Защита безопастности. Управление доступом

Управление  Доступом

2 СЛАЙД

Управление доступом – позволяет анализировать и контролировать действия которые пользователь может выполнять над ресурсами

Различают следующие типы управления доступом:

• Физическое управление доступом
• Логическое управление доступом

3 СЛАЙД

Физическое управление доступом.

Физическое разграничение доступа подразумевает выделение определённых пространственных зон (территорий, помещений) и определение круга лиц, которым разрешён доступ в ту или иную зону. Например, на территорию предприятия разрешён доступ только сотрудникам предприятия. Чтобы контролировать доступ (то есть пропускать "своих" и не пропускать "чужих") существует служба охраны и проходная, оснащённая теми или иными техническими средствами. Однако на территории предприятия могут быть места, куда допускаются не все сотрудники предприятия. Например, в помещения первого отдела разрешён вход только сотрудникам этого отдела. Для ограничения доступа в такие помещения могут использовать дополнительные посты охраны, специальные кодовые замки и другие технические устройства.

Физическое  разграничение доступа играет важную роль в обеспечении информационной безопасности. Необходимо ограничивать доступ посторонних лиц к компьютерам, на которых обрабатывается конфиденциальная информация, а также к компьютерам, которые имеют особое значение для  бесперебойного функционирования системы (например, к серверам). Такие компьютеры лучше устанавливать в изолированных  помещениях, вход в которые разрешён только тем, кто непосредственно  работает на этих компьютерах.

4 СЛАЙД

Логическое управление доступом.

Логическое управление доступом организуется при помощи ПО, его задача состоит  в том, чтобы определить множество  допустимых операций для субъектов  над объектами информационной системы  и контролировать выполнение установленных  действий.

С традиционной точки зрения средства логического управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

5 СЛАЙД

Различают несколько механизмов управления доступом:

• Авторизация
• Произвольное управление доступом
• Принудительное управление доступом
• Управление доступом на основе ролей
• Аудит

 

6 СЛАЙД

Рассмотрим произвольное управление доступом.

Имеется совокупность субъектов и  набор объектов. Задача состоит в  том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций (зависящее, быть может, от некоторых  дополнительных условий) и контролировать выполнение установленного порядка.

Отношение "субъекты-объекты" можно  представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, так:

субъект                объект	Файл	Программа	Реляционная таблица
Пользователь 1	orw	e
Пользователь 2			a

"o" - обозначает разрешение  на передачу прав доступа другим пользователям,

"r" - чтение,

"w" - запись,

"e" - выполнение,

"a" - добавление информации

Понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты.

Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа.

Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам  решать, позволить ли конкретному  субъекту ту или иную операцию. Главная  проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов. Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой.

В результате при задании матрицы  доступа нужно принимать во внимание не только принцип распределения  привилегий для каждого сервиса, но и существующие связи между  сервисами 

Матрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно  хранить в виде двухмерного массива. Обычно ее хранят по столбцам в виде списка, то есть для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами.

Списки доступа - исключительно  гибкое средство. С их помощью легко  выполнить требование о гранулярности  прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить  доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного  управления доступом.

7 СЛАЙД

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство  произвольного управления - гибкость. Вообще говоря, для каждой пары "субъект-объект" можно независимо задавать права  доступа (особенно легко это делать, если используются списки управления доступом).

 К сожалению, у "произвольного"  подхода есть ряд недостатков.  Рассредоточенность управления  доступом ведет к тому, что  доверенными должны быть многие  пользователи, а не только системные  операторы или администраторы. Из-за  рассеянности или некомпетентности  сотрудника, владеющего секретной  информацией, эту информацию могут  узнать и все остальные пользователи. Следовательно, произвольность управления  должна быть дополнена жестким  контролем за реализацией избранной  политики безопасности.

Второй недостаток, который представляется основным, состоит в том, что права  доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет  проведение несколькими системами  согласованной политики безопасности и, главное, делает практически невозможным  эффективный контроль согласованности.

8 СЛАЙД

Принудительное управление доступом

Принудительное управление доступом

Принудительное управление доступом основано на сопоставлении  меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности  субъекта не ниже, чем у объекта, а все категории, перечисленные  в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Субъект может  записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта.

 

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов, на месте которых могут  оказаться даже системные администраторы. После того, как зафиксированы  метки безопасности субъектов и  объектов, оказываются зафиксированными и права доступа. В терминах принудительного  управления нельзя выразить предложение  «разрешить доступ к объекту Х  ещё и для пользователя Y». Конечно, можно изменить метку безопасности пользователя Y, но тогда он скорее всего  получит доступ ко многим дополнительным объектам, а не только к Х.

Мандатное управление доступом, включает следующие  требования:

• Все субъекты и объекты ИС должны быть однозначно идентифицированы;
• Задан линейно упорядоченный набор меток секретности;
• Каждому объекту системы присвоена метка секретности, определяющая ценность содержащей в ней информации — уровень секретности;
• Каждому субъекту системы присвоена метка секретности, определяющая уровень к нему ИС — максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

9 СЛАЙД

• Основная цель мандатной политики — предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа.
• Важное достоинство мандатной модели – формальное доказательство утверждения: если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушает ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.
• Недостаток мандатной модели –  сложность реализации.

 

Принудительное управление доступом реализовано во многих вариантах  операционных систем и СУБД, отличающихся повышенными мерами безопасности. В  частности, такие варианты существуют для SunOS и СУБД Ingres. В реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

10 СЛАЙД

При принятии решения о предоставлении доступа обычно анализируется следующая  информация:

• идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом;
• атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа принудительного (мандатного) управления доступом.

 

11 СЛАЙД

Ролевое управление доступом

При большом количестве пользователей  традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально  произведению количества пользователей  на количество объектов. Необходимы решения  в объектно-ориентированном стиле, способные эту сложность понизить.

Таким решением является ролевое управление доступом (РУД). Суть его в том, что между пользователями и их привилегиями появляются промежуточные сущности - роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права (см. рис. 10.2).

 
Рис. 10.2.  Пользователи, объекты и роли.

Ролевой доступ нейтрален по отношению  к конкретным видам прав и способам их проверки. Он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.

12 СЛАЙД

Ролевое управление доступом оперирует  следующими основными понятиями:

• пользователь (человек, интеллектуальный автономный агент и т.п.);
• сеанс работы пользователя;
• роль (обычно определяется в соответствии с организационной структурой);
• объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
• операция (зависит от объекта; для файлов ОС - чтение, запись, выполнение и т.п.; для таблиц СУБД - вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными);
• право доступа (разрешение выполнять определенные операции над определенными объектами).