Пояснительная записка (1208216), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Диспетчер доступа проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты; разрешает или блокирует доступ субъекта к объекту, а также, при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

Рисунок 1.4.2 – Матрица избирательного управления доступом

Форма представления базы данных может быть различной.

Основу базы данных средств разграничения доступа в общем случае составляет абстрактная матрица доступа или ее реальные представления (Рисунок 1.4.2). Каждая строка этой матрицы соответствует субъекту, а столбец – объекту автоматизированной системы. Каждый элемент этой матрицы представляет собой упорядоченную совокупность значений, определяющую права доступа: чтение, модификация, удаление и т.п. определенного субъекта к определенному объекту.

Сложность ведения матрицы доступа в реальных системах связана не только с большой размерностью этой матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.

При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.

Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).

1. Основные способы неявного задания матрицы доступа

Списки управления доступом к объекту. В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений о субъектах, имеющих какой-либо вид доступа к заданному объекту;

Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

Списки полномочий субъектов

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект.

Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

• неудобство получения сведений о субъектах, имеющих какой-либо вид доступа к заданному объекту;

• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

Атрибутные схемы

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX.

Основными достоинствами этих схем являются:

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

Недостатки:

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

• затруднено задание прав доступа конкретного субъекта к конкретному объекту.

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

• вход пользователя в систему;

• вход пользователя в сеть;

• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

• подключение к файловому серверу;

• запуск программы;

• завершение программы;

• оставление программы резидентно в памяти;

• попытка открытия файла недоступного для чтения;

• попытка открытия на запись файла недоступного для записи;

• попытка удаления файла недоступного для модификации;

• попытка изменения атрибутов файла недоступного для модификации;

• попытка запуска программы, недоступной для запуска;

• попытка получения доступа к недоступному каталогу;

• попытка чтения/записи информации с диска, недоступного пользователю;

• попытка запуска программы с диска, недоступного пользователю;

• вывод на устройства печати документов с грифом (при полномочном управлении доступом);

• нарушение целостности программ и данных системы защиты и др.

1. Модели управления доступом

Управление доступом – это определение возможности субъекта оперировать над объектом. В общем виде описывается диаграммой, указанной на рисунке 1.6.1.

На данный момент существует три различных метода для управления доступом к объектам в системе:

• дискреционный метод управления доступом;

• мандатный метод управления доступом;

• ролевой метод управления доступом;

• иные.

Рисунок 1.6.1– Управление доступом

Эти методы не обязательно применяются отдельно друг от друга, а могут комбинироваться для удовлетворения различных требований к безопасности системы (рисунок 1.6.2).

Рисунок 1.6.2 – Системы контроля доступа

При этом комбинирование различных моделей может быть довольно простым, если они не противоречат друг другу. Т.е. если не существует ситуаций, когда исходя из одной модели субъект имеет доступ к объекту, а из другой не имеет. Эти конфликты должны разрешаться на уровне администрирования системы.

1. Дискреционный метод контроля доступа

Средства Дискреционного Контроля за Доступом (Discretionary Access Control – DAC) обеспечивают защиту персональных объектов в системе. Контроль является дискреционным в том смысле, что владелец объекта сам определяет тех, кто имеет доступ к объекту, а также вид их доступа.

Дискреционный контроль доступа управляет доступом субъектов к объектам базируясь на идентификационной информации субъекта и списка доступа объекта, содержащего набор субъектов (или групп субъектов) и ассоциированных с ними типов доступа (например, чтение, запись). При запросе доступа к объекту, система ищет субъекта в списке прав доступа объекта и разрешает доступ если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Иначе доступ не предоставляется.

Гибкость DAC позволяет использовать его в большом количестве систем и приложений. Благодаря этому этот метод очень распространен, особенно в коммерческих приложениях. Очевидным примером использования DAC является семейство систем Windows. (рисунок 1.6.1.1).

Рисунок 1.6.1.1– Дискреционная модель контроля доступа Windows 10

1.6.2 Модель мандатного контроля за доступом

Средства мандатного Контроля за Доступом (Mandatory Access Control – MAC). Контроль является обязательным в том смысле, что пользователи не могут изменять стратегию MAC в отношении объектов. При создании объекта система автоматически присваивает ему атрибуты MAC, и изменить эти атрибуты может только администратор, имеющий соответствующие полномочия. Средства MAC не позволят пользователю случайно или преднамеренно сделать информацию доступной для лиц, которые не должны обладать ею.

Обеспечение безопасности информации

Доступ субъекта к объекту предоставляется если выполнено некоторое условие отношения (которое зависит от типа доступа) между уровнями безопасности объекта и субъекта.

В частности, должны выполняться следующие условия:

• доступ на чтение дается если уровень безопасности субъекта включает в себя уровень безопасности объекта;

• доступ к записи дается если уровень безопасности субъекта включает в себя уровень безопасности объекта.

Выполнение этих условий, гарантирует, что данные высокоуровневых объектов (например, Совершенно Секретно) не попадут в низкоуровневый объект (например, Рассекреченный) смотреть рисунок 1.6.2.1.

В этой модели важно различать понятия пользователь и субъект. Уровни безопасности назначаются субъектам. А пользователи могут выступать от имени субъекта в тот или иной момент. При этом в различных ситуациях один пользователь может выступать от имени различных субъектов. При этом важно, чтобы в каждый конкретный момент, пользователь выступал от имени только одного субъекта.

Из диаграммы видно, что пользователи с более высоким уровнем доверия не могут изменять объекты с более низким уровнем безопасности. Эта проблема разрешается тем, что пользователь при доступе к различным документам может выступать от имени субъектов с различными уровнями доверия. Т.е. пользователь с уровнем доверия «С» может выступать от имени субъектов с уровнем доверия «С», «К» и «Р».

Рисунок 1.6.2.1–Управление потоками информации для обеспечения безопасности данных

Обеспечение достоверности информации

Кроме обеспечения безопасности информации, часто требуется обеспечение ее достоверности. Т.е. чем выше уровень доверия объекта, тем выше его достоверность, и чем выше уровень безопасности субъекта, тем более достоверную информацию он может вносить в систему. Для такой модели, описанные выше правила следует видоизменить следующим образом:

• доступ на запись дается если уровень безопасности субъект включен в уровень безопасности объекта;

• доступ на чтение дается если уровень безопасности субъекта включает в себя уровень безопасности объекта.

Видно, что критерии правил просто поменялись местами.(Рисунок 1.6.2.2.)

Наряду с использованием уровней безопасности, в Обязательного Контроля за Доступом можно использовать категории. В таком случае каждому объекту и субъекту, кроме уровня безопасности можно назначить список категорий, к которым он (субъект или объект) относится.

Рисунок 1.6.2.2 –Управление потоками информации для обеспечения надежности данных

Категории объекта используются для описания областей где этот объект используется, а категории субъекта описывают в каких областях субъект работает. Такая система позволяет более детально управлять доступом в системе.

1.6.3 Ролевая модель контроля за доступом

Основная идея ролевой модели контроля за доступом (Role–Based Access Control – RBAC) основана на максимальном приближении логики работы системы к реальному разделению функций персонала в организации.

Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе. Применение данного метода подразумевает определение ролей в системе.

Основным достоинством ролевой модели управления доступом является простота администрирования.

Характеристики

Список файлов ВКР