7.8. политика и модели. 7.9. ролевая модель безопасности

7. 8. политика и модели

тематического разграничения доступа

 

Политика тематического разграничения доступа близка к по- литике мандатного доступа [7].

Общей основой является введение специальной процедуры классификации сущностей системы (субъектов и объектов до-

 

ступа) по какому-либо критерию. Выше рассматривалось, что основой классификации сущностей АС в моделях мандатного доступа является линейная решетка на упорядоченном множе- стве уровней безопасности. При этом использование аппарата решеток является принципиальным, так как посредством ме- ханизмов наименьшей верхней и наибольшей нижней границ обеспечивается возможность анализа опасности/неопасности потоков между любой парой сущностей системы.

В ряде случаев основанием для классификации информа- ции и субъектов доступа к ней выступают не конфиденциаль- ность данных и доверие к субъектам доступа, как в мандатных моделях, а тематическая структура предметной области инфор- мационной системы. Стремление расширить мандатную мо- дель для отражения тематического принципа разграничения доступа, применяемого в государственных организациях мно- гих стран, привело к использованию более сложных структур, чем линейная решетка уровней безопасности, именуемых MLS- решетками. MLS-решетка является произведением линейной решетки уровней безопасности и решетки подмножеств мно- жества категорий (тематик).

Еще одним фактором, обусловливающим необходимость по- строения специальных моделей тематического разграничения доступа, является то, что в большинстве случаев на классифи- кационном множестве в документальных информационных си- стемах устанавливается не линейный порядок (как на множе- стве уровней безопасности в мандатных моделях), а частичный порядок, задаваемый определенного вида корневыми деревья- ми (иерархические и фасетные рубрикаторы).

Важным аспектом, присутствующим в практике разграни- чения доступа к «бумажным» ресурсам, является тематическая

«окрашенность» информационных ресурсов предприятий, уч- реждений  по организационно-технологическим процессам и профилям деятельности. Организация доступа сотрудников к информационным ресурсам (в библиотеках, архивах, доку-

 

ментальных хранилищах) осуществляется на основе тематиче- ских классификаторов. Все документы информационного хра- нилища тематически индексируются, т. е. соотносятся с теми или иными тематическими рубриками классификатора. Со- трудники предприятия согласно своим функциональным обя- занностям или по другим основаниям получают права работы с документами определенной тематики. Данный подход в соче- тании с дискреционным и мандатным доступом, обеспечива- ет более адекватную и гибкую настройку системы разграниче- ния доступа на конкретные функционально-технологические процессы, предоставляет дополнительные средства контроля и управления доступом.

 

7. 9. ролевая модель безопасности

 

Ролевая модель безопасности представляет собой существен- но усовершенствованную модель Харрисона–Руззо–Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандат- ным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помо- щью правил, регламентирующих назначение ролей пользовате- лям и их активацию во время сеансов. Поэтому ролевая модель представляет собой совершенно особый тип политики, кото- рая основана на компромиссе между гибкостью управления до- ступом, характерной для дискреционных моделей, и жестко- стью правил контроля доступа, присущей мандатным моделям. В ролевой модели классическое понятие «субъект» замещает-

ся понятиями «пользователь» и «роль» [5, 7]. Пользователь — это человек, работающий с системой и выполняющий определен- ные служебные обязанности. Роль — это активно действую- щая в системе абстрактная сущность, с которой связан набор полномочий, необходимых для осуществления определенной

 

деятельности. Самым распространенным примером роли яв- ляется присутствующий почти в каждой системе администра- тивный бюджет (например, root для UNIX и Administrator для Windows NT), который обладает специальными полномочиями и может использоваться несколькими пользователями.

Ролевая политика распространена очень широко, потому что она, в отличие от других более строгих и формальных поли- тик, очень близка к реальной жизни. Ведь на самом деле рабо- тающие в системе пользователи действуют не от своего лично- го имени, они всегда осуществляют определенные служебные обязанности, т. е. выполняют некоторые роли, которые никак не связаны с их личностью.

Поэтому вполне логично осуществлять управление досту- пом и назначать полномочия не реальным пользователям, а абстрактным (неперсонифицированным) ролям, представ- ляющим участников определенного процесса обработки ин- формации. Такой подход к политике безопасности позволяет учесть разделение обязанностей и полномочий между участ- никами прикладного информационного процесса, т. к. с точ- ки зрения ролевой политики имеет значение не личность поль- зователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.

В такой ситуации ролевая политика позволяет распределить полномочия между этими ролями в соответствии с их служеб- ными обязанностями: роли администратора назначаются спе- циальные полномочия, позволяющие ему контролировать ра- боту системы и управлять ее конфигурацией, роль менеджера баз данных позволяет осуществлять управление сервером баз данных, а права простых пользователей ограничиваются мини- мумом, необходимым для запуска прикладных программ. Кро- ме того, количество ролей в системе может не соответствовать количеству реальных пользователей: один пользователь, если на нем лежит множество обязанностей, требующих различных

 

полномочий, может выполнять (одновременно или последо- вательно) несколько ролей, а несколько пользователей могут выполнять одну и ту же роль, если они производят одинако- вую работу.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли ука- зывается набор полномочий, представляющий набор прав до- ступа к объектам, во-вторых — каждому пользователю назна- чается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей рабо- ты набором полномочий.

В отличие от других политик, ролевая политика практиче- ски не гарантирует безопасность с помощью формального до- казательства, а только определяет характер ограничений, со- блюдение которых и служит критерием безопасности системы. Такой подход позволяет получать простые и понятные прави- ла контроля доступа, которые легко могут быть применены на практике, но лишает систему теоретической доказательной базы. В некоторых ситуациях это обстоятельство затрудняет использование ролевой политики, однако в любом случае опе- рировать ролями гораздо удобнее, чем субъектами, поскольку это более соответствует распространенным технологиям обра- ботки информации, предусматривающим разделение обязан- ностей и сфер ответственности между пользователями. Кроме того, ролевая политика может использоваться одновременно с другими политиками безопасности, когда полномочия ролей, назначаемых пользователям, контролируются дискреционной или мандатной политикой, что позволяет строить многоуров- невые схемы контроля доступа.

 

ВыВОды

Определение политики безопасности и модели этой полити- ки позволяют теоретически обосновать безопасность системы при корректном определении модели системы и ограничений в ее использовании. Обеспечение информационной безопас- ности предполагает повышение защищенности информации за счет разграничения доступа. В последнее десятилетие как в нашей стране, так и за рубежом активно проводятся исследо- вания по развитию моделей разграничения доступа. Дальней- шими направлениями исследований в этой сфере могут быть поиски решений разграничения доступа в гипертекстовых ин- формационно-поисковых системах, развитие концепции муль- тиролей в системах ролевого доступа, развитие моделей ком- плексной оценки защищенности системы.

 

Вопросы для самоконтроля

 

1. Что такое политика безопасности, кто ее разрабатывает и где она применяется?

2. Приведите классификацию моделей разграничения до- ступа. Какова их роль в теории информационной безо- пасности?

3. Каковы основные достоинства и недостатки дискреци- онных моделей?

4. Приведите примеры использования дискреционных мо- делей разграничения доступа.

5. Составьте матрицу доступа и граф доступа для органи- зации документооборота факультета (объекты доступа: экзаменационные ведомости, персональные данные сту- дентов, рабочие программы дисциплин; субъекты досту- па: студенты, преподаватели, декан).

6. Что такое монитор безопасности и какие требования к нему предъявляются?

 

7. Перечислите основные положения субъектно-объект- ного подхода к разграничению доступа? В чем достоин- ства и недостатки такого подхода?

8. В чем суть мандатной политики разграничения доступа?

9. Каковы основные достоинства и недостатки мандатной политики?

10. Что такое скрытые каналы утечки информации и как их обнаружить?

11. Почему ролевая политика получила большое распро- странение?

12. В чем суть моделей группового доступа?

13. Что такое информационная невыводимость и информа- ционное невмешательство?

14. Как и зачем строятся многоуровненвые схемы разграни- чения доступа. Приведите пример.

 

 

⇐ Предыдущая26272829303132333435Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: