пятница, 25 сентября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 7

В этой части рассмотрены следующие вопросы:
  • Техники и технологии управления доступом
  • Управление доступом на основе правил
  • Ограниченный пользовательский интерфейс
  • Матрица контроля доступа
  • Таблицы разрешений
  • Списки контроля доступа
  • Контентно-зависимое управление доступом
  • Контекстно-зависимое управление доступом


Обновлено: 22.03.2010

После того как компания решит, какой тип модели управления доступом она собирается использовать, она должна определить и усовершенствовать свои техники и технологии для поддержки этой модели. В следующих разделах описываются различные существующие технологии, поддерживающие различные модели управления доступом.


Управление доступом на основе правил (Rule-based Access Control) использует определенные правила, указывающие на то, что субъект может и что не может делать с объектом. Это основано на простых правилах (типа, «если X – то Y»), которые могут использоваться для обеспечения более детального управления доступом к ресурсам. Чтобы субъект получил доступ к объекту, должен быть выполнен набор предустановленных правил. Эти правила могут быть простыми и прямолинейными (например, «если идентификатор пользователя соответствует аналогичному идентификатору в предъявленном им цифровом сертификате, пользователю разрешается доступ»), либо может использоваться целый ряд сложных правил, которые должны быть выполнены, чтобы пользователь получил доступ к объекту (например, «если пользователь входит в систему с понедельника по пятницу и между 9:00 и 18:00, если допуск безопасности пользователя равен или превышает класс объекта, если пользователь имеет необходимую категорию «должен знать», тогда пользователю разрешается доступ»). Управление доступом на основе правил не обязательно основано на идентификации. Например, правило, что вложение в электронном сообщении не должно превышать 5МВ, действует на всех пользователей, независимо от их идентификатора. Однако это же правило можно связать с конкретными пользователями, индивидуально установив для них максимальный объем вложения, но это гораздо менее удобно и более трудоемко. Использование правил, затрагивающих всех пользователей, позволяет упростить управление доступом.

Управление доступом на основе правил позволяет разработчикам подробно описать конкретные ситуации, в которых субъект может (или не может) получить доступ к объекту, а также определить, что субъект сможет делать с объектом, получив к нему доступ. Традиционно управление доступом на основе правил используется в системах, использующих модель MAC, в качестве механизма ее реализации. Однако в настоящее время он используется и в других системах и приложениях. Примером могут быть системы контентной фильтрации, кроме того управление доступом на основе правил часто используется в межсетевых экранах и маршрутизаторах.

Ссылки по теме:

Ограниченный пользовательский интерфейс (constrained user interface) ограничивает возможности доступа пользователей к отдельным функциям, информации или отдельным системным ресурсам. Существует три основных типа ограниченных интерфейсов: меню и оболочки (shell), представления (view) баз данных и физически ограниченные интерфейсы.

При использовании ограниченного меню и оболочки пользователи видят только те команды, которые они могут использовать. Например, если администратор хочет, чтобы пользователи могли запускать только одну программу, именно одна эта программа должна отображаться в меню выбора. Это ограничивает доступную пользователям функциональность. Оболочка – это разновидность виртуальной среды системы, ее пользовательский интерфейс, командный интерпретатор. Ограниченная оболочка содержит только те команды, которые администратор хочет сделать доступными пользователям.

Часто администраторы баз данных настраивают базы данных так, чтобы пользователи не видели непосредственно поля, содержащие конфиденциальную информацию. Доступ пользователей к данным, содержащимся в базах данных, ограничивается с помощью представлений. Например, если администратор базы данных хочет, чтобы руководители видели график рабочего времени своих сотрудников, но не информацию об их заработной плате, они просто запрещают доступ к полям с информацией о заработной плате для данного типа пользователей. Аналогично, когда сотрудники бухгалтерии, занимающиеся начислением заработной платы, будут просматривать ту же базу данных, им, наоборот, должна быть доступна информация о заработной плате, но не данные о графике рабочего времени. Этот пример проиллюстрирован на рисунке 2-11.
Рисунок 2-11.Различия между представлениями базы данных и самой базой данных

Физически ограниченный интерфейс может быть реализован посредством предоставления пользователю специальной клавиатуры, имеющей ограниченный набор клавиш, или ограниченного набора экранных кнопок на сенсорном экране (примером может быть интерфейс банкомата или терминала для приема платежей).


Матрица контроля доступа (access control matrix) – это таблица субъектов и объектов, содержащая информацию о том, какие действия конкретные субъекты могут делать с конкретными объектами. В таблице 2-1 показан пример матрицы контроля доступа.
Таблица 2-1.Пример матрицы контроля доступа

Этот тип управления доступом обычно используется в качестве атрибутов в моделях DAC. Права доступа могут быть напрямую назначены субъектам (разрешения) или объектам (ACL).


Таблицы разрешений (capability tables) указывают права доступа определенного субъекта к определенным объектам. Таблицы разрешений отличаются от ACL: таблицы разрешений являются ограничением для субъектов, а ACL – для объектов. Разрешения соответствуют строке субъекта в матрице контроля доступа. В таблице 2-1 разрешениями Дианы являются: Файл 1 (Чтение и Выполнение), Файл 2 (Чтение, Запись и Выполнение) и Файл 3 (Нет доступа). Пример системы, основанной на таблицах разрешений – Kerberos. В этой среде пользователь получает билет со своей таблицей разрешений. Билет является границами доступа пользователя и указывает, к каким объектам пользователь может иметь доступ и насколько времени. Управление доступом основано на этом билете (или таблице разрешений). На рисунке 2-12 показаны различия между таблицей разрешений и ACL. Разрешения могут реализовываться в форме токена, билета или ключа. Когда субъект предоставляет свой компонент разрешений, операционная система (или приложение) просматривает права доступа и операции, описанные в нем, и разрешает субъекту выполнять только соответствующие функции. Компонент разрешений – это структура данных, содержащая уникальный идентификатор объекта и права доступа субъекта к объекту. Объектом может быть файл, массив, сегмент памяти или порт. Каждый пользователь, процесс, приложение имеет свой список разрешений.
Рисунок 2-12.Таблица разрешений ограничивает субъект, а ACL ограничивает объект

Списки контроля доступа (ACL – access control list) используются во многих операционных системах, приложениях и маршрутизаторах. Это списки субъектов, которым разрешен доступ к определенному объекту, с указанием уровня разрешенного доступа. Разграничение доступа может выполняться на уровне пользователей или на уровне групп.

ACL являются отображением значений матрицы контроля доступа на отдельный объект. Тогда как разрешения являются строкой в матрице контроля доступа, ACL соответствует столбцу в этой матрице.


В системе контентно-зависимого управления доступом (content-dependent access control) доступ к объекту определяется на основании содержимого самого объекта. Например, содержимое поля базы данных может указывать, какие пользователи могут иметь к нему доступ. Контентно-зависимая фильтрация используется в корпоративных фильтрах электронной почты, которые ищут в тексте сообщения определенные строки (например, «конфиденциально», «номер паспорта», «совершенно секретно» и другие словосочетания, которые компания считает подозрительными). Также компании используют это для контроля доступа в Интернет, аналогичным образом отслеживая в трафике определенные слова, например, с целью выявления сотрудников, играющих в азартные игры или занимающихся поиском работы.


Контекстно-зависимое управление доступом (context-dependent access control) отличается от контентно-зависимого, при контекстно-зависимом управлении доступом решение о возможности доступа принимается не на основе критичности данных, а на основе контекста собранной информации. Система, использующая контекстно-зависимое управление доступом, сначала «анализирует ситуацию», а затем принимает решение о возможности доступа. Например, ряд межсетевых экранов может принимать контекстно-зависимое решение, собрав информацию о состоянии пакета, перед тем, как пропустить его в сеть. Межсетевой экран с контролем состояния (stateful firewall) «знает» необходимые шаги для коммуникаций по определенным протоколам и проверяет, что они были соблюдены. Например, при использовании соединения TCP, отправитель отправляет пакет SYN, получатель отправляет SYN/ACK, и затем отправитель направляет пакет ACK (подтверждение). Межсетевой экран с контролем состояния понимает эти шаги и не пропускает пакеты, нарушающие эту последовательность. Если, к примеру, такой межсетевой экран получает SYN/ACK, однако перед ним не было соответствующего (в рамках этого соединения) пакета SYN, межсетевой экран понимает, что это неправильно и уничтожает этот пакет. Это пример контекстно-зависимого управления доступом – в нем межсетевой экран учитывает контекст при принятии решения о возможности доступа.
Техники управления доступом. Для поддержки модели управления доступом используются техники управления доступом.

  • Матрица контроля доступа. Таблица субъектов и объектов, которая описывает возможности их взаимодействия.
  • Список контроля доступа (ACL). Ограничивает права доступа к объекту, указывая, какие субъекты могут получить доступ к нему.
  • Таблица разрешений. Ограничивает права доступа субъекта, указывая, к каким объектам он может получить доступ.
  • Доступ на основе контента. Решения о возможности доступа принимаются на основе критичности данных, а не только на основе идентификатора субъекта.
  • Доступ на основе контекста. Решения о возможности доступа принимаются в зависимости от ситуации, а не только на основе идентификатора субъекта или критичности данных.
  • Ограниченный интерфейс. Ограничения пользовательской среды в системе, посредством чего ограничивается доступ к объектам.
  • Доступ на основе правил. Ограничивает доступ субъектов по заранее определенным правилам.

Комментариев нет: