ВУЗ:
Составители:
фигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации
числа способов экспорта/импорта данных.
Матрицу доступа, ввиду ее разреженности (большинство клеток – пустые), неразумно хранить в виде двухмерного мас-
сива. Обычно ее хранят по столбцам, т.е. для каждого объекта поддерживается список "допущенных" субъектов вместе с их
правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администра-
тору. Некоторые проблемы возникают только при удалении субъекта, когда приходится удалять его имя из всех списков
доступа; впрочем, эта операция производится нечасто.
Списки доступа – исключительно гибкое средство. С их помощью легко выполнить требование о гранулярности прав с
точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например,
чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного
управления доступом.
Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное
управление доступом. Основное достоинство произвольного управления – гибкость. К сожалению, у "произвольного" под-
хода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие
пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудни-
ка, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи. Следовательно, про-
извольность управления должна быть дополнена жестким контролем за реализацией избранной политики безопасности.
Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от дан-
ных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или
заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет
проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным
эффективный контроль согласованности.
Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого можно использовать также функцио-
нальный способ, когда матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. На-
пример, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта.
Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда
пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых
ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользо-
вателю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted
shell в ОС Unix.
Рис. 9.1. Схема модели Харрисона, Руззо и Ульмана
При принятии решения о предоставлении доступа обычно анализируется следующая информация:
1)
идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификато-
ры являются основой произвольного (или дискреционного) управления доступом;
2)
атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности – основа мандатного
управления доступом.
Непосредственное управление правами доступа осуществляется на основе одной из моделей доступа:
•
матричной модели доступа (модель Харрисона-Руззо-Ульмана);
•
многоуровневой модели доступа (модель Белла-Лападулы).
Разработка и практическая реализация различных защищенных ОС привела Харрисона, Руззо и Ульмана к построению
формальной модели защищенных систем. Схема модели Харрисона, Руззо и Ульмана (HRU-модели) приведена на рис. 9.1.
Пользователь 1
…
Пользователь L
Э В М
Защищаемые данные
Монитоp обpащений
Страницы
- « первая
- ‹ предыдущая
- …
- 82
- 83
- 84
- 85
- 86
- …
- следующая ›
- последняя »
