Основные способы неявного задания матрицы доступа
Списки управления доступом к объекту
В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.
Такое представление матрицы доступа получило название "списка управления доступом" (access control list - ACL). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS).
Достоинства:
• экономия памяти, так как матрица доступа обычно сильно разрежена;
• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;
Недостатки:
• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;
• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.
Списки полномочий субъектов
В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.
Такое представление матрицы доступа называется "профилем" ( profile) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare .
В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.
Достоинства:
• экономия памяти, так как матрица доступа обычно сильно разрежена;
• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
• Недостатки:
• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;
• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;
• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.
Атрибутные схемы
Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX .
Основными достоинствами этих схем являются:
• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;
• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;
• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;
• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.
Недостатки:
• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;
• затруднено задание прав доступа конкретного субъекта к конкретному объекту.
Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе, тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:
• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• оставление программы резидентно в памяти;
• попытка открытия файла недоступного для чтения;
• попытка открытия на запись файла недоступного для записи;
• попытка удаления файла недоступного для модификации;
• попытка изменения атрибутов файла недоступного для модификации;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• вывод на устройства печати документов с грифом (при полномочном управлении доступом);
• нарушение целостности программ и данных системы защиты и др.
В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации. Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создает дополнительные сложности в администрировании системы зашиты.
Заключение – до 5 мин.
Методические рекомендации:
- обобщить наиболее важные, существенные вопросы лекции;
- сформулировать общие выводы;
- поставить задачи для самостоятельной работы;
- ответить на вопросы студентов.
Контрольные вопросы
1. Каким требованиям должен отвечать удовлетворительный механизм сетевой аутентификации?
2. В чем заключается метод запрос-ответ? Какие существуют реализации этого метода?
3. Как осуществляется аутентификация в протоколе SMB? Какие существуют реализации этой аутентификации?
4. Какие основные механизмы реализации разграничения доступа используются при осуществлении авторизации пользователей?
5. Какие существуют основные способы неявного задания матрицы доступа? Опишите кратко каждый из них.
Лекция разработана «___»________2011 г.
_______________________(___________)
(подпись, фамилия и инициалы автора)