Дискреционная модель разграничения доступа

Loading...

Из курса от партнера National Research University Higher School of Economics

Методы и средства защиты информации

9 оценки

National Research University Higher School of Economics

Методы и средства защиты информации

9 оценки

Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

МЕТОДЫ КОНТРОЛЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА

Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь с различными методами контроля и разграничения доступа. В частности, мы коснёмся различных моделей разграничения доступа, а также поговорим подробно об аутентификации субъектов доступа. Желаем успехов в изучении!

Разграничение доступа6:02

Дискреционная модель разграничения доступа4:40

Мандатная модель разграничения доступа4:30

Ролевая модель разграничения доступа5:20

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Первая и, пожалуй,

самая очевидная модель разграничения доступа — это дискреционная модель.

Она основывается на разграничении доступа с использованием поименованных субъектов

и объектов на основе установленных прав доступа для каждой пары.

Таким образом, дискреционное разграничение доступа основывается, по сути,

на формировании так называемой матрицы прав доступа, то есть такой формы

представления реализации дискреционного разграничения доступа в виде матрицы.

Строки и столбцы данной матрицы соответствуют субъектам и объектам,

а на пересечении этих заголовков строк и столбцов находятся права,

которые данный субъект имеет по отношению к данному объекту.

Например, только право чтения или права на чтение и запись,

либо какие-то другие наборы прав, либо в ряде случаев,

если речь идет только о возможности доступа к объекту,

просто признак наличия или отсутствия права доступа, например, единица или ноль.

В этом случае система разграничения доступа действует по следующей схеме.

Каждый из пользователей обращается к системе

разграничения доступа через сервер авторизации для того, чтобы

осуществить попытку доступа к тому или иному объекту в информационной системе.

Сервис авторизации, который, собственно, принимает решение о том,

должен ли тот или иной пользователь быть авторизован для такого действия,

обращается к базе данных, в которой хранится матрица доступа.

Эта матрица доступа, структура которой была выше описана,

содержит строку, в которой указано уникальное имя данного пользователя,

то есть его идентификатор, и в одном из столбцов — название того объекта,

к которому пользователь желает обратиться.

Если на пересечении этой строки и этого столбца находится информация о том,

что данный пользователь действительно авторизован для реализации такого доступа,

то доступ предоставляется,

в противном случае в доступе отказывается — так работает эта модель.

Данная модель имеет следующие достоинства.

В ней возможна индивидуальная настройка прав для каждого пользователя,

поскольку заполняется полная матрица соответствия субъектов и объектов.

Таким образом, в модели с двумя начальниками двух отделов можно совершенно

спокойно настроить для каждого из них нужный уровень доступа к тем или иным

файлам, относящимся к ведению их отделов,

и не предоставлять им прав на доступ к файлам других отделов,

несмотря на то, что иерархически эти пользователи более привилегированны, чем,

например, пользователи, которые имеют право к этим файлам, может быть,

в некотором роде являются их начальниками, но по роду деятельности не

должны иметь права для доступа к этим файлам, и можно такой запрет реализовать.

Для каждого объекта можно настроить права доступа,

то есть ту группу субъектов, которая будет иметь к ним доступ.

И нет никакой зависимости между сходством

в уровне секретности объектов или в должностном уровне субъектов.

Два системных администратора, например, могут иметь совершенно разный набор

прав доступа к объектам, например, на основе их опыта, на основе того, чем

конкретно они занимаются в организации, на каких, допустим, неисправностях

специализируются или на обеспечении каких сервисов они специализируются.

Не лишена данная модель и недостатков,

которыми являются следующие обстоятельства.

Во-первых, для реализации, то есть для первоначального внедрения такой модели

требуется полностью заполнить матрицу субъектов и объектов в каждой ее клеточке,

по сути, на пересечении каждого столбца и каждой строки установить конкретные права

доступа данного субъекта к данному объекту.

Из этого следует, что для добавления нового субъекта или объекта требуется

заполнить все элементы соответствующей строки или столбца матрицы доступа.

То есть если мы добавляем нового субъекта, то появляется строка,

в которой нужно прописать права его доступа ко всем существующим объектам,

а если новый объект — то, соответственно, для всех субъектов,

которые у нас описаны в данной системы, чьи идентификаторы существуют,

требуется установить их права доступа к новому объекту.

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play