Курс лекций Защита Информации/Ролевая модель
Курс лекций Защита Информации/Текст с двух сторон В ролевой модели понятие субъект замещается понятиями пользователь и роль.
Курс лекций Защита Информации/Определение Курс лекций Защита Информации/Определение
Роль — активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности.
При использовании ролевой политики управление доступом осуществляется в две стадии:
- Для каждой роли указывается набор полномочий, представляющий набор прав доступа к объекту.
- Каждому пользователю назначается список доступных ему ролей.
Полномочия назначаются ролям в соответствии с принципом наименьших привилегий. Из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.
Ролевая модель описывает систему в виде множеств:
- — множество пользователей;
- — множество ролей;
- — множество сеансов работы пользователя с системой;
- — множество полномочий на доступ к объекту.
отображает множество полномочий на множество ролей, устанавливая для каждой роли набор присвоенных ей полномочий. отображает множество пользователей на множество ролей, определяется для каждого пользователя набор доступных ему ролей.
Правило управления доступом в ролевой политике безопасности определяется следущими функциями:
Для каждого сеанса определяет пользователя , который осуществляет этот сеанс работы с системой.
Для каждого сеанса эта функция определяет набор ролей из множества , которые могут быть одновременно доступны пользователю в этом сеансе. ,
Для каждого сеанса задает набор доступных в нем полномочий, которые определяются как совокупность полномочий всех ролей, заданных в этом сеансе. ,
Критерий безопасности в ролевой модели
правитьСистема считается безопасной, если любой пользователь системы, работающий в сеансе , может осуществлять действия, требующие полномочия , только в том случае, если
Следствие критерия
правитьУправление доступом может осуществляться, главным образом, не с помощью назначения полномочий, а путем задания отношений назначающих роли пользователя и функции , определяющую доступным в сеансе набор ролей.
Иерархическая ролевая модель
правитьЭто наиболее распространенный тип ролевой модели, в которой роли упорядочиваются по уровню предоставленных полномочий. Иерархия ролей подразумевает то, что если присвоена некоторая роль, то ему автоматически назначаются и все подчиненные ей по иерархии роли.
Частичное отношение порядка на множестве , которе определяет иерархию ролей и задает на множестве оператор доминирования
Назначают каждому набор ролей, причем вместе с каждой ролью в него включаются и все роли, подчиненные ей по иерархии.
Функция назначает каждому сеансу набор ролей их иерархии ролей пользователя, работающих в этом сеансе.
Таким образом, каждому пользователю назначается некоторое подмножество иерархии ролей, а в каждом сеансе доступна совокупность полномочий ролей, составляющих фрагмент этой иерархии. Как результат имеем уменьшение размерности роли.
Другие модели
правитьВзаимоисключающие роли
правитьМножество ролей разбирается на подмножества, объединяющие роли, которые не могут быть назначены пользователю одновременно и которое считаются несовместимыми. Таким образом, пользователю может быть назначено только по одной роли из каждого подмножетсва несовместимых ролей.
Для определения отношения несовместимости на множестве роле задается функция , которая для каждой роли определяет множество несовместимых с ней ролей.
Взаимоисключающие роли реализуют так называемое статическое разделение обязанностей, когда конфликт полномочий разрешется на стадии назначения ролей.
Динамическое распределение обязанностей
правитьОграничение на одновременное использование ролей в рамках сессии. В этом случае множество ролей также разбивается на подмножества несовместимых ролей, но отношения можно назначить пользователю любую комбинацию ролей. Однако, в ходе сеанса работы с системой пользователь может одновременно активировать не более одной роли каждого подмножества несовместимых ролей. Так как в процессе сеанса работы пользователь может переключаться между различными ролями, но должен при этом избегать конфликтов несовместимости между ними, эта политика получила название динамического распределения обязанностей. Она является более гибкой по сравнению со статичной, позволяет реализовывать более сложные схемы контроля доступа, позволяет защищаться от атаки "троянского коня". Например, пользователю можно запретить одновременно осуществлять доступ к ценной информации и запускать недоверенные программы, внесенные в систему другими пользователями.
Количественные ограничения при назначении ролей и полномочий
правитьМодель предназначена для тех случаев, когда роль может быть назначена только ограниченному числу пользователей и/или при предоставлении полномочий для ограниченного числа ролей.
Группирование ролей и полномочий
правитьРоли и полномочия, которые дополняют друг друга и назначение которых по-отдельности не имеет смысла, объединяются в группы, которые могут быть назначены только целиком. Для этого вводятся дополнительные правила, в соответствии с которыми любая роль может быть назначена пользователю только в том случае, если ему уже присвоен определенный набор ролей, а роль может быть наделена полномочиями только тогда, когда с ней уже связан определенный набор полномочий.
Ролевая политика управления доступом не гарантирует безопасность с помощью формального доказательства, а только определяет характер ограничений, соблюдение которым служит критерием безопасности. Курс лекций Защита Информации/Текст с двух сторон