3. Модели доступа

Механизмы управления доступом являются основой защиты ресурсов информационной системы, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам  объектам. В качестве субъектов в простейшем случае понимается пользователь. На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.

Давайте рассмотрим наиболее популярные, практически реализованные в информационных системах модели управления доступом [11, 12]:

Рис. 19. Модели управления доступом

Виды прав доступа

Права доступа определяются по отношению к трём типам действий: чтение (r), запись (w) и исполнение (x). Эти права доступа могут быть предоставлены трём классам пользователей:

• владельцу файла (пользователю);

• группе, к которой принадлежит владелец;

• всем остальным пользователям, не входящим в эту группу.

Право на чтение даёт пользователю возможность читать содержимое файла или, если такой доступ разрешён к каталогам, просматривать содержимое каталога. Право на запись даёт пользователю возможность записывать или изменять файл, а право на запись для каталога – возможность создавать новые файлы или удалять файлы из этого каталога. Наконец, право на исполнение позволяет пользователю запускать файл как программу или сценарий командной оболочки (разумеется, это действие имеет смысл лишь в том случае, если файл является программой или сценарием). Для каталогов право на исполнение имеет особый смысл – оно позволяет сделать данный каталог текущим, т. е. перейти в него.

3.1. Дискреционное управление доступом

Дискреционное (Избирательное) управление доступом (англ. Discretionary access control, DAC) – управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

Схема дискреционной модели управления доступом:

• Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется.

• Субъект «Пользователь № 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.

Для каждой пары (субъект – объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту).

Рассмотрим пример настройки матрицы доступа при организации дискреционной модели управления к объектам файловой системы.

	Об. А	Об. Б	Об. В	Об. Г	Об. Д
Суб. 1	r w x	r w x	r w x	r w x	r w x
Суб. 2	r w x	r w x	r w x	r w x	r w x
Суб. 3	r w x	r w x	r w x	r w x	r w x
Суб. 4	r w x	r w x	r w x	r w x	r w x
Суб. 5	r w x	r w x	r w x	r w x	r w x

Где: Суб. – субъект, пользователь;

Об. – объект, защищаемый ресурс;

r w x – права доступа субъекта к объекту (read (r) читать, write (w) писать, execute (x) исполнять).

Рис. 20. Матрица доступа

Возможны несколько подходов к построению дискреционного управления доступом:

• Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту.

• Система имеет одного выделенного субъекта – администратора, который имеет право устанавливать права владения для всех остальных субъектов системы.

• Субъект с определенным правом доступа может передать это право любому другому субъекту.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и администратор, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT (Windows 2000/XP/Vista/7 и т.д.).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.