Модель систем дискреционного разграничения доступа

РЕФЕРАТ

На тему:

Анализ и классификация современного рынка информационных систем, реализующих дискреционную, мандатную и ролевую политики безопасности

Уфа, 2010

Содержание

Введение                                                                                                  3

1. Общая характеристика систем, реализующих дискреционную, мандатную и ролевую политики безопасности                                              4

1.1Модель систем дискреционного разграничения доступа           4

1.2 Мандатное управление доступом                                              5

1.3 Ролевое разграничение                                                                         6

2. Сравнительный анализ различных типов систем                            7

2.1Операционные системы                                                                 7

2.2 Системы управления базами данных                                           10

2.3 Корпоративные информационные системы                                     14

Заключение                                                                                           18

Литература                                                                                            19

Введение

Как известно, сегодня достаточно большое внимание уделяется информационной безопасности. Это представляется нам оправданным, так как вопросы защиты приобретают все большее и большее значение. При этом системы безопасности стараются максимально улучшить. Все это говорит об актуальности темы нашего исследования.

 Разработчики систем безопасности, реализующих различные способы и методы противодействия угрозам информации, стараются максимально облегчить работу по администрированию безопасности. Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Разработка системы защиты информации должна реализовывать какую-либо политику безопасности. Политика безопасности представляет собой набор правил, определяющих множество допустимых действий в системе. При этом должна быть реализована полная и корректная проверка условий. Существуют специальные модели безопасности - системы, функционирующие в соответствии со строго определенным набором формализованных правил, и реализующие какую-либо политику безопасности. Мы остановимся на трех ключевых системах безопасности, Они являются наиболее эффективными и используемыми на сегодняшний день. Это модели систем дискреционного, мандатного и ролевого разграничений доступа. Кроме того, ключевым моментом нашего исследования является вопрос об информационных системах, реализующих дискреционную, мандатную и ролевую политики безопасности.

Общая характеристика систем, реализующих дискреционную, мандатную и ролевую политики безопасности.

Модель систем дискреционного разграничения доступа

Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект-объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:

· каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;

· система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

· все субъекты и объекты должны быть идентифицированы;

· права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время автоматизированные системы, в том числе и АСУВ (АСУ БС, АСУ СН), обеспечивают выполнение положений именно данной политики безопасности. К недостаткам относится статичность модели (данная политика безопасности не учитывает динамику изменений состояния AC, не накладывает ограничений на состояния системы. Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность AC. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет. В то же время имеются модели АС, реализующих дискреционную политику безопасности (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности. Однако они не являются тем механизмом, который бы позволил реализовать ясную и четкую систему защиты информации в АС, что обуславливает поиск более совершенных политик безопасности.