Поговорим далее о разграничении
доступа как о методе распределения прав на
доступ различных субъектов информационной системы к её же объектам.
Разграничение доступа — это система определения полномочий субъекта
в информационной системе и обеспечения их действий строго в рамках установленных
для них полномочий.
То есть система, которая, с одной стороны, определяет,
кому из субъектов разрешён допуск к тем или иным объектам,
и с другой стороны, не позволяет им превышать собственные полномочия.
Разграничение доступа, как правило, реализуется для решения следующих задач.
Во-первых, это обеспечение конфиденциальности информации путём того,
что тем субъектам, которые не входят в круг легальных пользователей той или иной
конфиденциальной информации, доступ к ней не предоставляется.
Для обеспечения целостности информации — здесь можно также добавить и
доступность информации — путём того, что пользователям, которые могут нанести вред
целостности или доступности информации, доступ к ней не предоставляется,
а также все их действия могут таким образом фиксироваться за счёт того,
что они действуют в рамках своих прав и перед этим прошли процедуру
аутентификации, то есть все действия пользователей записываются и могут,
например, быть восстановлены из резервных копий состояний информации,
которая стала жертвой каких-то не санкционированных изменений.
Разграничение доступа также позволяет обеспечивать контроль действий
пользователя за счёт того, что каждый пользователь действует строго в
рамках своих полномочий в системе и не может их никаким образом превысить.
И разумеется, разграничение доступа служит реализацией принципов
минимизации полномочий и разделения обязанностей,
то есть каждый из субъектов в системе обладает только тем набором прав,
который соответствует его должностным обязанностям, и весьма желательно,
чтобы ни к каким дополнительным ресурсам системы пользователь бы доступа не имел,
поскольку это является уязвимостью, которой может воспользоваться,
если не он сам, то, например, нарушитель, так или иначе обойдя систему
аутентификации и представившись тем или иным легальным пользователем.
Системы разграничения доступа, как правило,
оцениваются по следующим параметрам.
Трудоёмкость первоначальной настройки, то есть оформление прав всех
пользователей для того, чтобы система могла начать функционировать и корректно
предоставлять пользователям права в информационной системе.
Возможность настройки полномочий в нетипичных случаях также характеризует
качество системы разграничения доступа.
Здесь можно привести следующий пример.
Допустим, существует два отдела, в которых есть руководство.
Должны ли руководители разных отделов иметь доступ к информации,
относящейся к ведению другого отдела.
Например, должен ли бухгалтер так или иначе иметь доступ к файлу паролей,
который, разумеется, относится к ведению службы безопасности?
И наоборот, должен ли администратор безопасности информационной системы иметь
доступ к файлу с ведомостью на получение заработной платы сотрудников?
С одной стороны, у них примерно равный уровень у этих двух лиц,
они руководителя отделов, а, соответственно, информация,
о которой идёт речь, относится к более низкой,
то есть доступной как минимум кому-то из руководства отделов.
Но эти перекрёстные возможности доступа,
должны ли они быть допущены или должны ли они быть заблокированы,
зависит от решения руководства, а возможность реализации на практике
таких прав доступа зависит от того, какая система разграничения доступа избрана.
Как мы увидим чуть далее, некоторые модели позволяют такие тонкие
настройки прав пользователей, а некоторые — нет.
И ещё одно важное качество, важное свойство,
которое влияет на то, насколько система разграничения
доступа удобна или нет, это удобство добавления нового субъекта или объекта.
Под субъектом здесь подразумевается пользователь информационной системы,
а под объектом — файл или иной информационный ресурс.
Практически любая система разграничения доступа не лишена следующих уязвимостей,
просто связанных с её идеологией, не потому, что она плоха или хороша,
а потому, что это система, которая действует именно так.
Во-первых, после того, как субъект благополучно пройдёт
процедуру авторизации, то есть получит доступ к тем полномочиям, которые
предоставлены ему в системе, контроль его подлинности не осуществляется,
как правило, такая процедура проходится единожды.
Хотя в особо критичных ситуациях в критичных операциях может потребоваться
дополнительное подтверждение подлинности субъекта, и это является хорошим решением.
И наконец, система разграничения доступа сама по себе,
без поддержки другими средствами защиты информации,
никаким образом не ограничивает действия привилегированных пользователей,
то есть администраторов безопасности и тех сотрудников, например,
службы безопасности, которые производят настройку системы разграничения доступа,
которые имеют полномочия предоставлять права другим пользователям, например,
устанавливать для них пароли и подобные административные действия реализовывать.
Разграничение доступа, как правило,
строится на одном из трёх следующих принципиальных подходов.
Существуют и некие другие подходы, которые являются, например, частными случаями
описанных либо какими-то их сочетаниями, но выделяют три классические модели.
Это дискреционное разграничение доступа, мандатное разграничение доступа и ролевое
разграничение доступа, о которых мы далее и поговорим подробнее.
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
