Ролевые политики безопасности

Ролевую политику безопасности (контроль доступа, базирующийся на ролях – RBAC) нельзя отнести ни к дискреционным, ни к мандатным политикам, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.

В ролевой модели классическое понятие «субъект» замещается понятиями пользователь и роль. Под пользователем понимается человек, работающий с системой и выполняющий определенные служебные обязанности. Под ролью понимается активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности.

Ролевая политика безопасности очень близка к реальной жизни, так как работающие в компьютерной системе пользователи зачастую действуют не от своего личного имени, а осуществляют определенные служебные обязанности, то есть выполняют некоторые роли, которые никак не связаны с их личностью. Использование ролевой политики безопасности позволяет учесть разделение обязанностей и полномочий между участниками прикладного информационного процесса, так как с точки зрения данной политики имеет значение не личность пользователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам, и, во-вторых, каждому пользователю назначается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.

Формализация ролевой модели осуществляется в рамках следующих множеств (см. рис. 5):

U – множество пользователей компьютерной системы.

R – множество ролей.

P – множество полномочий на доступ к объектам, представленное, например, в виде матрицы прав доступа.

S – множество сеансов работы пользователей с компьютерной системой.

Рис. 5. Принцип работы ролевой политики безопасности

Как видно из данного рисунка… (можно дать студентам возможность самим прокомментировать рисунок)

Лекция №4 Политики безопасности контроля целостности информационных ресурсов

При контроле доступа к информации, гарантирующем невозможность нарушения ее целостности, требуется пересмотр правил и требований ранее рассмотренных политик безопасности, гарантирующих невозможность нарушения конфиденциальности информации. Для контроля целостности информационных ресурсов в настоящее время наибольшее распространение получила политика безопасности Биба.

Модель контроля целостности Биба является мандатной моделью, в которой вместо множества уровней безопасности A рассматривают множество уровней целостности информации, элементы которого также упорядочены с помощью установленного отношения доминирования. В качестве такого множества A можно, например, использовать следующее: A={не целостный, немного целостный, довольно целостный, совершенно целостный} (По мере перечисления попросить студентов отгадывать очередной уровень целостности. Они, как правило, этому радуются. Последнему студенту, который отгадает уровень «совершенно целостный», подарить «галочку» за гениальную догадку совершенно целостного уровня целостности). Семантическая интерпретация этих уровней целостностей может быть выполнена следующим образом: не целостный – целостность объекта ничем не контролируется, немного целостный – целостность объекта контролируется путем расчета нестойкой контрольной суммы, довольно целостный – целостность объекта контролируется путем расчета стойкой контрольной суммы (например, с помощью стойкой функции хэширования), совершенно целостный – целостность объекта обеспечивается с помощью электронной цифровой подписи.

Модель Биба выражается таким же способом, что и модель Белла-ЛаПадулы, за тем исключением, что правила данной модели являются полной противоположностью правилам БЛМ. При рассмотрении моделей контроля целостности запись наверх может представлять угрозу в том случае, если субъект с низким уровнем целостности искажает или уничтожает данные в объекте, лежащем на более высоком уровне целостности. Поэтому, исходя из задач обеспечения целостности обрабатываемой информации, нужно потребовать, чтобы такая запись была запрещена. Следуя подобным аргументам, можно рассматривать чтение снизу как поток информации, идущий из объекта нижнего уровня целостности и нарушающий целостность субъекта высокого уровня, поэтому и такое чтение необходимо запретить.

Наиболее распространены три вариации модели Биба: мандатная модель, модель понижения уровня субъекта и модель понижения уровня объекта.

Мандатную модель целостности Биба часто называют инверсией БЛМ: правила этой модели переворачивают правила БЛМ. Контроль доступа субъектов к объектам компьютерной системы в зависимости от уровней целостности субъектов и объектов осуществляется на основании следующих правил:

1. Правило NRD (нет чтения снизу). Согласно данному правилу субъект с уровнем целостности может читать информацию из объекта с уровнем целостности тогда и только тогда, когда . Формально данное правило можно записать как .

2. Правило NWU (нет записи вверх). Согласно данному правилу субъект с уровнем целостности может записывать информацию в объект с уровнем целостности тогда и только тогда, когда . Формально данное правило можно записать как .

Демонстрация работы данных правил представлена на рис. 6.

Рис. 6. Демонстрация правил мандатной политики безопасности Биба

В качестве практической демонстрации работы мандатной модели Биба можно привести следующий пример.

Пример 3. (в интерактивном режиме: два студента – два главных редактора каких-либо изданий, два веселых друга…)

Любому печатному изданию (журналы, газеты и т.п.) можно присвоить негласный уровень контроля достоверности публикуемой информации, характеризующий то, насколько хорошо проверяется достоверность публикуемой в издании информации перед ее печатью. В данном случае множество уровней контроля достоверности может быть определено следующим образом: A={желтая пресса, нестрогий контроль, строгий контроль, совершенно строгий контроль}. Перепечатка информации из одного издания в другое может восприниматься как чтение и запись данной информации. В этом случае, перепечатка информации должна подчиняться правилам мандатной политики безопасности Биба – информация из желтой прессы не может быть напрямую перепечатана в печатном издании с совершенно строгим контролем публикуемой информации без прохождения дополнительных проверок на достоверность. Обратное абсолютно допустимо.

Модель понижения уровня субъекта заключается в небольшом ослаблении правила чтения снизу. В данной модели субъекту разрешается осуществлять чтение снизу, но в результате такого чтения уровень целостности субъекта понижается до уровня целостности объекта. Мотивом для введения такого правила может являться то, что субъекты с высокой целостностью рассматриваются как «чистые». Когда к чистому субъекту попадает информация из менее чистого источника, субъект «портится», и его уровень целостности должен быть соответственно изменен.

Модель понижения уровня объекта ослабляет правило для записи наверх. В данной модели субъекту разрешается записывать информацию наверх, но при этом снижается уровень целостности объекта до уровня целостности субъекта, осуществлявшего запись. Мотивы для такого правила те же, что и в модели понижения уровня субъекта.