Разграничение доступа к данным

Разграничение доступа к данным

36 Разграничение доступа к данным. Разрешения на уровне БД, таблиц, представлений, отдельных полей. Инструменты разграниченияя доступа к данным.

Базовым механизмом разграничения доступа явл-ся ролевой доступ – при настройке конфигурации в сис-ме определяются роли , позволяющие пользователям выполнять опред ф-циональные обязанности и имеющие опред права.

Кроме ролей, права могут назначаться на пользователя, группу пользователей и на подразделение оргструктуры. Приоритеты прав настраиваются, по умолчанию права пользователя имеют приоритет над правами роли, группы пользователей и подразделения.

Пользователей СУБД м. разделить на три группы: 1.Прикладные программисты — отвечают за создание прог, использующих БД. В смысле защиты данных программист м.б. как пользователем, имеющим привилегии создания объектов данных и манипулирования ими, так и пользователем, имеющим привилегии только манипулирования данными.

2. Конечные пользователи БД — работают с БД непосредственно через терминал или рабочую станцию. Конечные пользователи имеют строго ограниченный набор привилегий манипулирования данными. Этот набор м. определяться при конфигурировании интерфейса конечного пользователя и не изменяться. Политику безопасности в данном случае определяет администратор безопасности или администратор БД (если это 1 и то же должностное лицо).

3. Администраторы БД — образуют особую категорию пользователей СУБД. Они создают сами БД, осуществляют технич контроль ф-ционирования СУБД, обеспечивают необход быстродействие сис-мы. В обязанности админа входит обеспеч-е пользователям доступа к необход им данным, а также написание (или оказание помощи в определении) необход пользователю внеш представлений данных. Админ определяет правила безопасности и целостности данных.

Основные принципы контроля доступа: дискреционный и мандатный. Реш-е о санкционированности запроса на доступ принимается только при одновременном разрешении его по обоим принципам. Дискреционный принцип контроля доступа (наиболее часто встречающийся в ИС) позволяет для любого из объектов сис-мы определить права кажд пользователя и групп пользователей на выполнение операций над объектом. «-» данного принципа: при активном допуске новых сотрудников к работе с сис-мой, при изменении должности, звания и др статусов сотрудника необходимо всякий раз пересматривать его права доступа к кажд их объектов сис-мы.

Но дискреционная защита явл-ся слабой, т.к. доступ ограничивается только к именованным объектам, а не собственно к хранящимся данным. В случае реализации ИС с использованием реляционной СУБД объектом будет, напр-р, именованное отношение (т.е. таблица), а субъектом — зарегистрированный пользователь. В этом случае нельзя в полном объеме ограничить доступ только к части инфы, хранящейся в табл. Частично проблему ограничения доступа к инфе решают представления и использование хранимых процедур, кот реализуют тот или иной набор бизнес-действий.

Представление (view) — это сформированная выборка кортежей(послед-ть полей, для кот определены знач-е и тип), хранящихся в таблице (таблицах). К представлению м. обращаться так и к табл, за исключением операций модификации данных, поскольку некоторые типы представлений явл-ся немодифицируемыми. Часто в реализациях view хранится текст, описывающий запрос выборки, а не собственно выборка данных; выборка же создается динамически на момент выполнения предложения SQL, использующего view. Но разграничить доступ, напр-р, к двум док-там, кот удовлетворяют 1 и тому же усл-ю выборки, уже нельзя. Это связано с тем, что даже если ввести отдельный атрибут, кот будет хранить инфу о метке конфиденциальности док-та, то средствами SQL можно будет получить выборку данных без учета атрибута данной метки. Это значит, что либо сам сервер БД должен предоставить более высокий уровень защиты инфы, либо придется реализовать данный уровень защиты инфы с помощью жесткого ограничения операций, кот. пользователь м. выполнить посредством SQL. На некотором уровне такое разграничение м. реализовать с помощью хранимых процедур, но не полностью — в том смысле, что само ядро СУБД позволяет разорвать связь «защищаемый объект — метка конфиденциальности».

Мандатный принцип контроля доступа основан на том, что кажд объекту (док-ту или изделию) присваивается гриф секретности из упорядоченного списка уровней безопасности, а кажд субъект (пользователь) имеет уровень допуска из этого списка. Операция будет разрешена, если уровень допуска пользователя не ниже грифа секретности док-та.

Читайте также:  Добавление записи в базу данных

Допуск присваивается не только пользователям, но и их группам. При проверках вычисляется эффективный допуск — max знач-е из допуска пользователя и всех групп, в кот он входит. Мандатный принцип позволяет одновременно, путем простого изменения допуска соответствующего пользователя или группы контролировать доступ пользователя или группы к большому кол-ву объектов.

Метка объекта включает след:

1. Группа субъекта, кот внес данный объект.

2. Уровень доступа на чтение — RAL (Read Access Level).

3. Уровень доступа на запись — WAL (Write Access Level). Метка субъекта выглядит аналогично:

1. Группа, к кот. принадлежит субъект.

2. RAL-уровень субъекта, кот представляет собой max RAL-уровень доступной субъекту инфы.

3. WAL-уровень субъекта, т.е. min RAL-уровень объекта, кот м.б. создан этим субъектом.

Основные понятия

При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.

Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.

Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.

Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.

Попробуй обратиться за помощью к преподавателям

Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.

Модели разграничения доступа

Наиболее распространенные модели разграничения доступа:

  • дискреционная (избирательная) модель разграничения доступа;
  • полномочная (мандатная) модель разграничения доступа.

Дискреционная модель характеризуется следующими правилами:

  • любой объект имеет владельца;
  • владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
  • для каждого набора субъект – объект – метод право на доступ определен однозначно;
  • наличие хотя бы одного привилегированного пользователя (например, администратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.

В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.

Задай вопрос специалистам и получи
ответ уже через 15 минут!

Полномочная модель характеризуется следующими правилами:

  • каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
  • у каждого субъекта доступа есть уровень допуска.

Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.

Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.

Методы разграничения доступа

Виды методов разграничения доступа:

Разграничение доступа по спискам

Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.

Читайте также:  Защитный код нокиа 6700

Использование матрицы установления полномочий

При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы.

В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др.

Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.

Разграничение доступа по уровням секретности и категориям

Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен.

При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.

Парольное разграничение доступа

Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.

На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.

Так и не нашли ответ
на свой вопрос?

Просто напиши с чем тебе
нужна помощь

Разграничение доступа к данным: требования

Мы уже знаем, что для всестороннего описания деятельности даже небольшого предприятия нужны сотни моделей. Но если задача, решаемая с помощью моделирования, и не преследует цели всестороннего описания деятельности компании, как правило, она все равно решается путем применения отнюдь не одной-единственной модели — не зря же придумано так много разных типов этих самых моделей.

Как только число моделей бизнес-процессов, требующихся для решения задач предприятия, превышает десяток, а авторов моделей становится больше чем один, вопрос разграничения доступа авторов моделей к данным становится весьма актуальным.

Во-первых, разграничение доступа к данным снижает возможный ущерб от неумышленного их повреждения теми же авторами моделей. Это означает, что при организации работ по моделированию нужны средства, разрешающие или запрещающие определенным пользователям или группам пользователей редактировать конкретные модели.

Во-вторых, нередко данные, которые используются при моделировании, могут носить конфиденциальный характер (например, организационная структура предприятия, информационные системы, применяемые при автоматизации ключевых процессов, сведения о топологии локальной сети) и их желательно предоставлять ограниченному числу пользователей. Это означает, что нужны средства, позволяющие разрешить или запретить пользователям не только редактировать определенные модели, но и просматривать их, а в ряде случаев — и знать об их существовании.

В-третьих, при решении ряда задач могут потребоваться не все предоставляемые выбранным средством моделирования типы моделей, объектов, связей между ними, и в этом случае было бы желательно ограничить доступ пользователей к этим типам, дабы у них не возникло соблазна создать модель или объект, относящийся к не предусмотренному проектом типу — например сделать недоступными соответствующие интерфейсные элементы или элементы списков в средстве моделирования.

Разграничение доступа к данным: возможные реализации

Как учесть перечисленные выше требования? Одним из вариантов реализации первого и второго требований при использовании средств моделирования, хранящих модели в отдельных файлах, может быть применение средств разграничения доступа к файлам, предоставляемым операционной системой соответствующего файлового сервера. В этом случае средства управления доступа к моделям представляют собой средства администрирования операционной системы. Это означает следующее: либо задачи по разграничению доступа к моделям возлагаются на системного администратора, либо права администрирования соответствующих папок предоставляются кому-то из членов проектной группы. Оба организационных решения имеют свои достоинства и недостатки, однако, поскольку подавляющее большинство современных средств моделирования (включая и такой популярный в нашей стране инструмент, как Microsoft Office Visio 2007 ) по-прежнему хранит свои модели в отдельных файлах, они применяются достаточно широко.

Читайте также:  5700 Долларов в рублях

Если же средство моделирования хранит данные в серверной СУБД, задача по разграничению доступа к моделям, как правило, решается отнюдь не средствами администрирования СУБД. Причина этого заключается в следующем. С одной стороны, разграничение доступа к данным пользователей СУБД обычно осуществляется на уровне таблиц, представлений и процедур. С другой стороны, модель данных такой СУБД, какой бы подход к ее созданию ни был выбран, все же вряд ли окажется спроектированной таким образом, что для каждой модели будет создана отдельная таблица. Подобный подход к проектированию противоречит всем разумным принципам, включая принцип нормализации данных, а ведь он так популярен именно потому, что следование ему упрощает их ввод и сопровождение. Скорее всего, в гипотетической базе данных, хранящей модели, должна быть таблица со списком моделей. Разграничение доступа к моделям в этом случае означает, что разным пользователям нужны различные права на разные записи в этой таблице, а средства администрирования СУБД такой возможности не предоставляют.

Существуют различные способы решения этой задачи: от создания в базе данных представлений, зависящих от учетной записи пользователя, обращающегося к этому представлению, до реализации подобных средств защиты вне СУБД в серверах промежуточного звена. При любом способе реализации разграничения доступа к данным, выбранном разработчиками средства моделирования, ими же поставляются и соответствующие средства управления учетными записями и правами пользователей.

Примером реализации ограничения доступа к данным с помощью сервера промежуточного звена являются средства моделирования семейства ARIS компании IDS Scheer. Как мы уже упоминали в предыдущей статье данного цикла, продукты данного семейства осуществляют хранение моделей в серверной СУБД, доступной клиентским приложениям посредством обращения к серверу промежуточного звена. Средства управления учетными записями и правами пользователей встроены в сами инструменты моделирования этого семейства (рис. 1).

Рис. 1. Средства управления учетными записями в ARIS Business Architect

Для реализации третьего требования при моделировании тоже можно применять различные технологии. Так, для Microsoft Office Visio 2007 можно формировать наборы символов для конкретного проекта и рекомендовать авторам моделей использовать только их. Но намного более надежной является реализация, не предполагающая никаких рекомендаций, то есть технически ограничивающая доступ к типам моделей и объектов. Подобная возможность реализована, к примеру, во всё тех же инструментах семейства ARIS. Она заключается в создании так называемых методологических фильтров — XML-документов, содержащих допустимые списки моделей, объектов, символов и связей. Подобные фильтры создаются исходя из потребностей конкретного проекта, а затем пользователям присваиваются права на доступ к моделям с применением этих фильтров. Таким образом, пользователю при моделировании становятся доступны только типы моделей, объектов и связей, заранее определенные в фильтре, через который он "видит" модели в базе данных, с которой работает (рис. 2 и 3).

Рис. 2. Средства создания методологического фильтра в ARIS Business Architect: ограничение доступных пользователю типов моделей

Рис. 3. Средства создания методологического фильтра в ARIS Business Architect: ограничение доступных пользователю символов для выбранных типов моделей

Фильтр содержит константы — коды типов моделей, объектов, связей, символов, разрешенных к применению пользователем, который обращается к данным посредством этого фильтра. Ниже приведен фрагмент подобного фильтра:

Ссылка на основную публикацию
Adblock detector