Общие сведения по разграничению доступа к компьютерным ресурсам

Автор: Администратор
Дата публикации: 14 июля 2012 года
Раздел: Защита от взлома
разграничение доступа

После идентификации и аутентификации пользователя при функционировании компьютерной системы система защиты должна постоянно контролировать правомерность его доступа к компьютерным ресурсам. Для этого при попытке доступа любого пользователя к какому-либо ресурсу система защиты должна проанализировать полномочия этого пользователя, находящиеся в своей базе данных, и разрешить доступ только в случае соответствия запроса на доступ пользовательским полномочиям. Для определения идентификатора пользователя, пытающегося осуществить доступ к ресурсу, каждой запущенной программе присваивается маркер, включающий идентификатор пользователя, который ее запустил.

Процесс определения полномочий пользователей и контроля правомерности их доступа к компьютерным ресурсам называют разграничение доступа или управлением доступом, а подсистему защиты, выполняющую эти функции - подсистемой разграничения доступа или управления доступом к компьютерным ресурсам.

Средства разграничения доступа позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Логическое управление доступом, реализуемое после идентификации и аутентификации пользователей, - это один из основных способов, призванный обеспечить конфиденциальность, целостность и подлинность информационных объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей.

Формальная постановка задачи по разграничению доступа к компьютерным ресурсам формулируется следующим образом. Имеется совокупность субъектов, в качестве которых выступают пользователи и процессы, а также набор объектов – информационных и других компьютерных ресурсов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, которое может зависеть от некоторых дополнительных условий, и контролировать выполнение установленного порядка.

Подсистема разграничения доступа к компьютерным ресурсам реализует концепцию единого диспетчера доступа, являющегося посредником при всех обращениях субъектов к объектам.

Диспетчер доступа должен выполнять следующие функции:

  • проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты (правил разграничения доступа);
  • при необходимости регистрировать факт доступа и его параметры в системном журнале регистрации.

Основными требованиями к реализации диспетчера доступа являются:

  • требование полноты контролируемых операций, согласно которому проверке должны подвергаться все операции всех субъектов над всеми объектами системы (обход диспетчера предполагается невозможным);
  • требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;
  • требование формальной проверки правильности функционирования;
  • минимизация используемых диспетчером ресурсов.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д. Тем не менее, можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие методы хранения матрицы доступа. При принятии решения о предоставлении доступа обычно анализируется следующая информация:

  • Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Анализ подобных идентификаторов выполняется при произвольном управлении доступом;
  • Атрибуты субъекта (группа пользователя, метка безопасности и т.п.). Метки безопасности - основа принудительного управления доступом. Сегодня все большее распространение в системах управления базами данных получает понятие роли. В самом общем виде роль можно трактовать как атрибут, который субъект может получить, пройдя процедуру дополнительной аутентификации. На практике роли ассоциируют с приложениями, например ввод данных о зарплате или генерация годового отчета, и защищают разделяемыми - общими для нескольких субъектов паролями. Последнее обстоятельство снижает реальную ценность роли как механизма безопасности;
  • Место действия (системная консоль, надежный узел сети и т.п.);
  • Время действия (большинство действий целесообразно разрешать только в рабочее время);
  • Внутренние ограничения сервиса (например, число пользователей, которые могут осуществлять одновременный доступ).

Если при попытке доступа пользователя к компьютерным ресурсам подсистема разграничения доступа определяет факт несоответствия запроса на доступ пользовательским полномочиям, то доступ блокируется, и могут предусматриваться следующие санкции за попытку несанкционированного доступа:

  • предупреждение пользователя;
  • отключение пользователя от вычислительной системы на некоторое время;
  • полное отключение пользователя от системы до проведения административной проверки;
  • подача сигнала службе безопасности о попытке несанкционированного доступа с отключением пользователя от системы;
  • регистрация попытки несанкционированного доступа.

Регистрация всех попыток несанкционированного доступа позволяет реализовать принцип подотчетности, в соответствие с которым для каждой такой попытки может быть определен вызвавший ее пользователь.

В самом общем виде работа средств управления доступом основана на проверке сведений из базы данных защиты, хранящей информацию о правах доступа субъектов системы к объектам. Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированного пользователя (администратора безопасности) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:

  • добавления и удаления объектов и субъектов;
  • просмотра и изменения соответствующих прав доступа субъектов к объектам.

Информация о полномочиях пользователей по использованию компьютерных ресурсов вносится в базу данных системы защиты администратором службы безопасности при регистрации этого пользователя после задания для него уникального идентификатора. Полномочия пользователя включают следующие элементы данных:

  • список ресурсов, к которым доступ пользователю разрешен;
  • права по доступу к каждому ресурсу из списка.

В качестве ресурсов, полномочия на которые определяются в базе данных защиты, могут выступать любые компьютерные ресурсы, а именно:

  • сервисы (сервис печати, почтовый сервис, Web-сервис и др.);
  • внешняя память (файлы, каталоги, логические диски и др.);
  • информация, разграниченная по категориям в базах данных;
  • оперативная память;
  • время процессора или приоритет по использованию его времени;
  • порты ввода-вывода;
  • внешние устройства, например, принтеры.

Различают следующие виды прав пользователей по доступу к конкретному ресурсу:

  • всеобщее право, когда ресурс полностью предоставляется в распоряжение пользователя (например, полное предоставление накопителя для гибких дискет);
  • функциональное или частичное право, когда в распоряжение пользователя предоставляются только отдельные функции или части запрашиваемого ресурса (например, предоставление одного из логических дисков винчестера);
  • временное право, когда ресурс предоставляется на некоторое время либо его функции или размер зависят от времени, например, времени суток, дня недели или месяца.

Кроме того, отдельным пользователям могут предоставляться полномочия по управлению и установлению полномочий других пользователей.

В базе защиты могут быть определены также ограничения на пользовательские полномочия, например, зависимость полномочий от территориального расположения или вида узла сети в распределенной компьютерной системе.

Форма представления базы данных защиты может быть различной и зависит от используемой политики и применяемых средств разграничения доступа.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42