Какие основные способы разграничения доступа применяются в компьютерных системах

Обновлено: 04.07.2024

Как разделить доступ в системе на тех, кому не мы не доверяем, и тех, кому верим как себе. Какие бывают варианты спрятать от ненужных глаз и нечистых рук самое сокровенное, читаем в этой статье.

Доступ на базу клиентов

Например, самое сокровенное из самого распространенного — клиентская база. Каждый уважающий себя руководитель беспокоится за то, чтобы конкурент не получил эту базу, еще и не дай бог со всей историй сношений, они же пожелания и предпочтения клиентов. Риск того, что уходящий менеджер прихватит с собой базу, это даже не как то ружье на стене, что стрельнет — это 100% гарантия.

Для того, чтобы усложнить эту задачу придумано множество способов, которые обязательно надо применять. Даже простейшие CRM-системы имеют некое подобие ролей доступа, которыми настраиваются так, что Иван Иванов может видеть только своих клиентов, и никак не может выгрузить их себе во внешний файл. Он, конечно, может сфотографировать на телефон карточки всех своих клиентов, но от этого уже точно, кроме угрозы перелома ног, никак не защититься. Хранение данных клиентов просто в файле Excel на сетевом диске равносильно предложению “забирайте, кто хочет”.

В индивидуальных системах существуют более хитрые способы разграничения доступа к данным. Какие существуют варианты доступа?

Без вариантов

А точнее, без ограничения доступа. Каждый может скопировать и увидеть всё содержимое. Это относится, например, ко хранению данных в файлах. Если не вырвать из системного блока все порты и дисководы, отключив предварительно Интернет, то данные уплывут.

Такой вариант используется при отсутствии каких-либо систем автоматизации на уровне развития компании сразу после перехода от печатных машинок к компьютерам.

Такой вариант допустим, когда компьютер отключен от сети, для надежности помещен в клетку Фарадея и, конечно, в нем отсутствуют дисководы. А вход в клетку делается по записи в соответствующий категорийный журнал. Наверное, все видели такое в кино про шпионов.


А если серьезно, то есть такое, в реальной жизни. Когда файл Excel лежит на сетевом диске и с ним работает много человек. Excel замечательный инструмент для бизнеса, но во-первых, не для задач работы с клиентами, во-вторых, не для обеспечения безопасного хранения. Бывает вариант, когда вместо Excel используются Google-таблицы. Более продвинутый вариант, с защитой путем определения доступа нескольких пользователей, но это уже второй вариант — “Единый доступ”.

Единый доступ

Это когда доступ ко всем данным защищен логином и паролем, или просто паролем. Это либо один логин пароль на всех, либо несколько логинов и паролей, как с Google-таблицами, но доступ одного уровня. Вариант с несколькими логинами лучше потому, что в данном случае можно отслеживать, кто именно накосячил. То есть, кто именно какие нехорошие изменения внес или что именно удалил. И если это именные доступы, то наказать виновника. К сожалению, данный вариант доступа, вне зависимости один это логин или несколько, не распределяет доступ по данным (например, менеджер работает только со своими клиентами).

Такой уровень разделения доступа часто встречается в локальных старых программах или старых самописных сайтах. Когда логин и пароль зашиты на уровне программы или системы управления сайта и изменяются путем изменения программного кода.

Разделение по данным

Это базовый, довольно распространенный способ доступа к данным. Он применяется в большинстве систем, позволяя сотрудникам получать доступ только к тем данным, которые они сами внесли в систему. Или видеть только те задачи, которые поставлены конкретно им. При этом все действия выполняются в рамках одного интерфейса, разделен только доступ на редактирование данных или открытие определенных карточек.


Этот уровень разделения доступа используется и в распространенных SaaS решениях для автоматизации, и даже в CMS (системах управления содержимым сайтов). При этом, как правило, подразумевается, что пользователь имеет доступ на всю систему, но не всё может менять.

Роли, интерфейсы и функции

Самый продвинутый вариант. Учитывая, что мы делаем индивидуальные системы, и можем делать их так, как хотим, а точнее как надо заказчику, с точки зрения доступа к данным тоже можно сделать как угодно.

Частым способом разделения доступа является подготовка отдельных интерфейсов для разных участников процесса. В некоторых случаях рационально сделать один интерфейс, как описано в разделе выше, и не переплачивать за отдельный. Но бывает так, что намного удобней и логичней сделать отдельный раздел для работы с теми же данными, но с другими ролями сотрудников. Например, система CRM для производителя оконных конструкций. При этом менеджеру надо видеть все данные по заказу. А вот замерщики имеют свой интерфейс и доступ на него, в который попадают заказы только в стадии замера. При этом они видят только адрес, имя и телефон, ну или другие необходимые только ему данные для того, чтобы выполнить свою роль. Тоже самое по доставке, достаточно видеть что везем и на какой адрес, но знать сколько это стоит и внутреннюю математику заказа специалисту по доставке видеть незачем. Сотрудники на производстве видят заказ как результаты замера и вносят только те данные, которые должны внести в систему. Им тоже незачем знать, сколько и каких заказов на стадии замера.


Такая реализация исключает множество рисков. Например, когда поступил звонок менеджеру и клиент пока думает, а ему звонят конкуренты чтобы предложить дешевле потому что один из участников процесса на производстве, имеющий доступ в систему, имеет друга в конкурентной компании, это плохо.

Функциональный подход

Это когда в системе задаются не роли-должности, а функции, выполняемые в рамках бизнес-процессов. Такая модель организации доступа еще лучше ролевой, потому что, как правило, на практике сотрудники выполняют по несколько функций, замещают друг друга на время отпусков и болезней. В случае функционального подхода выдается доступ на функцию добавления заказов, создания клиентов, обработки входящих звонков, утверждения заказа на производство и других действий в системе. А сотруднику настраивается доступ на набор функций. Это работает в сочетании с едиными интерфейсами с разными элементами. Например, карточка заказа. Если у пользователя включена функция на утверждение заказа на производство, то у него есть соответствующая кнопка. В некоторых системах мы делали с помощью такого подхода процессы согласования заказов у всех руководителей, “руководитель производства”, “коммерческий директор”, “финансовый директор” и так далее. При этом у генерального директора есть разрешение на выполнение всех функций и за любого из заместителей он может поставить утверждение. Конечно, в систему заносится кто и когда нажал одобрение, не только роль, но и данные пользователя. При данном подходе каждый пользователь в системе — отдельный человек, а не просто роль, то есть это конкретное ответственное лицо со своим ФИО.

Функции в ролях

Также существует еще более сложная организация процесса. Это когда кроме функций создается еще и справочник ролей. Создается роль Менеджер, в него включаются функции создания клиентов, создания сделок. Создается роль Старший менеджер, в него включаются также функции удаление клиентов, просмотр всех клиентов компании. А на пользователя назначается уже конкретная роль. Если делать назначение нескольких ролей, то доступ определяется наличием функций в этих ролях. Такой подход является более запутанным, более требовательным к администрированию. Например, один из пользователей ушел в отпуск, и надо дать другому только одну функцию, или вообще распределить функции сотрудника между другими сотрудниками, по одной функции на каждого. Тогда прошлый подход, где назначаются только функции, является более удобным и гибким.

Доступ на практике

На практике используется такой подход, который диктует система. Ну конечно, кроме индивидуальной разработки. Используется тот механизм защиты данных, который можно использовать или задать. К сожалению, вопросы о необходимости защиты данных другого уровня возникают когда уже и поздно.

Такие системы предназначены для реализации правил разграничения доступа субъектов к данным, сетевым устройствам создания твердых копий и обмена данными между субъектами сетей, а также для управления потоками данных в целях предотвращения записи данных на носители и др.

Для распределения полномочий субъектов по отношению к объектам используется матричная модель доступа, рассмотренная в параграфе 12.2. Разграничение может осуществляться:

При организации доступа к оборудованию существенное значение имеют идентификация и аутентификация пользователей, а также контроль и автоматическая регистрация их действий. Для опознания пользователя могут быть использованы пароли и индивидуальные идентификационные карточки, а для управления доступом к оборудованию такие простые, но эффективные меры, как отключение питания или механические замки и ключи для устройств.

Организация доступа обслуживающего персонала к устройствам информационной системы отличается от организации доступа пользователей тем, что устройство освобождается от конфиденциальной информации и отключаются все информационные связи. Техническое обслуживание и восстановление работоспособности устройств выполняются под контролем должностного лица.

По виду управления доступом системы разграничения разделяют [1]:

  • • на системы с дискреционным управлением, позволяющим контролировать доступ поименованных субъектов (пользователей) к поименованным объектам (файлам, программам и т.п.) в соответствии с матрицей доступа. Контроль доступа применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов). Кроме того, имеется возможность санкционированного изменения списка пользователей и списка защищаемых объектов, предусмотрены средства управления, ограничивающие распространение прав на доступ как для явных, так и для скрытых действий пользователя;
  • • мандатные системы. Для реализации мандатного принципа управления доступом каждому субъекту и каждому объекту назначаются классификационные метки, отражающие их уровень (уязвимости, категории секретности и т.п.) в соответствующей иерархии. Эти метки служат основой мандатного разграничения доступа:
  • – субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта,
  • – субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Обеспечивающие средства для системы разграничения доступа выполняют идентификацию и аутентификацию субъектов; регистрацию действий субъекта и его процесса; изменение полномочий субъектов и включение новых субъектов и объектов доступа; тестирование всех функций защиты информации специальными программными средствами и ряд других функций.

Учету подлежат создаваемые защищаемые файлы, каталоги, тома, области оперативной памяти и другие объекты. Для каждого события должна регистрироваться информация (субъект, дата и время, тип события и др.) с выдачей печатных документов соответствующего образца. Кроме того, может автоматически оформляться учетная карточка документа с указанием даты выдачи, учетных реквизитов, наименования, вида, шифра, кода и уровня конфиденциальности документа.

Особенности реализации системы. В системе разграничения доступа должен быть использован диспетчер, осуществляющий разграничение доступа в соответствии с заданным принципом разграничения. Разграничение доступа к информационным объектам осуществляется в соответствии с полномочиями субъектов. Основой такого разграничения является выбранная модель управления доступом, реализуемая диспетчером доступа (рис. 12.8). Диспетчер обеспечивает выполнение правил разграничения доступа субъектов к объектам доступа, которые хранятся в базе полномочий и характеристик доступа. Запрос на доступ субъекта к некоторому объекту поступает в блок управления базой и регистрации событий. Полномочия субъекта и характеристики объекта анализируются в блоке принятия решений. По результатам анализа формируется сигнал разрешения или отказа в допуске ("Допустить", "Отказать"). Если число сигналов "Отказать" превысит заданный уровень (например, 5 раз), который фиксируется блоком регистрации, то блок принятия решений выдает

Диспетчер доступа

Рис. 12.8. Диспетчер доступа

сигнал "Несанкционированный доступ". На основании этого сигнала администратор системы безопасности может заблокировать работу субъекта для выяснения причины таких нарушений.

Защита информации от утечки по техническим каналам осуществляется проведением организационных и технических мер [1].

Организационные меры.

  • • привлечение к работам по строительству, реконструкции объектов технических средств переработки информации (ТСПИ), монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации;
  • • установление контролируемой зоны вокруг объекта ТСПИ, а также организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
  • • введение ограничений (территориальных, частотных, энергетических, пространственных и временных) на режимы использования технических средств, подлежащих защите;
  • • отключение от линий связи на период закрытых мероприятий таких технических средств, как электроакустические преобразователи и т.д.

Технические меры по защите информации предусматривают применение специальных технических решений и средств, направленных на закрытие каналов утечки информации, например, путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения источников. Принимаются технические меры с использованием:

  • • пассивных средств, к которым относятся:
    • – установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа;
    • – локализация излучений путем экранирования ТСПИ и их соединительных линий;
    • – заземление ТСПИ и экранов их соединительных линий;
    • – звукоизоляция выделенных помещений;
    • – установка автономных или стабилизированных источников электропитания ТСПИ;
    • – установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров;

    Средства охраны объекта

    Объект, на котором ведется работа с конфиденциальной информацией, имеет иерархию рубежей защиты (территория – здание – помещение – носитель информации – программа – конфиденциальная информация). Система охраны объекта создается с целью предотвращения несанкционированного проникновения на территорию и в помещения объекта посторонних лиц, обслуживающего персонала и пользователей. В общем случае она включает в себя следующие основные компоненты [1]:



    Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.

    Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее – Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.

    Информационный ресурс – поименованная совокупность данных, к которой применяются методы и средства обеспечения информационной безопасности (например, разграничение доступа).
    Файловый информационный ресурс – совокупность файлов и папок, хранящихся в каталоге файловой системы (который называется корневым каталогом файлового информационного ресурса), доступ к которой разграничивается.
    Составной файловый информационный ресурс – это файловый информационный ресурс, содержащий в себе один или несколько вложенных файловых информационных ресурсов, отличающихся от данного ресурса правами доступа.
    Вложенный файловый информационный ресурс – это файловый информационный ресурс, входящий в составной информационный ресурс.
    Точка входа в файловый информационный ресурс – каталог файловой системы, к которому предоставляется сетевой доступ (shared folder) и который используется для обеспечения доступа к файловому информационному ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового информационного ресурса, но может быть и вышестоящим.
    Промежуточный каталог – каталог файловой системы, находящийся на пути от точки входа в файловый информационной ресурс к корневому каталогу файлового информационного ресурса. Если точка входа в файловый информационный ресурс является вышестоящим каталогом по отношению к корневому каталогу файлового информационного ресурса, то она также будет являться промежуточным каталогом.
    Группа доступа пользователей – локальная или доменная группа безопасности, содержащая в конечном счете учетные записи пользователей, наделенные одним из вариантов полномочий доступа к файловому информационному ресурсу.

    1. Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.
    2. Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.
    3. Явно запрещающие полномочия доступа (deny permissions) не применяются.
    4. Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone – Change).
    5. При настройке сетевого доступа к файловому информационному ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на основе доступа (Access based enumeration)».
    6. Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.
    7. Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.
    8. Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.
    9. Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо

    Доступ пользователей к файловому информационному ресурсу предоставляется путем наделения их одним из вариантов полномочий:

    • Доступ «Только на чтение (Read Only)».
    • Доступ «Чтение и запись (Read & Write)».

    Имена групп доступа пользователей формируются по шаблону:

    FILE-Имя файлового информационного ресурса–аббревиатура полномочий

    Имя файлового информационного ресурса
    должно совпадать с UNC именем ресурса или состоять из имени сервера и локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».

    Аббревиатуры полномочий:

    • RO — для варианта доступа «Только на чтение (Read Only)»
    • RW — для варианта доступа «Чтение и запись (Read & Write)».

    Пример 2
    Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:
    FILE-TERMSRV-D-UsersData-RW

    Таблица 1 – Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.

    Субъекты Права Режим наследования
    Наследование прав доступа от вышестоящих каталогов отключено
    А) Обязательные права
    Специальная учетная запись:
    «СИСТЕМА (SYSTEM)»
    		Полный доступ (Full access)
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Локальная группа безопасности:
    «Администраторы (Administrators)»
    		Полный доступ (Full access)
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.1) Полномочия «Только чтение (Read Only)»
    Группа доступа пользователей:
    «FILE-Имя ресурса-RO»
    		Базовые права:
    а) чтение и выполнение (read & execute);
    б) список содержимого папки (list folder contents);
    в) чтение (read);
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.2) Полномочия «Чтение и запись (Read & Write)»
    Группа доступа пользователей:
    «FILE-Имя ресурса-RW»
    		Базовые права:
    а) изменение (modify);
    б) чтение и выполнение (read & execute);
    в) список содержимого папки (list folder contents);
    г) чтение (read);
    д) запись (write);
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.3) Другие полномочия при их наличии
    Группа доступа пользователей:
    «FILE-Имя ресурса-аббревиатура полномочий»
    		Согласно полномочиям
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)

    Табилца 2 – Шаблон NTFS-прав доступа для промежуточных каталогов файлового информационного ресурса.
    Субъекты
    		Права
    		Режим наследования
    Наследование прав доступа от вышестоящих каталогов включено, но если данный каталог является вышестоящим по отношению к файловым информационным ресурсам и не входит ни в один другой файловый информационный ресурс, то наследование отключено
    А) Обязательные права
    Специальная учетная запись:
    «СИСТЕМА (SYSTEM)»
    		Полный доступ (Full access)
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Локальная группа безопасности:
    «Администраторы»
    		Полный доступ (Full access)
    		Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.1) Полномочия «Проход через каталог (TRAVERSE
    Группы доступа пользователей информационных ресурсов, для которых этот каталог является промежуточным
    		Дополнительные параметры безопасности:
    а) траверс папок / выполнение файлов (travers folder / execute files);
    б) содержимое папки / чтение данных (list folder / read data);
    в) чтение атрибутов (read attributes);
    в) чтение дополнительных атрибутов (read extended attributes);
    г) чтение разрешений (read permissions);
    		Только для этой папки (This folder only)

    1. Создаются группы доступа пользователей. Если сервер, на котором размещен файловый информационный ресурс, является членом домена, то создаются доменные группы. Если нет, то группы создаются локально на сервере.
    2. На корневой каталог и промежуточные каталоги файлового информационного ресурса назначаются права доступа согласно шаблонам прав доступа.
    3. В группы доступа пользователей добавляются учетные записи пользователей в соответствии с их полномочиями.
    4. При необходимости для файлового информационного ресурса создается сетевая папка (shared folder).

    В. Изменение доступа пользователя к файловому информационному ресурсу
    Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.

    Г. Блокирование доступа пользователя к файловому информационному ресурсу
    Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком.

    1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
    2. В группы доступа пользователей вложенного файлового информационного ресурса добавляются группы доступа пользователей вышестоящего составного файлового информационного ресурса.
    1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
    2. В группы доступа пользователей создаваемого информационного ресурса помещаются те учетные записи пользователей, которым требуется предоставить доступ.
    1. Организационными (или техническими, но не связанными с изменением прав доступа к каталогам файловой системы) мерами блокируется доступ пользователей к данному и всем вложенным файловым информационным ресурсам.
    2. К корневому каталогу файлового информационного ресурса назначаются новые права доступа, при этом заменяются права доступа для всех дочерних объектов (активируется наследие).
    3. Перенастраиваются права доступа для всех вложенных информационных ресурсов.
    4. Настраиваются промежуточные каталоги для данного и вложенных информационных ресурсов.

    Рассмотрим применение данного стандарта на примере гипотетической организации ООО «ИнфоКриптоСервис», где для централизованного хранения файловых информационных ресурсов выделен сервер с именем «FILESRV». Сервер работает под управлением операционной системы Microsoft Windows Server 2008 R2 и является членом домена Active Directory с FQDN именем «domain.ics» и NetBIOS именем «ICS».

    Подготовка файлового сервера
    На диске «D:» сервера «FILESRV» создаем каталог «D:\SHARE\». Этот каталог будет единой точкой входа во все файловые информационные ресурсы, размещенные на данном сервере. Организуем сетевой доступ к данной папке (используем апплет «Share and Storage Management»):




    Создание файлового информационного ресурса
    Постановка задачи.
    Пусть в составе организации ООО «ИнфоКриптоСервис» имеется Отдел разработки информационных систем в составе: начальника отдела Иванова Сергея Леонидовича (SL.Ivanov@domain.ics), специалиста Маркина Льва Борисовича (LB.Markin@domain.ics), и для них нужно организовать файловый информационный ресурс для хранения данных подразделения. Обоим работникам требуется доступ на чтение и запись к данному ресурсу.

    • «FILE-FILESRV-SHARE-Отд. разр. ИС-RO»
    • «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

    Предоставление доступа пользователю к файловому информационному ресурсу
    Постановка задачи.
    Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича (MB.Egorov@domain.ics), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.

    Решение.
    Учетную запись работника необходимо добавить в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

    Создание вложенного информационного ресурса. Расширение доступа
    Постановка задачи.
    Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего — Кругликовой Наталье Евгеньевне (NE.Kruglikova@domain.ics) — доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.

    Решение.
    Для решения данной задачи необходимо сделать вложенный ресурс «\\FILESRV\share\Отдел разработки информационных систем\Документация», доступ к которому на чтение и запись должен быть (остаться) у всех пользователей, имевших доступ к «\\FILESRV\share\Отдел разработки информационных систем\ и добавиться доступ на чтение для пользователя Кругликовой Натальи Евгеньевне (NE.Kruglikova@domain.ics)

    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO»
    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»

    Теперь, если Кругликова Наталья Евгеньевна (NE.Kruglikova@domain.ics) обратится по ссылке «\\FILESRV\share\Отдел разработки информационных систем\Документация», то она сможет попасть в интересующую ее папку, но обращаться по полному пути не всегда удобно, поэтому настроим сквозной проход к данной паке от точки входа «\\FILESRV\share\» («D:\SHARE\»). Для этого настроим права доступа на промежуточные каталоги «D:\SHARE\» и «D:\SHARE\Отдел разработки информационных систем\».

    Проведем настройку «D:\SHARE\»:

    Дамп NTFS разрешений, полученных командой cacls:
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    и «D:\SHARE\Отдел разработки информационных систем»:

    Дамп NTFS разрешений, полученных командой cacls:
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    Создание вложенного информационного ресурса. Сужение доступа
    Постановка задачи
    В целях организации резервного копирования наработок Отдела разработки информационных систем начальнику отдела Иванову Сергею Леонидовичу (SL.Ivanov@domain.ics), в рамках файлового информационного ресурса отдела, понадобилась сетевая папка «Архив», доступ к которой был бы только у него.

    Решение.
    Для решения данной задачи в файловом информационном ресурсе отдела требуется сделать вложенный ресурс «Архив» («\\FILESRV\share\Отдел разработки информационных систем\Архив»), доступ к которому предоставить только начальнику отдела.

    После успешной регистрации система должна осуществлять авторизацию ( authorization ) - предоставление субъекту прав на доступ к объекту. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права , которые были определены администратором, а также осуществляют контроль возможности выполнения пользователем различных системных функций. Система контроля базируется на общей модели, называемой матрицей доступа . Рассмотрим ее более подробно.

    Как уже говорилось в предыдущей лекции, компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования ( процессор , сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции .

    Операции зависят от объектов. Hапример, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а файлы данных могут быть записаны, прочитаны, переименованы и т. д.

    Желательно добиться того, чтобы процесс осуществлял авторизованный доступ только к тем ресурсам, которые ему нужны для выполнения его задачи. Это требование минимума привилегий, уже упомянутое в предыдущей лекции, полезно с точки зрения ограничения количества повреждений, которые процесс может нанести системе. Hапример, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ только к переменным и формальным параметрам, переданным ей, она не должна иметь возможность влиять на другие переменные процесса. Аналогично компилятор не должен оказывать влияния на произвольные файлы, а только на их хорошо определенное подмножество (исходные файлы, листинги и др.), имеющее отношение к компиляции. С другой стороны, компилятор может иметь личные файлы, используемые для оптимизационных целей, к которым процесс Р не имеет доступа.

    Различают дискреционный (избирательный) способ управления доступом и полномочный ( мандатный ).

    При дискреционном доступе , подробно рассмотренном ниже, определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, в столбцах - объекты, а в ячейках - операции , которые субъект может выполнить над объектом.

    Полномочный подход заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда это называют моделью многоуровневой безопасности, которая должна обеспечивать выполнение следующих правил.

    • Простое свойство секретности. Субъект может читать информацию только из объекта, уровень секретности которого не выше уровня секретности субъекта. Генерал читает документы лейтенанта, но не наоборот.
    • *-свойство. Субъект может записывать информацию в объекты только своего уровня или более высоких уровней секретности. Генерал не может случайно разгласить нижним чинам секретную информацию.

    Некоторые авторы утверждают [Таненбаум, 2002], что последнее требование называют *-свойством, потому что в оригинальном докладе не смогли придумать для него подходящего названия. В итоге во все последующие документы и монографии оно вошло как *-свойство.

    Отметим, что данная модель разработана для хранения секретов, но не гарантирует целостности данных. Например, здесь лейтенант имеет право писать в файлы генерала. Более подробно о реализации подобных формальных моделей рассказано в [Столлингс, 2002], [Таненбаум, 2002].

    Большинство операционных систем реализуют именно дискреционное управление доступом . Главное его достоинство - гибкость, основные недостатки - рассредоточенность управления и сложность централизованного контроля.

    Домены безопасности

    Чтобы рассмотреть схему дискреционного доступа более детально, введем концепцию домена безопасности (protection domain). Каждый домен определяет набор объектов и типов операций, которые могут производиться над каждым объектом. Возможность выполнять операции над объектом есть права доступа, каждое из которых есть упорядоченная пара <object-name, rights-set> . Домен, таким образом, есть набор прав доступа. Hапример, если домен D имеет права доступа <file F, > , это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом. Пример доменов можно увидеть на рис.16.1.


    Рис. 16.1. Специфицирование прав доступа к ресурсам

    Связь конкретных субъектов, функционирующих в операционных системах, может быть организована следующим образом.

    • Каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя.
    • Каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса.
    • Каждая процедура может быть доменом. В этом случае набор доступных объектов соответствует локальным переменным, определенным внутри процедуры. Заметим, что когда процедура выполнена, происходит смена домена.

    Рассмотрим стандартную двухрежимную модель выполнения ОС. Когда процесс выполняется в режиме системы ( kernel mode ), он может выполнять привилегированные инструкции и иметь полный контроль над компьютерной системой. С другой стороны, если процесс выполняется в пользовательском режиме, он может вызывать только непривилегированные инструкции. Следовательно, он может выполняться только внутри предопределенного пространства памяти. Наличие этих двух режимов позволяет защитить ОС (kernel domain) от пользовательских процессов (выполняющихся в user domain). В мультипрограммных системах двух доменов недостаточно, так как появляется необходимость защиты пользователей друг от друга. Поэтому требуется более тщательно разработанная схема.

    В ОС Unix домен связан с пользователем. Каждый пользователь обычно работает со своим набором объектов.

    Читайте также: