Методи розмежування доступу - інформаційна безпека

При розмежуванні за рівнем секретності виділяють кілька рівнів, наприклад: загальний доступ, конфіденційно, таємно, цілком таємно. Повноваження кожного користувача задаються відповідно до максимальним рівнем секретності, до якого він допущений. Користувач має доступ до всіх даних, які мають рівень (гриф) секретності не вище, ніж йому визначено, наприклад, користувач має доступ до даних «секретно» також має доступ до даних «конфіденційно» і «загальний доступ».

Парольне розмежування, очевидно, представляє використання методів доступу суб'єктів до об'єктів по паролю. При цьому використовуються всі методи парольного захисту. Очевидно, що постійне використання паролів створює незручності користувачам і тимчасові затримки. Тому зазначені методи використовують у виняткових ситуаціях.

На практиці зазвичай поєднують різні методи розмежування доступу. Наприклад, перші три методи посилюють пральний захистом.

Розмежування прав доступу є обов'язковим елементом захищеної інформаційної системи. Нагадаємо, що ще в «Помаранчевої книзі США» були введені поняття:

- довільне керування доступом;

- примусове управління доступом.

4.3.2 мандатної і дискретне управління доступом

У ГОСТ Р 50739-95 «Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації »та в документах Гостехкомиссии Україна визначені два види (принципу) розмежування доступу:

дискретне управління доступом;

мандатний управління доступом.

Дискретне управління доступом являє собою розмежування доступу між пойменованими суб'єктами і пойменованими об'єктами. Суб'єкт з певним правом доступу може передати це право будь-якого іншого суб'єкта. Даний вид організовується на базі методів розмежування за списками або за допомогою матриці.

Мандатний управління доступом - засновано на зіставленні міток конфіденційності інформації, що міститься в об'єктах (файли, папки, малюнки) і офіційного дозволу (допуску) суб'єкта до інформації відповідного рівня конфіденційності.

При уважному розгляді можна помітити, що дискретне управління доступом є ніщо інше, як довільне керування доступом (по «Помаранчевої книзі США»), а мандатний управління реалізує примусове управління доступом.

Висновки по темі

Визначення повноважень (сукупність прав) суб'єкта для подальшого контролю санкціонованого використання ним об'єктів інформаційної системи здійснюється після виконання ідентифікації і аутентифікації підсистема захисту.

Існують наступні методи розмежування доступу:

розмежування доступу за списками;

використання матриці встановлення повноважень;

парольне розмежування доступу.

При розмежування доступу за списками задаються відповідності: кожному користувачеві - список ресурсів і прав доступу до них або кожному ресурсу - список користувачів і їх прав доступу до цього ресурсу.

Використання матриці встановлення повноважень має на увазі застосування матриці доступу (таблиці повноважень). У зазначеній матриці рядками є ідентифікатори суб'єктів, що мають доступ до інформаційної системи, а стовпцями - об'єкти (ресурси) інформаційної системи.

При розмежуванні за рівнем секретності виділяють кілька рівнів, наприклад: загальний доступ, конфіденційно, таємно, цілком таємно. Повноваження кожного користувача задаються відповідно до максимальним рівнем секретності, до якого він допущений. Користувач має доступ до всіх даних, які мають рівень (гриф) секретності не вище, ніж йому визначено.

Парольне розмежування засноване на використанні пароля доступу суб'єктів до об'єктів.

У ГОСТ Р 50739-95 «Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації »та в документах Гостехкомиссии Україна визначені два види (принципу) розмежування доступу: дискретне управління доступом і мандатний управління доступом.

Дискретне управління доступом являє собою розмежування доступу між пойменованими суб'єктами і пойменованими об'єктами.

Мандатний управління доступом - засновано на зіставленні міток конфіденційності інформації, що міститься в об'єктах (файли, папки, малюнки) і офіційного дозволу (допуску) суб'єкта до інформації відповідного рівня конфіденційності.

Контрольні питання:

Перерахуйте відомі методи розмежування доступу.

У чому полягає розмежування доступу за списками?

Як використовується матриця розмежування доступу?

Які методи управління доступу передбачені в керівних документах Гостехкомиссии?

Поясніть механізм дискретного управління доступом?

Порівняйте дискретне і мандатний управління доступом.