Учебно-методический комплекс теоретические основы компьютерной безопасности

Индивидуально-групповое разграничение доступа

Download 6,35 Mb.

bet	47/83
Sana	13.12.2022
Hajmi	6,35 Mb.
	#884776
Turi	Учебное пособие

1 ... 43 44 45 46 47 48 49 50 ... 83

Bog'liq
ТОКБ книга

2.4.3. Индивидуально-групповое разграничение доступа

Технологии рабочих групп пользователей, лежащие в основе систем индивидуально-группового разграничения доступа, представляют упрощенную, но наиболее широко применяемую разновидность ролевой политики разграничения доступа.
Основные положения модели индивидуально-группового разграничения доступа сводятся к следующему.

КС представляется совокупностью следующих наборов сущностей:
- множества объектов доступа O (o₁, o₂,…, o_M) ;
- множества пользователей U (u₁, u₂,…, u_N);
- множества рабочих групп пользователей G (g₁, g₂,…, g_K);
- множества прав доступа и привилегий¹ R (r₁, r₂,…, r_J) ;
- матрицей доступа A размерностью ((N +K) x M), каждая ячейка которой специфицирует права доступа и привилегии пользователей или их рабочих групп к объектам из конечного набора прав доступа и привилегий R (r₁, r₂,…, r_J), т. е. A[u, o] ⊆ R , A[g, o] ⊆

R.
Определение 2.4.2. Рабочей группой называется совокупность пользователей КС, объединенных едиными правами доступа к объектам и (или) едиными привилегиями (полномочиями) выполнения определенных процедур обработки данных.
Нетрудно видеть, что рабочая группа представляет упрощенный аналог некоторой роли, которая формируется "снизу", т. е. на основе агрегирования в одну общую сущность пользователей, потребности в доступе которых к объектам системы подобны или близки. С учетом того, что полное совпадение потребностей пользователей в правах доступа к объектам системы в большинстве случаев маловероятно, у пользователей сохраняются и индивидуальные права доступа, которые не охватываются правами рабочей группы.

Групповые отношения в системе устанавливаются отображением множества пользователей на множество рабочих групп:

F_UG: U x G – такое, что одна рабочая группа объединяет нескольких пользователей, а один пользователь может входить в несколько рабочих групп.
Выражаясь языком моделей организации данных, можно отметить, что между сущностями "Рабочие группы" и сущностями "Пользователи" устанавливаются связи "Многие-ко-Многим". Данное обстоятельство обусловлено тем, что если рабочие группы рассматривать как агрегирование полномочий для выполнения пользователями определенных функциональных задач (обязанностей), то в реальных ситуациях один пользователь последовательно или на постоянной основе может выполнять сразу несколько задач (обязанностей), и ему тем самым необходимы права сразу нескольких рабочих групп. С другой стороны, сходные задачи могут решаться сразу несколькими пользователями, и, отсюда, одна рабочая группа объединяет нескольких пользователей¹.
Заметим также, что отношение F_UG обеспечивает второй этап организации ролевого разграничения доступа. При этом, однако, в отличие от классической ролевой политики, в технологии рабочих групп разделение процесса функционирования системы на сеансы не является принципиальным, ввиду того, что пользователь, входя в систему, всегда приобретает помимо своих индивидуальных прав одновременно и права доступа всех рабочих групп, в которые он включен по отношению F_UG.

Функционирование системы индивидуально-группового разграничения доступа основывается на введении и использовании следующих функций:

Download 6,35 Mb.

Do'stlaringiz bilan baham:

1 ... 43 44 45 46 47 48 49 50 ... 83