Логічне управління доступом
З традиційної точки зору засоби управління доступомдозволяють визначати і контролювати дії, які суб'єкти (користувачі та процеси) можуть виконувати над об'єктами (інформацією та іншими комп'ютерними ресурсами).
Логічне управління доступом, на відміну від фізичного, реалізується програмними засобами.
Логічне управління доступом – це механізм доступу багатьох користувачів до інформації та інформаційних ресурсів системи, що забезпечує конфіденційність і цілісність об’єктів і, до певної міри, їх доступність шляхом заборони доступу неавторизованим користувачам.
Тема логічного управління доступом – одна з найскладніших у галузі ІБ. Оскільки, саме поняття об’єкту (а тим більше видів доступу) міняється від сервісу до сервісу.
Наприклад, для операційної системи, до об'єктів належать файли, пристрої і процеси. Стосовно файлів і пристроїв звичайно розглядаються права на читання, запис, виконання (для програмних файлів), іноді на видалення і додавання. Процеси можна створювати і знищувати. Окремим правом може бути можливість передачі повноважень доступу іншим суб’єктам (так зване право володіння).
Для систем управління реляційними базами даних об’єкт – це база даних, таблиця, процедура, що зберігається. До таблиць застосовні операції пошуку, додавання, модифікації і видалення даних, у інших об’єктів інші види доступу.
Різноманітність об’єктів і застосовних до них операцій приводить до принципової децентралізації логічного управління доступом. Кожен сервіс повинен сам вирішувати, чи дозволити конкретному суб’єкту ту або іншу операцію. Теоретично це узгоджується з сучасним об’єктно-орієнтованим підходом, на практиці ж приводить до значних труднощів. Головна проблема в тому, що до багатьох об’єктів можна дістати доступ за допомогою різних сервісів.
Аналогічна трудність виникає при експорті/імпорті даних, коли інформація про права доступу, як правило, втрачається (оскільки на новому сервісі вона не має сенсу). Отже, обмін даними між різними сервісами є особливо небезпечним з погляду управління доступом, а при проектуванні і реалізації різнорідної конфігурації необхідно потурбуватися про узгоджений розподіл прав доступу суб’єктів до об’єктів і про мінімізацію кількості способів експорту/імпорту даних.
При ухваленні рішення про надання доступу звичайно аналізується така інформація:
ідентифікатор суб’єкта(ідентифікатор користувача, мережева адреса комп'ютера і т.п.). Подібні ідентифікатори є основою довільного (або дискреційного) управління доступом;
атрибути суб’єкта(мітка безпеки, група користувача і т.п.). Мітки безпеки – основа примусового (мандатного) управління доступом.
Розрізняють довільне та примусове управління доступом.
Переважну більшість операційних систем і систем управління базами даних реалізують саме довільне управління доступом. Основна перевага довільного управління – гнучкість. Взагалі кажучи, для кожної пари “суб’єкт-об’єкт” можна незалежно задавати права доступу.
Недоліки довільного управління доступом такі:
розосередженість управління доступом веде до того, що довіреними повинні бути багато різноманітних користувачів. Через неуважність або некомпетентність співробітника, який володіє секретною інформацією, її можуть дізнатися решта користувачів. Отже, довільність управління повинна бути доповнена жорстким контролем за реалізацією вибраної політики безпеки.
права доступу існують окремо від даних. Ніщо не заважає користувачу, що має доступ до секретної інформації, записати її в доступний всім файл. Подібна “роздільність” прав і даних істотно ускладнює проведення декількома системами узгодженої політики безпеки і робить практично неможливим ефективний контроль.
При примусовому управлінні доступомзастосовується порівняння міток безпеки суб’єкта та об’єкта.
Зручною надбудовою над засобами логічного управління доступом є обмежуючий інтерфейс, коли користувача позбавляють самої можливості спробувати зробити несанкціоновані дії, включивши до списку видимих йому об’єктів тільки ті, до яких він має доступ. Подібний підхід звичайно реалізують в рамках системи меню (користувачу показують лише допустимі варіанти вибору) або за допомогою обмежуючих оболонок, таких як restricted shell в ОС Unix.
Логічне управління доступом важливе не тільки на рівні операційної системи, але і в рамках інших сервісів, що входять до складу сучасних додатків, а також, наскільки це можливо, на “стиках” між сервісами. Тут на перший план виходить існування єдиної політики безпеки організації, та кваліфіковане і узгоджене системне адміністрування.
Для великої кількості користувачів традиційні підсистеми управління доступом стають дуже складними для адміністрування. Кількість зв’язків в них пропорційно добутку кількості користувачів на кількість об’єктів.
Для зменшення цієї складності використовують ролеве управління доступом. Суть його полягає в тому, що вводиться поняття ролі, яка пов’язує користувачів і їх привілеї. Для кожного користувача одночасно можуть бути активними декілька ролей, кожна з яких дає йому певні права.
Ролевий доступ нейтральний стосовно конкретних видів прав і способів їх перевірки. Він дозволяє зробити підсистему розмежування доступу керованою скільки завгодно великої кількості користувачів, за рахунок встановлення між ролями зв’язків, аналогічних спадкоємству в об’єктно-орієнтованих системах. Крім того, ролей повинно бути значно менше, ніж користувачів. Як результат кількість зв’язків, що адмініструються, стає пропорційним сумі (а не добутку) кількості користувачів і об’єктів, що за порядком величини зменшити вже неможливо.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту