7.5. парольные системы разграничения доступа

7. 5. парольные системы разграничения доступа

 

В документальных информационных системах, в системах ав- томатизации документооборота широкое распространение полу- чили так называемые парольные системы разграничения доступа, представляющие отдельную разновидность механизмов реали- зации дискреционного принципа разграничения доступа [7].

Основные положения парольных систем можно сформули- ровать следующим образом.

1. Система представляется следующим набором сущностей:

· множеством  информационных  объектов  (документов)

О(о₁, …, о_m);

· множеством пользователей S(s₁, …, s_n);

· множеством паролей доступа к объектам К(k₁, …, k_р).

2. В системе устанавливается отображение множества О

на множество К, задаваемое следующей функцией:

f_ko : O → К.

Значением функции f_ko(о) = k_o является пароль k_o доступа к документу о.

3. Область безопасного доступа задается множеством троек (s, k, о), каждый элемент которого соответствует владению поль- зователем паролем доступа к объекту. В результате устанавли- вается отображение множества S на множество К:

f_ks : S → К.

7. 5. Парольные системы разграничения доступа

 

Значением f_ks(s) = K_s является набор паролей доступа к до- кументам системы, известных пользователю s.

4. Процессы доступа пользователей к объектам системы ор- ганизуются в две фазы:

· фаза открытия документа;

· фаза закрытия (сохранения) документа.

При открытии документа о пользователь s предъявляет (вво- дит, передает) монитору безопасности AС пароль k_s0 доступа к данному документу.

Запрос в доступе удовлетворяется, если

k_s0 = f_k0(о).

В случае успешного открытия пользователю предоставляют- ся права работы по фиксированному набору операций с объ- ектом.

Возможны два подхода, соответствующие добровольному и принудительному способам управления доступом.

При использовании принудительного способа назначение паролей доступа к документам, их изменение осуществляет только выделенный пользователь — администратор системы. При необходимости шифрования измененного объекта или при появлении в системе нового объекта, подлежащего дис- креционному доступу к нему, администратор системы на ос- нове специальной процедуры генерирует пароль доступа к но- вому объекту, зашифровывает документ на ключе, созданном на основе пароля, и фиксирует новый документ в зашифро- ванном состоянии в системе. Администратор сообщает пароль доступа к данному документу тем пользователям, которым он необходим. Тем самым формируется подмножество троек до- ступа {(s₁, k, о), (s_2, k, о), …} к документу o.

При добровольном управлении доступом описанную выше процедуру формирования подмножества троек доступа к ново- му документу производят владельцы объекта.

 

Преимуществом парольных систем по сравнению с систе- мами дискреционного разграничения доступа, основанными на матрице доступа, является то, что в них отсутствует ассоци- ированный с монитором безопасности объект, хранящий ин- формацию о разграничении доступа к конкретным объектам. Данный объект является наиболее критичным с точки зрения безопасности объектом системы.

Кроме того, в парольных системах обеспечивается безопас- ность и в том случае, когда не ограничен или технически воз- можен доступ посторонних лиц к носителям, на которых фик- сируются и хранятся зашифрованные объекты.

Эти преимущества парольных систем разграничения досту- па обусловливают их чрезвычайно широкое применение в до- кументальных информационных системах.

Несмотря на то, что дискреционные модели разработаны почти 40 лет назад, и то, что многочисленные исследования показали их ограниченные защитные свойства, данные моде- ли широко применяются на практике. Основные их достоин- ства — это простота и максимальная детальность в организа- ции доступа.

 

7. 6. политика и модели мандатного доступа

 

Политика мандатного доступа является примером исполь- зования технологий, наработанных во внекомпьютерной сфе- ре, в частности принципов организации секретного делопроиз- водства и документооборота, применяемых в государственных структурах большинства стран.

Основным положением политики мандатного доступа яв- ляется назначение всем участникам процесса обработки защи- щаемой информации и документам, в которых она содержит-

7. 6. Политика и модели мандатного доступа

 

ся, специальной метки, например секретно, сов. секретно и т. д., получившей название уровня безопасности. Все уровни безо- пасности упорядочиваются с помощью установленного отно- шения доминирования, например, уровень сов. секретно счи- тается более высоким, чем уровень секретно. Контроль доступа осуществляется в зависимости от уровней безопасности взаи- модействующих сторон на основании двух правил:

1. No read up (NRU) — нет чтения вверх: субъект имеет пра- во читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.

2. No write down (NWD) — нет записи вниз: субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безо- пасности.

Первое правило обеспечивает защиту информации, обра- батываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе правило предотвращает утечку информации (сознатель- ную или несознательную) от высокоуровневых участников про- цесса обработки информации к низкоуровневым.

Формализация механизмов разграничения доступа в секрет- ном делопроизводстве применительно к субъектно-объектной модели показала необходимость решения следующих задач:

· разработки  процедур  формализации  правила  NRU, а в особенности правила NWD;

· построения формального математического объекта и про- цедур, адекватно отражающих систему уровней безопас- ности (систему допусков и грифов секретности).

При представлении служащих, работающих с секретными документами, в качестве субъектов доступа, а секретных доку- ментов в качестве объектов доступа буквальное следование пра- вилу NWD приводит к включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользо- вателя, который при внесении информации должен оценить

 

соответствие вносимой информации уровню безопасности до- кумента. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из ко- торых является полный запрет изменения субъектами объек- тов с уровнем безопасности более низким, чем уровень безо- пасности соответствующих субъектов. При этом существенно снижается функциональность системы.

Таким образом, если в дискреционных моделях управле- ние доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом — с помощью назначения всем сущностям системы уровней безопасности, которые опреде- ляют все допустимые взаимодействия между ними. Следова- тельно, мандатное управление доступом не различает сущно- стей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Любой объект определенного уровня безопасности доступен любо- му субъекту соответствующего уровня безопасности (с учетом правил NRU и NWD). Мандатный подход к разграничению доступа, основанный лишь на понятии уровня безопасности, без учета специфики других характеристик субъектов и объ- ектов приводит в большинстве случаев к избыточности прав доступа конкретных субъектов в пределах соответствующих классов безопасности. Для устранения данного недостатка мандатный принцип разграничения доступа дополняется дис- креционным внутри соответствующих классов безопасности. В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня безопасности.

 

⇐ Предыдущая24252627282930313233Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: