17294

Політика безпеки

Лекция

Информатика, кибернетика и программирование

Лекція 4. Політика безпеки Поняття політики безпеки Фундаментальним поняттям захисту інформації є політика безпеки ПБ або політика захисту. Важливість цього поняття важко переоцінити – існують ситуації коли правильно сформульована політика є чи не єдиним механізм

Украинкский

2013-06-30

103.5 KB

8 чел.

Лекція 4. Політика безпеки

Поняття політики безпеки

Фундаментальним поняттям захисту інформації є політика безпеки (ПБ) або політика захисту. Важливість цього поняття важко переоцінити – існують ситуації, коли правильно сформульована політика є чи не єдиним механізмом захисту від НСД.

З ПБ пов’язується поняття оптимальності рішень з організації та підтримки системи захисту, що приймаються. Іноді вдається досягти загально прийнятого розуміння оптимальності прийнятого рішення і навіть довести його існування. Однак, коли рішення багатоальтернативне, то загальноприйнятого розуміння оптимальності немає, а в тих випадках, коли розглядається питання про оптимальне у якомусь сенсі рішення, то його існування, частіше всього, вдається довести лише в окремих задачах.

Подібна ситуація існує і в задачах захисту інформації, оскільки неоднозначним є рішення про те, що система захищена. Крім того, система захисту – не самоціль, а має лише підпорядковане значення і має нести підпорядковану функцію в порівнянні з головною метою обчислювального процесу. Наведемо приклади.

Приклад 1. Нехай два відділи в деякій організації ведуть розробки двох проблем. Кожний з відділів користується своїми базами даних, у тому числі і для збору інформації про рішення проблем. Припустимо, що серед множин задач першого і другого відділів виявилися однакові. На жаль, звичайний офіцер служби безпеки, що дозволяє чи забороняє доступ до баз, не в змозі вирішити, що в двох базах накопичується інформація з рішення однієї і тієї ж задачі. Розглянемо різні рішення офіцера по забезпеченню безпеки інформації.

1. Якщо він дозволить доступ відділів до баз один одного, то співробітники одного з них, взявши інформацію з іншої бази чи зі своєї, анонімно, і тому безкарно, зможуть продати цю інформацію, тому що немає персональної відповідальності (неможливо установити, хто саме продав інформацію з даної бази). При цьому безкарність іноді може навіть стимулювати злочин.

2. Якщо він не дозволить доступ відділів до баз один одного, то виникає небезпека збитку через недоступність інформації (одні вирішили задачу, а інші – ні; тоді задача іншого відділу виявиться невирішеною, через що можливий великий збиток для фірми, тому що відповідну проблему могли вирішити конкуренти).

Очевидно, що в обох випадках досягається зниження однієї небезпеки за рахунок зростання іншої.

Приклад 2. Нехай у базі даних збирається інформація про здоров'я приватних осіб, яка у більшості країн вважається конфіденційною. База даних потрібна, тому що ця інформація дозволяє ефективно робити діагностику. Якщо доступ до цієї бази з точки зору захисту інформації сильно обмежений, то в такій базі не буде користі для лікарів, що ставлять діагнози, і не буде користі від самої бази. Якщо доступ відкрити, то можливий витік конфіденційної інформації, за якої по суду може бути пред'явлено великий позов. Яким повинне бути оптимальне рішення?

Результатом рішення в наведених прикладах та інших аналогічних задачах є вибір правил розподілу та збереження інформації, а також поводження з інформацією, що і називається політикою безпеки.

Під поняттям ПБ інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих із нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованої в системі комплексної системи захисту інформації.

Формування ПБ є дуже складним аналітичним важко формалізованим процесом. Існують різні типи конкретних політик, причому деякі з них припускають достатньо високий рівень формалізації. Більш того, існують точні доказові методи оцінки ПБ.

Дотримання ПБ повинно забезпечити виконання того компромісу між альтернативами, який вибрали володарі цінної інформації для її захисту. Вочевидь, що будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що приймають участь у взаємодії із інформацією, що захищається. У той же час вибір ПБ – це кінцеве вирішення проблеми: що – гарне і що – погане при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації гарна, якщо вона надійно підтримує виконання правил ПБ. Навпаки, система захисту інформації – погана, якщо вона ненадійно підтримує ПБ.

Таке вирішення проблеми захищеності інформації та проблеми побудови системи захисту дозволяє залучити точні математичні методи. Тобто доказати, що дана система в заданих умовах підтримує ПБ. У цьому суть доказового підходу до захисту інформації, який дозволяє говорити про «гарантовано захищену систему». Смисл «гарантованого захисту» у тому, що при дотриманні початкових умов завідомо виконуються усі правила ПБ. Термін «гарантований захист» вперше зустрічається в стандарті міністерства оборони США на вимоги до захищених систем («Оранжева книга»).

Помітимо відмінність ПБ від уживаного поняття НСД. Перша відмінність полягає в тому, що політика визначає як дозволені, так і недозволені доступи. Друга відмінність ПБ по своєму визначенню конструктивна, може бути основою визначення деякого автомата чи апарата для своєї реалізації.

Приклад 3. Сформулюємо просту політику безпеки в деякій установі. Ціль, що стоїть перед захистом забезпечення таємності інформації. ПБ полягає в наступному: кожен користувач використовує свої і тільки свої дані, не обмінюючись з іншими користувачами. Легко побудувати систему, що підтримує цю політику. Кожен користувач має свій персональний комп'ютер у персональній охоронюваній кімнаті, куди не допускаються крім нього сторонні особи. Легко бачити, що сформульована вище політика реалізується в цій системі. Будемо називати таку політику тривіальною розмежувальною (дискреційною) політикою.

ПБ визначається неоднозначно і, звичайно, завжди пов'язана з практичною реалізацією системи і механізмів захисту. Наприклад, ПБ у прикладі 3 може цілком змінитися, якщо в організації немає достатнього числа комп'ютерів і приміщень для підтримки цієї політики.

Побудова політики безпеки звичайно відповідає наступним крокам:

1 крок. В інформацію вноситься структура цінностей і проводиться аналіз ризику.

2 крок. Визначаються правила для будь-якого процесу користування даним видом доступу до елементів інформації, що має дану оцінку цінностей.

Однак реалізація цих кроків є складною задачею. Результатом помилкового чи бездумного визначення правил ПБ, як правило, є руйнування цінності інформації без порушення політики. Таким чином, навіть гарна система захисту може бути «прозорою» для зловмисника при поганий ПБ.

Розглянемо наступні приклади.

Приклад 4. Нехай банківські рахунки зберігаються в зашифрованому виді у файлах ЕОМ. Для зашифрування, природно, використовується блокова система шифру, що для надійності реалізована поза комп'ютером і оперується за допомогою довіреної особи. Прочитавши в книгах про гарні механізми захисту, служба безпеки банку переконана, що якщо шифр стійкий, то зазначеним способом інформація добре захищена. Дійсно, прочитати її при гарному шифрі неможливо, але службовець банку, що знає стандарти заповнення рахунків і має доступ до комп'ютера, може замінити частину шифротекста у своєму рахунку на шифротекст з рахунку багатого клієнта. Якщо формати збіглися, то рахунок такого службовця з великою імовірністю зросте. У цьому прикладі гра йде на тому, що в даній задачі небезпека для цілісності інформації значно вище небезпеки для порушення таємності, а обрана ПБ добре захищає від порушень таємності, але не орієнтована на небезпеку для цілісності.

Приклад 5. Якщо невдало вибрати ПБ, то можна показати, як користувач, що не має доступу до секретної інформації, реалізує канал витоку секретних даних про те, де в пустелі знаходиться колодязь з водою (нехай, для простоти, у розглянутій місцевості є тільки один колодязь). Отже, інформація про карту будь-якої ділянки пустелі є несекретною, але координати колодязя є секретною інформацією. Для одержання секретної інформації користувач робить послідовність запитів у базу даних, причому кожен наступний запит (можна говорити про кроки алгоритму користувача) визначається відповіддю на попередній.

1 крок. Розбивається район (для зручності прямокутник) на вертикальні смуги і робиться запит на ці ділянки в базу даних. Згідно до вибраної ПБ відповідь подається в двох формах :

  1.  відмовлення від показу карти, якщо вона секретна, так як користувачу, що не має допуску до секретної інформації, база даних, природно, не повинна її показувати;
  2.  представлення карти на екрані, якщо участок не містить колодязя.

Якщо є відмовлення в доступі, то висновок в даній смузі є колодязь.

2 крок. Розбивається смуга, де є колодязь (тобто де є відмовлення в доступі) на окремі ділянки по горизонталі і знову робиться запит в базу даних. Відмовлення знову означає, що в даній ділянці є колодязь.

У результаті обчислюються координати колодязя, причому це можна зробити з будь-якою заданою точністю (залежно від рівня дискретизації ділянок пустелі). Таким чином, ПБ дотримана, однак, відбувся витік секретної інформації.

Зрозуміло, що ПБ можна підкорегувати наступним чином: нехай будь-який користувач одержує карту за запитом, але користувач з допуском до секретної інформації одержує карту з нанесеним колодязем, а користувач без такого доступу – без колодязя. У цьому випадку канал, побудований вище, не працює і ПБ надійно захищає інформацію.

Під ПБ інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т.ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін «політика безпеки» може бути застосовано щодо організації, АС, ОС, послуги, що реалізується системою (набору функцій), і т.ін. Чим дрібніше об'єкт, відносно якого застосовується даний термін, тим конкретнішими і формальнішими стають правила. Далі для скорочення замість словосполучення «політика безпеки інформації» може використовуватись словосполучення «політика безпеки», а замість словосполучення «політика безпеки інформації, що реалізується послугою»«політика послуги» і т.ін.

ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС ПБ інформації може бути індивідуальною і може залежати від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і від багатьох інших чинників. Тим більше, одна й та ж сама АС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і ПБ інформації в такій АС буде складеною і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.

ПБ інформації, що реалізуються різними КС будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, але і в зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.

Для визначення і формалізації процесу розробки ПБ в деякій організації звичайно необхідно розробляти два комплекти документів:

1. Узагальнена політика (program-level).

2. Проблемно-орієнтована (окрема) політика (issue-specific).

Основна функція узагальненої ПБ є визначення програми ЗІ, призначення відповідальних за її виконання осіб, формулювання цілей і об’єктів захисту, а також вироблення схеми для змушування додержання розроблених правил і вказівок. Компонентами узагальненої ПБ вважаються призначення, область розповсюдження, визначення цілей ЗІ, розподіл відповідальності за виконання і методи змушування додержання правил.

Проблемно-орієнтована ПБ необхідна для виділення певних проблемних областей і визначення позицій організації у відношенні до них.

Якщо узагальнена ПБ описує глобальні аспекти ЗІ і її схему, то окремі ПБ розробляються для деяких видів діяльності й у деяких випадках для конкретних систем (наприклад, для захисту електронної кореспонденції). Таким чином, окремі ПБ стандартизують роботу і зменшують потенційний ризик, який виникає при некоректному використанні інформаційних ресурсів. Проблемно-орієнтована ПБ частково визначає керівні принципи при створенні функціональних інструкцій для співробітників організації. Формуючи окрему ПБ, виділяють наступні її компоненти: формулювання проблеми, визначення позиції організації, визначення області розповсюдження, ролей і відповідальності, а також призначення осіб для контактів по даному питанню. Частина ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу (access mediation rules).

Створення життєздатної ПБ – важлива і складна задача, яка вимагає розуміння цілей ЗІ, а також потенційної користі від її розробки. Тому необхідно розробляти структурні підходи для формування ПБ, які включали б у собі способи розподілу обов'язків, підходи для розробки узагальненої політики й окремих компонент у вигляді узгодженої політики ЗІ, а також рекомендації щодо формування на її основі наборів функціональних інструкцій. Політика ЗІ допомагає визначить стандарти, керівні інструкції і правила для всіх робітників в організації.

Таким чином, у склад будь якої СЗІ обов'язково має входити ПБ і набір апаратних і програмних компонент, використання яких регламентовано політикою, що забезпечує збереження інформації. Для більшої впевненості в надійності СЗІ, необхідна також наявність строгих доказів її повноти і коректності.

Основними етапами формального підходу до перевірки СЗІ на повноту і коректність з'являються:

  1.  визначення об'єктів і цілей захисту;
  2.  розробка політики;
  3.  доказ того, що при її додержанні інформація не компроментується відповідно до п. 1;
  4.  визначення набору функцій для підтримки політики;
  5.  доказ того, що набір функцій забезпечує додержання політики;
  6.  вибір апаратного і програмного забезпечення для реалізації функцій ЗІ.

Для формальних доказів у пунктах 3 і 5 можуть використовуватися математичні методи, якщо сама ПБ була визначена достатньо строго, можливо, у термінах деякої формальної мови. Популярні підходи до формалізації основані на станах системи або на її діях. У підході, який основується на станах, функціонування системи розглядається як послідовність станів, де стан – це набір значень множини змінних. Підхід, який основано на діях, розглядає діяльність системи у вигляді набору реакцій на події. Ці два різних підходи в деякому сенсі еквівалентні. Дії можуть бути змодельовані зміною стану, а стани можуть бути представлені класами еквівалентності послідовностей дії. Однак описані підході звичайно основуються на різних формальних теоріях. Моделювання станів у більшості випадків основане на логіці, а специфікації представляються формулами в деякій логічній системі. При моделюванні дії звичайно користуються алгеброю, а специфікаціями є об'єкти, з якими оперують алгебраїчними методами. Основою доказів, які проводяться в п. 3 і 5, як правило, є набір теорем. Однак проводити подібний аналіз для кожної системи складно і дорого. Крім того, методика проведення аналізу державних систем конфіденційна інформація. Вихід було знайдено в тому, що умови теорем, які доказують підтримку ПБ, формулюються без доказів у вигляді стандарту. Саме такій підхід вперше застосували американці в 1983 році, опублікувавши відкрито проект стандарту з ЗІ в електронних системах обробки даних («Оранжева книга»), де сформульовано вимоги гарантованої підтримки двох класів політик дискреційної та мандатної. Пізніше цей метод було застосовано в 1987 р. для опису гарантовано захищених розподілених мереж, у яких підтримуються ті ж самі політики, а в 1991 р. для опису вимог гарантовано захищених баз даних. Цей же шлях використали канадці і європейські держави, створивши свої стандарти з ЗІ. В Україні також розроблений стандарт захисту, аналогічний канадському. Приведені вище підходи до формалізації політики ЗІ дають можливість проаналізувати розроблені стандарти на повноту і коректність.

Види політик безпеки

Серед ПБ найбільш відомі дискреційна, мандатна та рольова. Перші дві досить давно відомі і досліджені, a рольова політика є недавним досягненням теорії та практики захисту інформації.

Основою дискреційної політики безпеки (ДПБ) є дискреційне управління доступом (Discretionary Access Control – DAC), яке визначається двома властивостями:

всі суб’єкти і об’єкти повинні бути однозначно ідентифіковані;

права доступу суб’єкта до об’єкта системи визначаються на основі деякого зовнішнього відносно системи правила.

Назва пункту є дословным перекладом Discretionary policy, ще одним варіантом перекладу є наступний размежувальна політика. Ця політика одна з самих розповсюджених в світі, в системах по замовченню мається на увазі саме ця політика.

ДПБ реалізується за допомогою матриці доступу (access matrix), яка фіксує множину кожного суб’єкта до доступних йому об’єктів та суб’єктів.

Існує декілька вариантів задання матриці доступу.

1. Листи можливостей (privilege list, profile): для кожного суб’єкта створюється лист (файл) усіх об’єктів, до яких він має доступ.

2. Листи контролю доступу (access control list): для кожного об’єкта створюється список усіх суб’єктів, що мають доступи до нього.

До переваг ДПБ можна віднести відносно просту реалізацію відповідних механізмів захисту. Саме цим обумовлений той факт, що більшість розповсюджених в теперешній час захищених АС забезпечують виконання положень ДПБ. Крім того, при її реалізації досягається велика економія пам’яті, оскільки матриця доступів звичайно буває дуже розрядженою.

Однак багатьох проблем захисту ця політика розв’язати не може. Наведемо найбільш суттєві вади ДПБ.

1. Одна з самих суттєвих слабостей цього класу політик – те, що вони не витримують атак за допомогою «Троянського коня». Це, зокрема, означає, що СЗІ, яка реалізує ДПБ, погано захищає від проникнення вирусів в систему і інших засобів прихованої руйнівної дії.

2. Наступна проблема ДПБ – автоматичне визначення прав. Так як об’єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб’єкта на доступ до об’єктів неможливо. Тому матриця доступу різними способами агрегується, наприклад, в якості суб’єктів залишаються тільки користувачі, а у відповідну клітину матриці вставляються формули функцій, обчислення яких визначає права доступу суб’єкта, породженого користувачем, до об’єкта. Звичайно, ці функції можуть змінюватися за часом. Зокрема, можливе вилучення прав після виконання деякої події. Можливі модифікації, які залежать від інших параметрів.

3. Ще одна з найважливішіх проблем при використанні ДПБ – це проблема контролю розповсюдження прав доступу. Найчастіше буває, що власник файла передає вміст файла іншому користувачу і той, таким чином, набуває права власника на цю інформацію. Отже, права можуть розповсюджуватися, і навіть, якщо перший власник не хотів передати доступ іншому суб’єкту до своєї інформації, то після декількох кроків передача прав може відбутися незалежно від його волі. Виникає задача про умови, за якими в такій системі деякий суб’єкт рано чи пізно отримає необхідний йому доступ.

4. При використанні ДПБ виникає питання визначення правил розповсюдження прав доступу і аналізу їх впливу на безпеку АС. В загальному випадку при використанні ДПБ органом, який її реалізує і який при санкціонуванні доступу суб’єкта до об’єкта керується деяким набором правил, стоїть задача, яку алгоритмічно неможливо роз’вязати: перевірити, призведуть його дії до порушень безпеки чи ні.

Отже, матриця доступів не є тим механізмом, який дозволив би реалізувати ясну і чітку СЗІ в АС. Більш досконалою ПБ виявилася мандатна ПБ.

Основу мандатної (повноважної) політики безпеки (МПБ) складає мандатне управління доступом (Mandatory Access Control – MAC), яке має на увазі, що:

всі суб’єкти і об’єкти повинні бути однозначно ідентифіковані;

заданий лінійно упорядкований набір міток секретності;

кожному об’єкту системи привласнена мітка секретності, яка визначає цінність інформації, що міститься в ньому – його рівень секретності в АС;

кожному суб’єкту системи привласнена мітка секретності, яка визначає рівень довіри до нього в АС – максимальне значення мітки секретності об’єктів, до яких суб’єкт має доступ; мітка секретності суб’єкта називається його рівнем доступу.

Основна мета МПБ – запобігання витоку інформації від об’єктів з високим рівнем доступу до об’єктів з низким рівнем доступу, тобто протидія виникненню в АС інформаційних каналів зверху вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінности (певним значенням мітки секретності) інформаційних об’єктів.

Цінність інформаційних об’єктів часто дуже важко визначити. Однак досвід показує, що в будь-якій АС майже завжди для будь-якої пари об’єктів Х та Y можна сказати, який з них більш цінний. Тобто можна вважати, що таким чином фактично визначається деяка однозначна функція с(Х), яка дозволяє для будь-яких об’єктів Х і Y сказати, що коли Y більш цінний об’єкт, ніж X, то c(Y)>c(X). І навпаки, в силу однозначності, якщо c(Y)>c(X), то Y  більш цінний об’єкт, ніж X. Тоді потік інформації від Х до Y дозволяється, якщо с(Х)<c(Y), і не дозволяється, якщо c(X)>c(Y).

Таким чином, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені дуже простою умовою – значенням наведеної функції. Інакше кажучи, управління потоками інформації здійснюється через контроль доступів.

MПБ в сучасних системах захисту на практиці реалізується мандатним контролем. Він реалізується на найнижчому апаратно-програмному рівні, що дозволяє досить ефективно будувати захищене середовище для механизма мандатного контроля. Пристрій мандатного контролю називають монитором звернень. Мандатний контроль ще називають обов’язковим, так як його має проходити кожне звернення суб’єкта до об’єкта, якщо вони знаходяться під захистом СЗІ. Організується він так: кожний об’єкт має мітку з інформацєю про свій рівень секретності; кожний суб’єкт також має мітку з інформацією про те, до яких об’єктів він має право доступу. Мандатний контроль порівнює мітки і приймає рішення про допуск або ні.

Найчастіше МПБ описують в термінах, поняттях і визначеннях властивостей моделі Белла-Лападула. В рамках цієї моделі доводиться важливе твердження, яке вказує на принципіальну відміну систем, що реалізують мандатний захист, від систем з дискреційним захистом: якщо початковий стан системи безпечний, і всі переходи системи з стану в стан не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний.

Наведемо ряд переваг МПБ порівняно з ДПБ.

1. Для систем, де реалізовано МПБ, є характерним більш високий ступінь надійності. Це пов’язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб’єктів системи до об’єктів, але і стан самої АС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки при практичній реалізації систем внаслідок помилок розробника.

2. Правила МПБ більш ясні і прості для розуміння розробниками і користувачами АС, що також є фактором, що позитивно впливає на рівень безпеки системи.

3. МПБ стійка до атак типу «Троянський кінь».

4. МПБ допускає можливість точного математичного доказу, що дана система в заданих умовах підтримує ПБ.

Однак МПБ має дуже серьйозні вади – вона складна для практичної реалізації і вимагає значних ресурсів обчислювальної системи. Це пов’язано з тим, що інформацйних потоків в системі величезна кількість і їх не завжди можна ідентифікувати. Саме ці вади часто заважають її практичному використанню.

МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не розв’язуються або розв’язуються частково, як побочний результат захисту секретності.

Розглянемо ще один вид ПБ – рольову ПБ. Рольову політику безпеки (РПБ) (Role Base Access Control – RBAC) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом в ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Отже, рольова модель є цілком новим типом політики, яка базується на компромісі між гнучкістю керування доступом, яка є характерною для ДПБ, і жорсткістю правил контролю доступу, яка притаманна МПБ.

В РПБ класичне поняття суб’єкт заміщується поняттями користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов’язки. Роль – це активно діюча в системі абстрактна суттєвість, з якою пов’язаний обмежений, логично зв’язаний набір повноважень, які необхідні для здійснення певної діяльності.

РПБ розповсюджена досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близкою до реального життя. Дійсно, користувачі, що працюють в системі, діють не від свого особистого імени – вони завжди здійснюють певні службові обов’язки, тобто виконують деякі ролі, які аж ніяк не пов’язані з їх особистістю.

Тому цілком логично здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють участників певного процесу обробки інформації. Такий підхід до ПБ дозволяє урахувати розділ обов’язків і повноважень між участниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов’язків. Наприклад, в реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі.

В такій ситуації РПБ дозволяє розподілити повноваження між цими ролями відповідно до їх службових обов’язків: ролі адміністратора призначаються спеціальні повноваження, які дозволять йому контролювати роботу системи і керувати її конфігурацією, роль менеджера баз даних дозволяє здійснювати керування сервером БД, а права простих користувачів обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей в системі може не відповідати кількості реальних користувачів – один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) декілька ролей, а декілька користувачів можуть користуватись однією і тою ж роллю, якщо вони виконують однакову роботу.

При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об’єктів, і, по-друге, кожному користувачу призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого виникає, що кожний користувач повинен мати тільки мінімально необхідні для виконнання своеї роботи повноваження.

В моделі РПБ визначаються наступні множини:

U - множина користувачів;

R - множина ролей;

Р – множина повноважень на доступ до об’єктів, що представляється, наприклад, у вигляді матриці прав доступу;

S – множина сеансів роботи користувачів з системою.

Для перелічених множин визначаються наступні відношення:

– відображає множину повноважень на множину ролей, встановлюючи для кожної ролі набір наданих їй повноважень;

– відображає множину користувачів на множину ролей, визначаючи для кожного користувача набір доступних йому ролей.

Правила керування доступом рольової політики безпеки визначаються наступними функціями:

user: S->U – для кожного сеанса s ця функція визначає користувача u, який здійснює цей сеанс роботи з системою: user(s)=u;

roles: S->R – для кожного сеанса s ця функція визначає набір ролей з множини R, що можуть бути одночасно доступні користувачу u в цьому сеансі: roles(s)={r | (user(s),r)};

permissions: S->P – для кожного сеанса s ця функція задає набір доступних в ньому повноважень, який визначається як сукупність повноважень всіх ролей, що приймають участь в цьому сеансі: permissions(s)={p | (p,r)}.

В якості критерію безпеки рольової моделі використовується наступне правило: система вважається безпечною, якщо будь-який користувач системи, що працює в сеансі s, може здійснити дії, які вимагають повноважень р тільки в тому випадку, коли р  permissions(s).

З формулювання критерію безпеки моделі РПБ випливає, що управління доступом здійснюється головним чином не за допомогою призначення повноважень ролям, а шляхом задання відношення UA, яке призначає ролі користувачам, і функції roles, що визначає доступний в сеансі набір ролей. Тому числені інтерпретації рольової моделі відрізняються видом функцій user, roles і permission, a також обмеженнями, що накладаються на відношення РА та UA.

Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так вона практично не гарантує безпеку за допомогою формального доказу, а тільки визначає характер обмежень, виконання яких і є крітериєм безпеки системи. Хоча такій підхід дозволяє отримати прості і зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, але позбавляє систему теоретичної доказової бази (вада). В деяких ситуаціях ця обставина утруднює використання РПБ, однак, в будь-якому разі, оперувати ролями набагато зручніше ніж суб’єктами (знову перевага), оскільки це більш відповідає розповсюдженим технологіям обробки інформації, які передбачають разподіл обов’язків і сфер відповідальності між користувачами.

Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаются користувачам, контролюється ДПБ або МПБ, що дозволяє будувати багаторівневі схеми контролю доступу.

Резюме

Під поняттям політики безпеки інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих із нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованої в системі комплексної системи захисту інформації.

Дотримання ПБ повинно забезпечити виконання того компромісу між альтернативами, який вибрали володарі цінної інформації для її захисту.

ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС ПБ інформації може бути індивідуальною і може залежати від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і від багатьох інших чинників.

Питання для самоперевірки

  1.  Яким крокам відповідає побудова політики безпеки?
  2.  Що таке узагальнена політика?
  3.  Що таке проблемно-орієнтована  політика?
  4.    Наведіть види політик безпеки.
  5.  Наведіть основні характеристики дискреційної політики безпеки.
  6.  За допомогою чого реалізується дискреційна політика безпеки?
  7.  Наведіть найбільш суттєві вади дискреційної політики безпеки.
  8.  Наведіть основні характеристики мандатної політики безпеки.
  9.  Які переваги має  мандатна політика безпеки порівняно з дискреційною політикою безпеки?


 

А также другие работы, которые могут Вас заинтересовать

42061. Изучение принципа измерения температуры при помощи термоэлектрического преобразователя 143.5 KB
  По основным характеристикам термоэлектрические преобразователи подразделяются: по назначению и эксплуатации погружные и поверхностные; по конструкции крепления ТП на месте эксплуатации с неподвижным и подвижным штуцером с фланцевым креплением; по степени от внешней среды со стороны выводов с обыкновенной или водозащищенной головкой; по степени тепловой инерционности малой до 5с средней до 60 с большой до 180 с. По конструктивному оформлению их делят на группы: показывающие КПП1; КВП1 показывающие и самопишущие с...
42063. Двойственность в линейном программировании (ЛП) 223 KB
  Цель работы изучить возможности табличного процессора MS Excel для решения двойственной задачи линейного программирования. Краткие теоретические сведения Двойственная задача ЛП Предположим что задача линейного программирования ЗЛП имеет вид: Составим другую ЗЛП число переменных которой равно числу ограничений данной задачи т. Если для второй задачи составить двойственную то получим первую задачу. сформулированные задачи составляют пару взаимно двойственных задач ЛП.
42064. Двухиндексные задачи ЛП. Транспортная задача 2.11 MB
  Решение такой задачи рассмотрим на примере оптимальной организации транспортных перевозок штучного товара из пунктов отправления складов в пункты назначения магазины. Требуется определить план перевозок количество единиц груза из пунктов i в пункты Bj так чтобы Вывезти весь груз от отправителей i Удовлетворить потребность каждого потребителя Bj Транспортные расходы были минимальными Математическая модель транспортной задачи имеет вид: требуется определить неотрицательную матрицу X удовлетворяющую условиям и доставляющую...
42065. Изучение работы измерительной цепи для измерения температуры термометром сопротивления в комплекте с нормирующим преобразователем и вторичным прибором 51.5 KB
  В процессе выполнения лабораторной работы закрепить знания по разделу Измерение температуры и Дистанционная передача сигнала измерительной информации теоретического курса Автоматизация производственных процессов Системы управления химикотехнологических процессов. Нормирующие промежуточные преобразователи предназначены для преобразования выходного сигнала первичных преобразователей не имеющих унифицированного сигнала и выходного сигнала переменного тока в унифицированный сигнал постоянного тока. Введение нормирующих...
42067. Решение задачи о назначениях 3.01 MB
  В ячейках B21:H21 находятся суммы значений соответствующих столбцов изменяемых ячеек. в B21 находится сумма ячеек B14:B20; в С21 находится сумма ячеек С14:С20; в D21 находится сумма ячеек D14:D20; в E21 находится сумма ячеек E14:E20; в F21 находится сумма ячеек F14:F20. в G21 находится сумма ячеек G14:G20; в H21 находится сумма ячеек H14:H20. В ячейках I14:I20 находятся суммы значений соответствующих строк изменяемых ячеек.
42068. Определение кратчайшего пути между вершинами ориентированного графа с циклами 2.43 MB
  Длины дуг могут определять различные характеристики: расстояние стоимость время пропускную способность и т. Определить наикратчайший путь между вершиной 1 и вершиной 7 на графе с циклами представленном на рис. Рис. Матрица транспортных расходов соответствующая данному графу представлена на рис.
42069. Изучение работы жидкостного U-образного манометра и комплекта приборов для измерения давления пневматической ветви ГСП 764 KB
  В процессе выполнения лабораторной работы закрепить знания по разделу Измерение давления и Дистанционная передача сигнала измерительной информации теоретического курса Технические измерения и приборы. Ознакомиться с принципом действия устройством преобразователя измерительного разности давления пневматического 13ДД11 в комплекте с вторичным прибором ПКР. Присоединив оба свободных конца трубки прибора к двум полостям с разными давлениями можно по разности уровней жидкости в приборе определить разность давлений.