|
Cубъект
Объект
Доступ
Результат
Рис. 2.1. Структура модели управления доступом
Для реализации правил и целей этой модели используются технологии
управления доступом и механизмы безопасности. Среди множества моделей
безопасности можно выделить основные типы моделей: дискреционные
модели, мандатные модели, модели с ролевым разграничением доступа.
Каждая модель использует различные методы для управления доступом
субъектов к объектам, каждая имеет свои преимущества и ограничения. Надо
отметить, что эти методы не обязательно применяются отдельно друг от
друга, а могут комбинироваться для удовлетворения различных требований к
безопасности системы рис.2.2.
67
Рис.2.2. Системы контроля доступа
Контрольные вопросы
1.
Объясните понятие «политика безопасности» и «модель безопасности».
2.
Место модели безопасности при создании и исследовании защищенных
компьютерных систем.
3.
Структура модели управления доступом.
4.
Объясните схему системы контроля доступом.
2.2. Организация разграничения доступа в базы данных на основе
дискреционной модели
Дискреционные модели безопасности
- модели, основанные на
дискреционном управлении доступом (Discretionary Access Control).
Дискреционное разграничение доступа – разграничение доступа между
поименованными субъектами и поименованными объектами. Реализация
дискреционного разграничения доступа осуществляется с учетом следующих
положений:
а) каждый пользователь должен быть аутентифицирован прежде чем он
получит доступ к данным;
б) в соответствии с аутентифицирующей информацией (идентификатор
и пароль) пользователю назначается система его полномочий. Полномочие
Системы контроля доступа
Дискреционная
Мандатная
Ролевая
68
пользователя заключается в том, что он имеет право доступа только к
фиксированному набору данных и процедур их обработки. При этом никакой
запрос пользователя не должен допускать вовлечение в процесс обработки
недоступных ему данных. Совокупность аутентифицирующей информации
пользователя и полномочий его доступа к сегментам данным и функциям их
обработки образует маркер доступа, определяющий уровень допуска.
Для задания и проверки полномочий удобно субъект-объектные
отношения представлять в виде матрицы безопасности, которая изображена
на рис. 2.3. В матрице безопасности перечисляются по строкам все
пользователи, а по столбцам все фрагменты данных. На пересечениях
отмечаются допустимые операции над данными.
Пользова
тель
Таблица 1
…
Таблица M
Поле 1 Поле 2
… Поле N … Поле 1 Поле 2 … Поле N
User 1
RWCD RWCD
RW
RW
RWD
R
User 2
RWC
RWCD
RWC
R
RW
RWCD
…
User X
R
RWD
RWCD
RWD
R
RWC
Рис. 2.3. Пример матрицы безопасности
Проверка полномочий, основанная на матрице безопасности, не
гарантирует защищенность системы, так как не предоставляет средств
проверки подлинности пользователя (процесса), запрашивающего данные,
что может привести к несанкционированному доступу (рис. 2.4).
Поэтому защищенная СУБД должна предусматривать наличие в
подсистеме разграничения доступа (ПРД) проверку подлинности, которая
обеспечивает, подтверждение заявленных пользователем или процессом,
идентификаторов.
Однако, применение маркеров доступа в ПРД не позволяет
организовать разграничение доступа к данным с разной степенью
конфиденциальности.
Действительно,
если
пользователь
заявил
санкционированные полномочия доступа к данным фрагмента
L
, а в нем
содержится информация различной степени конфиденциальности, то
69
автоматически данный пользователь получает возможность работать со
всеми данными фрагмента
L
.
Матрица безопасности
Процесс
Фрагмент данных
Процесс 1
Процесс 2
NONE
RWCD
Процесс 1
Процесс 2
Фрагмент данных
1
2
Выдает себя за
И имеет возможность производить
недопустимые транзакции
Рис. 2.4. Пример несанкционированного доступа к данным
К достоинствам дискреционного разграничения доступа можно отнести
хорошую детализацию защиты и относительно простую реализацию. Но этот
вид обладает и рядом недостатков. Доступ ограничивается только к
именованным объектам, а не собственно к хранящимся данным. Так
например в случае применения реляционной СУБД объектом будет являться
таблица. В этом случае нельзя в полном объеме ограничить доступ только к
части информации, хранящейся в таблице. Кроме этого, существует
проблема троянских программ (троянских коней). Когда пользователь
вызывает какую-либо программу на компьютере, в системе инициируется
некоторая последовательность операций, зачастую скрытых от пользователя.
Эти операции обычно управляются операционной системой.
Применение средств дискреционного разграничения доступа не
позволяет решить задачу контроля за передачей информации. Это
обусловлено тем, что указанные средства не могут помешать
авторизованному
пользователю
законным
образом
получить
конфиденциальную информацию и затем сделать ее доступной для других,
неавторизованных, пользователей. Это становится возможным потому, что
70
привилегии существуют отдельно от данных (в случае реляционных СУБД -
отдельно от строк реляционных таблиц), в результате чего данные
оказываются «обезличенными» и ничто не мешает передать их кому угодно
даже средствами самой СУБД, получив доступ к таблице или представлению.
Одна из первых моделей безопасности была модель дискреционного
доступа, модель АДЕПТ-50.
В модели представлено четыре типа объектов,
относящихся к безопасности: пользователи (u), задания (j), терминалы (t) и
файлы (f), причем каждый объект описывается четырехмерным кортежем.
Do'stlaringiz bilan baham: |
