть для чтения, V – видимость и X – запуск программ. Для объекта «папка» добавляется атрибут G – переход в данную папку и S – наследование. Кнопка «Полный» включает все атрибуты для полного доступа.
Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный параметр, который очень важен для реализации ПРД – это параметр наследования прав доступа.
Параметр наследования прав доступа может принимать три значения:
S – установлен по умолчанию, параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у «родительского» каталога, при этом для отдельных подкаталогов можно явно определять атрибуты доступа;
Например, если для корня дерева каталогов диска C:\ установить атрибут 0, доступными будут только файлы в корневом каталоге, а остальные каталоги для данного пользователя как бы не существуют. Каталог на диске C:\ будет доступен пользователю (с любой непротиворечивой комбинацией атрибутов) только при явном его описании в списке прав доступа. Если для корневого каталога C:\ установить атрибут S, то все его файлы, каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для диска C:\.
Для сохранения выбранных атрибутов доступа необходимо нажать «Сохранить», для выхода без сохранения – «Отмена». Нажмем «Отмена».
Если необходимый объект отсутствует в списке нужно нажать кнопку «Новый». Нажмем ее. На экран выводится расширенное окно «Атрибуты доступа к объектам». Слева в этом окне отображен список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа. Какой цвет чему соответствует можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа».
Далее необходимо для выбранного объекта установить необходимые атрибуты. Если у выделенного объекта уже установлены ПРД, как в нашем случае, то будут отмечены соответствующие флаги, если нет, то все флаги будут сброшены. При установке ПРД можно воспользоваться кнопками «Сброс», «Чтение», «Полный» в нижней части панели. Они работают аналогично тем, как были рассмотрены в окне редактирования настроек.
Более подробно действие атрибутов доступа и их комбинаций описано в методических материалах к лекции – в документе «Руководство администратора на комплекс».
Мы сбросим все имеющиеся атрибуты для файла test1.txt с помощью кнопки «Сброс», а затем сделаем его доступным только на чтение с помощью кнопки «Чтение». Сохраним настройки с помощью кнопки «Сохранить». Затем нажмем «Закрыть», видим, что наш файл появился среди объектов с установленными только что атрибутами.
Хотелось бы обратить внимание, что мы рассмотрели задание ПРД для дисков, каталогов и файлов, для веток реестра они устанавливаются аналогично.
Подведем итог, в данной лекции мы поговорили о дискреционном механизме управления доступом, рассмотрели требования этого механизма, понятие используемой в нем матрицы доступа. А также поговорили о том, как происходит задание правил разграничения доступа с использованием данного механизма в программно-аппаратном комплексе СЗИ НСД «Аккорд-Win64» для дисков, каталогов и файлов. Однако существуют особенности установки ПРД к сетевым ресурсам, съемным и стационарным устройствам, об этом мы поговорим на следующей лекции.
Информационная безопасность
Глава 3. Модели безопасности
3.1. Понятие и назначение модели безопасности
Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как она является формальной, возможно осуществить доказательство различных свойств безопасности системы.
Хорошая модель безопасности обладает свойствами абстрактности, простоты и адекватности моделируемой системе.
Основные понятия, используемые в моделях разграничения доступа, приведены в руководящем документе Государственной технической комиссии при Президенте РФ «Защита от несанкционированного доступа к информации» [14]:
— ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации
— единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
— лицо или процесс, действия которого регламентируются правилами разграничения доступа.
— cовокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
3.2. Модель дискреционного доступа (DAC)
В рамках дискреционной модели контролируется доступ субъектов (пользователей или приложений) к объектам (представляющим собой различные информационные ресурсы: файлы, приложения, устройства вывода и т.д.).
Для каждого объекта существует субъект-владелец, который сам определяет тех, кто имеет доступ к объекту, а также разрешенные операции доступа. Основными операциями доступа являются READ (чтение), WRITE (запись) и EXECUTE (выполнение, имеет смысл только для программ). Таким образом, в модели дискреционного доступа для каждой пары субъект-объект устанавливается набор разрешенных операций доступа.
При запросе доступа к объекту, система ищет субъекта в списке прав доступа объекта и разрешает доступ если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Иначе доступ не предоставляется.
Классическая система дискреционного контроля доступа является «закрытой» в том смысле, что изначально объект не доступен никому, и в списке прав доступа описывается набор разрешений. Также существуют «открытые» системы, в которых по умолчанию все имеют полный доступ к объектам, а в списке доступа описывается набор ограничений.
Такая модель реализована в операционных системах Windows (см. рис. 1.) и Linux.
Рис. 1. Дискреционная модель доступа в Windows Vista.
В частности, в Linux для каждого файла (все ресурсы в ОС Linux представимы в виде файлов, в том числе устройства ввода-вывода) устанавливаются разрешения доступа для трех категорий субъектов: владелец файла, члены той же группы, что и владелец, и все остальные пользователи. Для каждой из этих категорий устанавливаются права на чтение (r), запись (w) и выполнение (x). Набор прав доступа объекта может быть представлен в виде символьной строки. Например, запись «rwxr-xr—» означает, что владелец файла может делать с ним все, что угодно; члены его группы могут читать и исполнять файл, но не могут записывать, а прочим пользователям доступно только чтение.
Недостаток модели DAC заключается в том, что субъект, имеющий право на чтение информации может передать ее другим субъектам, которые этого права не имеют, без уведомления владельца объекта. Таким образом, нет гарантии, что информация не станет доступна субъектам, не имеющим к ней доступа. Кроме того, не во всех АИС каждому объекту можно назначить владельца (во многих случаях данные принадлежат не отдельным субъектам, а всей системе).
3.3. Модель безопасности Белла—ЛаПадулы
Одна из наиболее известных моделей безопасности — модель Белла-ЛаПадулы (модель мандатного управления доступом). В ней определено множество понятий, связанных с контролем доступа; даются определения субъекта, объекта и операции доступа, а также математический аппарат для их описания. Эта модель в основном известна двумя основными правилами безопасности: одно относится к чтению, а другое – к записи данных.
Пусть в системе имеются данные (файлы) двух видов: секретные и несекретные, а пользователи этой системы также относятся к двум категориям: с уровнем допуска к несекретным данным (несекретные) и с уровнем допуска к секретным данным (секретные).
1. Свойство простой безопасности: несекретный пользователь (или процесс, запущенный от его имени) не может читать данные из секретного файла.
2. *-свойство: пользователь с уровнем доступа к секретным данным не может записывать данные в несекретный файл. Это правило менее очевидно, но не менее важно. Действительно, если пользователь с уровнем доступа к секретным данным скопирует эти данные в обычный файл (по ошибке или злому умыслу), они станут доступны любому «несекретному» пользователю. Кроме того, в системе могут быть установлены ограничения на операции с секретными файлами (например, запрет копировать эти файлы на другой компьютер, отправлять их по электронной почте и т.д.). Второе правило безопасности гарантирует, что эти файлы (или даже просто содержащиеся в них данные) никогда не станут несекретными и не «обойдут» эти ограничения. Таким образом, вирус, например, не сможет похитить конфиденциальные данные.
Рис. 2. Модель безопасности Белла-ЛаПадулы.
Рассмотренные правила легко распространить на случай, когда в системе необходимо иметь более двух уровней доступа — например, различаются несекретные, конфиденциальные, секретные и совершенно секретные данные. Тогда пользователь с уровнем допуска к секретным данным может читать несекретные, конфиденциальные и секретные документы, а создавать — только секретные и совершенно секретные.
Общее правило звучит так: пользователи могут читать только документы, уровень секретности которых не превышает их допуска, и не могут создавать документы ниже уровня своего допуска. То есть теоретически пользователи могут создавать документы, прочесть которые они не имеют права.
3.4. Ролевая модель контроля доступа (RBAC)
Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе (ролей). Под ролью понимается совокупность действий и обязанностей, связанных с определенным видом деятельности. Примеры ролей: администратор базы данных, менеджер, начальник отдела.
В ролевой модели с каждым объектом сопоставлен набор разрешенных операций доступа для каждой роли (а не для каждого пользователя). В свою очередь, каждому пользователю сопоставлены роли, которые он может выполнять. В некоторых системах пользователю разрешается выполнять несколько ролей одновременно, в других есть ограничение на одну или несколько не противоречащих друг другу ролей в каждый момент времени.
Для формального определения модели RBAC используются следующие соглашения:
S = субъект — человек или автоматизированный агент.
R = роль — рабочая функция или название, определяется на уровне авторизации.
P = разрешения — утверждения режима доступа к ресурсу.
SE = cессия — Соответствие между S, R и/или P.
На возможность наследования разрешений от противоположных ролей накладывается ограничительная норма, которая позволяет достичь надлежащего разделения режимов. Например, одному и тому же лицу может быть не позволено создать учетную запись для кого-то, а затем авторизоваться под этой учетной записью.
Рис. 3. Схема ролевой модели контроля доступа (RBAC)
Основные достоинства ролевой модели:
RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R/3 и множество других, эффективно применяющих RBAC.
С помощью RBAC могут быть смоделированы дискреционные и мандатные системы управления доступом.
3.5. Системы разграничения доступа
Конкретное воплощение модели разграничения доступа находят в системе разграничения доступа.
— это совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Многие системы разграничения доступа базируются на концепции диспетчера доступа. В основе этой концепции лежит понятие — абстрактной машины, которая выступает посредником при всех обращениях субъектов к объектам. Диспетчер доступа использует базу данных защиты, в которой хранятся правила разграничения доступа и на основании этой информации разрешает, либо не разрешает субъекту доступ к объекту, а также фиксирует информацию о попытке доступа в системном журнале.
Основными требованиями к реализации диспетчера доступа являются:
База данных защиты строится на основе матрицы доступа или одного из ее представлений.
— таблица, в которой строки соответствуют субъектам, столбцы — объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту.
Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области приходится учитывать вручную. (Примеры ограничений: права доступа субъекта к файлу не могут превышать его прав доступа к устройству, на котором этот файл размещен; группа пользователей наследует одинаковые полномочия и т.д.). Для преодоления этих сложностей матрица доступа в СРД часто заменяется некоторым ее неявным представлением. Рассмотрим основные из них.