Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам - объектам. В качестве субъектов в простейшем случае понимается пользователь.
На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.
Многоуровневые (мандатные) модели
Многоуровневые
модели предполагают формализацию процедуры назначения прав доступа посредством
использования так называемых меток конфиденциальности или мандатов, назначаемых
субъектам и объектам доступа.
Так, для
субъекта доступа метки, например, могут определяться в соответствии с уровнем
допуска лица к информации, а для объекта доступа (собственно данные) -
признаками конфиденциальности информации. Признаки конфиденциальности
фиксируются в метке объекта.
Права
доступа каждого субъекта и характеристики конфиденциальности
каждого объекта отображаются в виде совокупности уровня
конфиденциальности и набора категорий конфиденциальности. Уровень
конфиденциальности может принимать одно из строго упорядоченного ряда
фиксированных значений, например: конфиденциально, секретно, для служебного
пользования, не секретно и т.п.
Основу
реализации управления доступом составляют:
1. Формальное сравнение метки субъекта, запросившего доступ,
и метки объекта, к которому запрошен доступ.
2. Принятие решений о предоставлении доступа на основе некоторых правил,
основу которых составляет противодействие снижению уровня конфиденциальности
защищаемой информации.Мандатная модель управления доступом
Существуют
требования к мандатному механизму, которые состоят в следующем:
- Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа.
- Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки(субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).
- Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
3.a)
субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем
иерархическая классификация в классификационном уровне объекта.
3.b) субъект осуществляет запись в объект, только
если классификационный уровень субъекта в иерархической классификации не больше,
чем классификационный уровень объекта в иерархической классификации.
4. Реализация мандатных ПРД должна предусматривать возможность
сопровождения, изменения классификационных уровней субъектов
и объектов специально выделенными субъектами.
Достоинства.
С помощью
многоуровневых моделей возможно существенное упрощение задачи
администрирования. Причем это касается как исходной настройки разграничительной
политики доступа (не требуется столь высокого уровня детализации задания
отношения субъект-объект), так и последующего включения в схему
администрирования новых объектов и субъектов доступа.
Самое
важное достоинство заключается в том, что пользователь не может полностью
управлять доступом к ресурсам, которые он создаёт.
Такая
система запрещает пользователю или процессу, обладающему определённым уровнем
доверия, получать доступ к информации, процессам или устройствам более
защищённого уровня.
Недостатки.
Отдельно
взятые категории одного уровня равнозначны, что приводит в большинстве случаев
к избыточности прав доступа для конкретных субъектов в пределах соответствующих
уровней.
Заключение.
Практика
показывает, что многоуровневые модели защиты находятся
гораздо ближе к потребностям реальной жизни, нежели матричные
(дискреционные) модели, и представляют собой хорошую основу для построения
автоматизированных систем разграничения доступа.Список источников:
- Щеглов А.Ю. „Защита компьютерной информации от НСД“
- Алексей Лукацкий „Почему не срабатывают модели разграничения доступа“
- Wikipedia.org
Best Real Money Casino Apps in USA 2021 - CasinoWow
ОтветитьУдалитьSlots Casino — One of 바카라 사이트 the most recognizable online herzamanindir.com/ slots games around. This game's most recent is the Playtech 🏆 Best Real Money Casino goyangfc App: SlotWolf🎁 #1 USA Casino Bonus: Risk https://septcasino.com/review/merit-casino/ Free 1등 사이트 Spins for $1,000🏆 Best Real Money Casino App: SlotsMillion