С.Н.Симоненко
Обзор дискреционных механизмов управления
доступом
применительно к информационным системам[1]
Введение
Защита
информационных систем - непростая задача, и в особенности это относится к
защите данных. Технологии безопасности всегда отставали от других областей,
таких как сетевые и коммуникационные средства. Многие модели, предложенные еще
в середине - конце 80-х годов (например, поддержка различных уровней защиты
данных, хранящихся в одной базе данных), только сейчас начинают внедряться в коммерческие
продукты.
В статье [Бубнов Р.В] были рассмотрены
основные принципы обеспечения информационной безопасности применительно к
интегрированной информационной системы (ИИС) ВУЗа. Её целью являлось ознакомление
читателей с особенностями подобных систем для поддержки управления ВУЗом с
точки зрения их информационного наполнения и архитектуры и особенностями
администрирования. Также были приведены практические рекомендации по
формированию и поддержанию режима информационной безопасности для ИИС ВУЗа и
предложена методика разграничения прав доступа к БД произвольной структуры.
Однако, на мой взгляд, необходимо более подробно осветить подходы к управлению доступом, а именно сделать описание моделей, механизмов, применения и реализация в программах, преимущества и недостатки, если возможно, указать сравнительную характеристику. Это и является основной целью данной статьи.
Основные понятия
информационной безопасности в СУБД
Спектр интересов субъектов, связанных с использованием
информационных систем, можно разделить на следующие категории: обеспечение
доступности, целостности и конфиденциальности информационных ресурсов и
поддерживающей инфраструктуры.
Под доступностью понимается возможность за приемлемое
время получить требуемую информационную услугу. Под целостностью
подразумевается актуальность и непротиворечивость информации, ее защищенность
от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного
доступа к информации.
В соответствии с этими типами интересов исследователи в области информационной безопасности предложили
выделить три различных типа угроз: угрозы, относящиеся к раскрытию, целостности или отказу служб вычислительной системы [Баранов А.П.]:
1. Угроза
раскрытия заключается в том, что информация становится известной пользователю,
который не авторизован для этого. В терминах компьютерной безопасности угроза
раскрытия имеет место всякий раз, когда получен несанкционированный доступ к
некоторой секретной информации, хранящейся в вычислительной системе или
передаваемой от одной системы к другой.
2. Угроза целостности включает в себя любое
несанкционированное изменение информации, хранящейся в вычислительной системе
или передаваемой из одной системы в другую. Целостность также будет нарушена,
если к несанкционированному изменению приводит случайная ошибка.
Санкционированными изменениями являются те, которые сделаны определенными
лицами с обоснованной целью.
3. Угроза отказа служб (отказа в обслуживании)
возникает всякий раз, когда в результате преднамеренных действий, предпринятых
другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной
системы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс
никогда не был получен, или оно может вызвать только задержку запрашиваемого
ресурса, достаточно долгую для того, чтобы он стал бесполезным.
Сферы безопасности не очень подробно изучали отказ
служб. Большинство исследователей в принципе договорились о нескольких
определениях и подходах, но для большей части отказ служб и компромиссы для
предотвращения этой угрозы в большинстве своем не исследованы. Из всего
вышесказанного и для лучшего понимания возможных
угроз, будем рассматривать только угрозу раскрытия и угрозу целостности
информации, причём не рассматривая достоверность источников, поставляющих
данные для информационной системы.
Исторически первым стандартом,
получившим широкое распространение и оказавшим огромное влияние на
стандартизацию информационной безопасности во многих странах, стал стандарт
Министерства обороны США "Критерии оценки доверенных компьютерных систем",
вышедший в 1985 году. Этот документ, известный также под названием
"Оранжевая книга", предлагает стандартизированный подход к оценке
компьютерной безопасности на основе иерархической структуры, состоящей из нескольких
классов безопасности.
“Оранжевая книга” определяет четыре
уровня безопасности, которые делятся на классы:
·
уровень
А означает гарантированную защиту. Он предназначен только для некоторых военных
систем;
·
уровень
В означает полное (принудительное) управление доступом (MAC – Mandatory Access Control);
·
уровень
C означает избирательное управление доступом (DAC – Discretionary Access Control). Если оценивать коммерческие
системы, то можно почти всех их отнести к уровню C.
·
уровень
D предлагает минимальную безопасность.
Национальный Институт Компьютерной
Безопасности (National Computer Security Institute) США выпустил приложение к
“Оранжевой книге” под названием «Интерпретация для надежных СУБД» (Trusted
Database Management Systems Interpretation), которое расширяет и конкретизирует
критерий оценки безопасности по отношению к СУБД (системам управления базами
данных).
Системы управления базами данных [3],
в особенности реляционные СУБД, в последнее десятилетие стали доминирующим
инструментом хранения больших массивов информации. В этой связи обеспечение
информационной безопасности СУБД и, в первую очередь, их серверных компонентов
приобретает решающее значение для безопасности всей системы в целом.
В современных СУБД поддерживаются
следующие широко распространенные подходы к вопросу обеспечения безопасности
данных, а именно: дискреционное или произвольное управление доступом (discretionary access control – DAC); мандатное или принудительное управление доступом (mandatory access control – MAC); управление доступом на основе ролей (Role-Based Access Control – RBAC).
Когда говорят об управлении доступом,
различают два вида сущностей –
активные и пассивные. Активные сущности (субъекты) осуществляют доступ к
пассивным сущностям – объектам. Субъекты
– это пользователи или приложения,
выступающие от их имени. Объектами, к которым регулируется доступ, являются
базы данных, таблицы, представления и процедуры.
Привилегии доступа можно подразделить в соответствии с
видами объектов, к которым они относятся. В СУБД Oracle таких видов несколько: таблицы и представления;
процедуры, функции и пакеты; последовательности; триггеры и индексы; сессии и
роли.
Возможность для субъекта пользоваться объектами
определяется доступом. Применительно к таблицам и представлениям можно
управлять следующими правами доступа: SELECT (право на выборку данных), INSERT
(право на добавление данных), DELETE (право на удаление данных), UPDATE (право
на обновление данных, можно указать определенные столбцы, разрешенные для обновления),
REFERENCES (право на использование внешних ключей, ссылающихся на данную
таблицу). По отношению к процедурам, функциям и пакетам можно предоставить
право на выполнение – EXECUTE.
Основная часть работы будет посвящена рассмотрению
дискреционного (произвольного) контроля доступа, ввиду его широкого
распространения и реализации в информационных системах.
Обзор
существующих моделей
произвольного управления доступом
Discretionary access control (DAC) (избирательное
управление доступом) [электронный
ресурс] - метод
управления доступом субъектов системы к объектам, основанный на идентификации и
опознавании пользователя, процесса и/или группы, к которой он принадлежит;
средство ограничения доступа к информации, основанное на привилегиях. Для
доступа к названному объекту пользователю должна быть назначена соответствующая
привилегия. Управление является избирательным в том смысле, что субъект с
определенными правами может осуществлять передачу прав любому объекту
независимо от установленных ограничений (доступ может быть осуществлен и не
напрямую).
Рассмотрим основные модели безопасности, описывающие
дискреционный контроль и управления доступом, а также, по возможности,
механизмы которые необходимо реализовать в вычислительных системах для его
разграничения.
Модель
матрицы доступа. В теоретическом и практическом плане наибольшее
развитие и применение получили дискреционные модели, основанные на матрице
доступа [Корт С.С.]. В данных
моделях область безопасного доступа строится как прямоугольная матрица
(таблица), строки которой соответствуют субъектам доступа, столбцы объектам
доступа, а ячейках записываются разрешённые операции соответствующего субъекта
над соответствующим объектом (см. таблицу №1).
Табл.1. Фрагмент матрицы
доступа
|
Объекты Субъекты |
|
|
… |
|
… |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
… |
|
|
|
|
|
|
|
|
|
|
|
r,w |
|
|
|
… |
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
В таблице: "r" -
чтение, "w" - запись, "e" - выполнение.
Описанные в
ячейках матрицы права доступа в виде разрешённых операций над объектами
определяют виды безопасных доступов субъекта к объекту. Таким образом, в рамках
дискреционной политики каждая ячейка агрегирует некоторое подмножество троек
“субъект-операция-объект”.
По принципу
организации матрицы доступа в реальных системах используются два подхода:
централизованный и распределённый.
При
централизованном подходе матрица доступа
создаётся как отдельный самостоятельный объект с особым порядком размещения и
доступа к нему. Количество объектов доступа и порождаемых пользователями
субъектов доступа в реальных информационных системах может достигать очень
больших величин, и, кроме того подвержено динамическому изменению. Поэтому при
централизованном подходе в большинстве систем строки матрицы доступа
характеризуют не субъектов, а непосредственно самих пользователей и их группы,
зарегистрированные для работы в системе. Наличие или создание в матрице доступа
столбца (строки) для какого - либо объекта фактически означает его регистрацию
в системе в качестве объекта дискреционного доступа с соответствующими правами
соответствующих пользователей.
При
распределённом подходе матрица доступа как отдельный объект не создаётся, а
представляется или так называемыми “списками доступа”, распределёнными по
объектам системы, или так называемыми “списками возможностей”, распределёнными
по субъектам доступа. В первом случае к каждому объекту системы, помимо
идентифицирующих характеристик, привязывается список, представляющий собой
столбец матрицы доступа. Во втором случае, список, с перечнем разрешённых для
доступа объектов (строку матрицы доступа), получает каждый субъект при своей
инициализации.
Через “списки
возможностей” субъектов реализуется широко используемый на практике механизм
привилегий, наделяющий субъектов правами выполнять определённые операции над
всеми объектами или их группами.
Модель АДЕПТ-50. Одна из первых моделей безопасности была модель
дискреционного доступа АДЕПТ-50 [Теория и
практика]. В её основу
было положено 4 типа объектов, относящихся к безопасности: пользователи(u),
задания(j), терминалы(t) и файлы(f), причем каждый объект описывается
четырехмерным кортежем (A, C, F, M), включающим параметры безопасности:
·
Компетенция
А – скаляр - элементы из набора иерархически
упорядоченных уровней безопасности.
·
Категория
С - дискретный набор рубрик.
·
Полномочия
F - группа пользователей, имеющих право на доступ к определенному объекту.
·
Режим
М - набор видов доступа, разрешенных к определенному объекту или осуществляемых
объектом.
Четырехмерный
кортеж безопасности, полученный на основе прав задания, а не прав пользователя,
используется в модели для управления доступом. Данный подход обеспечивает
однородный контроль права на доступ над неоднородным множеством программ и
данных, файлов, пользователей и терминалов.
Модель “пятимерного пространства безопасности
Хартстона”. Далее
необходимо упомянуть о модели пятимерного пространства безопасности Хартстона [Корт С.С.] в основу которой положено пятимерное пространство
безопасности для моделирования процессов, установления полномочий и организации
доступа на их основании. Модель имеет пять основных наборов: А - установленных полномочий; U - пользователей;
Е - операций; R - ресурсов; S - состояний.
Область безопасности будет выглядеть как декартово произведение: А×U×E×R×S. Доступ рассматривается как ряд запросов, осуществляемых пользователями u для выполнения операций е над ресурсами R в то время, когда система находится в состоянии s. Причём процесс организации доступа описывается автором алгоритмически в виде 12 этапов, некоторые из которых могут быть опущены.
Модель Харрисона, Руззо и Ульмана. В модели Харрисона, Руззо и Ульмана защищенная
система состоит из следующих компонентов [Гайдамакин Н.А.]:
1. Конечное множество общих
прав R = {r1, …, rn}:
2. Конечный набор исходных
субъектов So и конечный набор исходных
объектов Oо, каждый субъект является
также объектом.
3. Конечное множество команд
С, представленных в форме:
command C(Х1,Х2,..., Хn), где С – имя, Х1,Х2,..., Хn
– формальные параметры, указывающие на объект.
Матрица
доступа (см. модель матрицы доступа) может изменяться посредством слеющих
операций:
· enter r into (s, o)- введение права r в соответствующий элемент M[s, o] матрицы доступа;
· delete r from (s, o)- удаление права r из элемента M[s,o] матрицы доступа;
·
create subject s- создание субъекта s;
·
destroy subject s- удаление субъекта s;
· create object o- создание
объекта o;
· destroy object o- удаление
объекта o.
В 1976 году
Харрисон, Руззо и Ульман доказали, что в самом общем случае вопрос определения
безопасности компьютерной системы неразрешим. Иными словами, не существует
алгоритма, позволяющего определить, будет ли компьютерная система безопасна или
небезопасна в общем случае.
В рамках модели, Харрисоном, Руззо и Ульманом доказывается теорема, указывающая на то, что проблема безопасности для системы с запросами общего вида является неразрешимой. Однако в частных случаях проблема безопасности решается, а именно, авторы показали, что безопасными являются монотонные системы (не содержащие операции destroy и delete), системы, не содержащие операций create, и моно-условные системы (запрос к которым содержит только одно условие).
Модель Take Grant. Модель Take Grant используется для анализа систем с целью определения
того, как информация или права доступа могут быть переданы от одного субъекта к
другому [Корт С.С.].
Харрисон, Руззо и Ульман продемонстрировали, что основной вопрос безопасности в произвольной системе является неразрешимым. Для того чтобы определить условия, при которых данный вопрос разрешим, Джонс, Липтон и Шнайдер разработали модель защиты, называемую Take Grant, в которой вопрос безопасности не только разрешим, но разрешим за время, линейное по отношению к количеству объектов и прав. Основой работы является представление системы в виде направленного графа, в котором вершины есть субъекты или объекты системы. Направленные дуги на графе означают права, которые один объект имеет по отношению к другому. Множество прав R, кроме обычных прав доступа, содержит два права: право take (t) и право grant (g), изменяющих матрицу доступа. Модель обеспечивает множество правил переписывания графа, позволяющих изучать изменение графа вследствие передачи прав и изменения состояний системы.
Реализация произвольного управления
доступом в СУБД
В действующем стандарте языка SQL (SQL92)
предусматривается поддержка только произвольного управления доступом. Он
основан на двух более или менее независимых частях SQL. Одна из них называется механизмом представлений,
который может быть использован для скрытия очень важных данных от несанкционированных
пользователей. Другая называется подсистемой полномочий и наделяет одних пользователей
правом избирательно и динамически задавать различные полномочия другим
пользователям, а также отбирать такие полномочия в случае необходимости.
Механизм представлений. Большинство современных СУБД предоставляют
специфическое средство управления доступом – представления [Саймон А.].
Представления позволяют сделать видимыми для субъектов определенные столбцы
базовых таблиц (реализовать проекцию) или отобрать определенные строки
(реализовать селекцию). Не предоставляя субъектам прав доступа к базовым
таблицам и сконструировав подходящие представления, администратор базы данных
защитит таблицы от несанкционированного доступа и снабдит каждого пользователя
своим видением базы данных, когда недоступные объекты как бы не существуют.
Приведем
пример создания представления, содержащего три столбца исходной таблицы
студентов и включающего в себя только строки с определенным значением одного из
столбцов (всех студентов кафедры ИУ5):
CREATE VIEW v_students_iu5 AS
SELECT name, address, subdivision
FROM students
WHERE subdivision = "ИУ5";
Предоставим
всем право на выборку из этого представления:
GRANT SELECT
ON v_students_iu5
TO PUBLIC;
Субъекты,
осуществляющие доступ к представлению v_students_iu5, могут
пытаться запросить сведения о студентах кафедр, отличных от ИУ5, например:
SELECT *
FROM v_students_iu5
WHERE subdivision = "ИУ6";
Но в ответ
просто получат результат из нуля строк, а не код ответа, свидетельствующий о
нарушении прав доступа. Это принципиально важно, так как лишает злоумышленника
возможности получить список студентов косвенным образом, анализируя коды
ответов, возвращаемые после обработки SQL-запросов.
Механизм
представлений языка SQL позволяет различными способами разделить базу данных на части таким
образом, чтобы очень важная информация была скрыта от несанкционированных
пользователей. Однако этот режим задается не с помощью параметров операций, на
основе которых санкционированные пользователи выполняют те или иные действия с
заданной частью данных. Эта функция выполняется с помощью директивы GRANT.
По умолчанию
пользователь не имеет никаких прав доступа к таблицам и представлениям -
присваивание привилегий доступа производится с помощью оператора GRANT. В самом
общем виде оператор GRANT имеет следующий формат:
GRANT привилегии ON объекты TO кому;
Привилегии
доступа могут выделяться пользователям, группам, ролям или всем посредством
вышеописанного оператора GRANT и изымаются с помощью оператора REVOKE. Эти
привилегии, как правило, присваивает владелец соответствующих объектов (в
большинстве СУБД это администратор базы данных).
Создателю
любого объекта автоматически предоставляются все привилегии в отношении этого
объекта. Более того, эти привилегии в
каждом случае даются «с предоставлением санкции», т. е. они могут быть переданы
какому-нибудь другому пользователю. Если указанный пользователь наделен особыми
полномочиями для заданного объекта – правом предоставления полномочий, то он
может наделять полномочиями работы с этим объектом других пользователей. Таким
образом, можно легко создать иерархию пользователей СУБД, но с другой стороны
использование этой особенности ведет к децентрализации контроля над привилегиями
и содержит потенциальную угрозу безопасности данных.
Как показано
в этих примерах, механизм представлений языка SQL предлагает важные средства обеспечения мер
безопасности. Однако более существенно то, что многочисленные проверки
привилегий (даже зависящие от конкретного значения) могут быть выполнены со
значительным выигрышем в производительности еще на этапе компиляции, а не во
время исполнения. Тем не менее, подход на основе использования представлений
для обеспечения безопасности не очень гибок, поскольку некоторым пользователям
в одно и тоже время могут потребоваться разные привилегии для разных
подмножеств одной и той же таблицы. Например, можно представить структуру
приложения, в которой предполагается просматривать данные обо всех студентах
кафедры ИУ5, но при этом разрешается редактировать только данные о конкретной
группы ИУ5-11.
Механизм полномочий. Для реализации механизма полномочий необходимо
поддерживать два фундаментальных принципа: проверку полномочий и проверку
подлинности (аутентификацию). Проверка полномочий основана на том, что каждому
пользователю или процессу информационной системы соответствует набор действий,
которые он может выполнять по отношению к определенным объектам. Проверка подлинности
означает достоверное подтверждение того, что пользователь или процесс,
пытающийся выполнить санкционированное действие, действительно тот, за кого он
себя выдает. Рассмотрим подробнее оба эти понятия.
На рисунке 1 показана базовая модель проверки полномочий.
Теоретически можно поддерживать матрицу безопасности (см. модель матрицы
доступа), устанавливающую отношения между всеми пользователями и процессами
системы с одной стороны и всеми объектами с другой. В каждой клетке матрицы
хранится список, содержащий от 0 до N операций, которые данный пользователь или
процесс может выполнять по отношению к данному объекту.
На рисунке 2 показано, почему такая базовая модель недостаточна
для обеспечения хотя бы минимального уровня безопасности [Саймон А.]. Если Процессу 2 удастся выдать себя за Процесс 1, то
он сможет выполнять действия, разрешенные Процессу 1 (но не Процессу 2). Очевидно,
что необходимы какие-то дополнительные меры безопасности.
Проверка подлинности. В силу описанных выше причин в безопасной среде
должна присутствовать модель проверки подлинности, которая обеспечивает
подтверждение заявленных пользователями или процессами идентификаторов.
Проверка полномочий приобрела еще большее значение в условиях массового распространения
распределенных вычислений. При существующем высоком уровне связности
вычислительных систем необходимо контролировать все обращения к системе.
Рис. 1. Матрица прав доступа субъектов к объектам при
произвольном управлении доступом.
Рис. 2. Необходимость проверки подлинности в дополнение к
проверке полномочий.
Обычно в СУБД для идентификации и проверки подлинности
пользователей применяются либо соответствующие механизмы операционной системы,
либо SQL-оператор CONNECT. Например, в случае СУБД Oracle оператор CONNECT
имеет следующий вид:
CONNECT пользователь[/пароль]
[@база_данных];
Если пароль опущен, для его ввода выдается приглашение
и на время выключается эхоотображение.
Так или иначе, в момент начала сеанса работы с
сервером баз данных пользователь идентифицируется своим именем, а средством
аутентификации служит пароль. Детали этого процесса определяются реализацией
клиентской части приложения.
Проблемы проверки подлинности обычно относят к сфере безопасности коммуникаций и сетей, поэтому нет смысла их обсуждать.
Применение и реализация в программах
В качестве примера реализации дискреционного контроля
доступа в современных программах рассмотрим систему прав доступа ОС
(операционных системах) Linux и Windows NT.
Система прав доступа к файлам у ОС Linux основана на дискреционном
управлении доступом. Этот механизм позволяет каждому файлу приписать
конкретного владельца, который:
·
необязательно является членом группы-владельца;
·
владельцем нового файла является пользователь, который его
создал;
·
только владелец-пользователь может передавать владение
файлом другому пользователю и другой группе (последнее только если он является
членом текущей группы-владельца).
Права доступа к файлам задаются, обычно, в виде
списков контроля доступа (СКД) (Access
Control Lists - ACL). В этих списках для каждого возможного субъекта
доступа определяется перечень операций, которые он может выполнить над файлом.
Явно определяются права на чтение (r), запись (w) и выполнение (x) для трех
субъектов доступа: владельца-пользователя, владельца-группы, остальных
пользователей Linux.
Система разграничения прав доступа ОС Windows NT подобная системе ОС Linux и также основана на произвольном управлении доступом.
Для распределенных ресурсов в Windows NT применяется общая модель объекта, который содержит
такие характеристики безопасности как набор допустимых операций, идентификатор
владельца, список контроля доступа (ACL).
Владелец объекта, обычно пользователь, который его создал, имеет исключительное
право на управление доступом к объекту и может изменять его ACL, чтобы
позволить или запретить другим осуществлять к нему доступ. Отличие от ОС Linux лишь в том, что в элементах ACL Windows NT могут существовать
как списки разрешенных, так и списки запрещенных операций для пользователей.
Задания матрицы доступа, в виде списков контроля
доступа, реализован также в сетевой ОС Novell NetWare.
Преимущества
и недостатки
Описанные ранее модели
дискреционного доступа хотя и обеспечивают хорошо гранулированную и гибкую
защиту, и относительно простую реализацию, но обладают рядом недостатков. В
частности, в системах, построенных на основе DAC, они следующие:
Рассосредоточенность управления
доступом, которая ведет к тому, что доверенными должны быть многие
пользователи, а не только системные операторы или администраторы. Из-за
рассеянности или некомпетентности сотрудника, владеющего секретной информацией,
эту информацию могут узнать и все остальные пользователи. Следовательно,
произвольность управления должна быть дополнена жестким контролем за
реализацией избранной политики безопасности.
Второй недостаток, который
представляется основным, состоит в том, что права доступа существуют отдельно
от данных. Ничто не мешает пользователю, имеющему доступ к секретной
информации, записать ее в доступный всем файл или заменить полезную утилиту ее
"троянским" аналогом (троянскую программу следует определять как любую
программу, от которой ожидается выполнение некоторого желаемого действия, а она
на самом деле выполняет какое-либо неожиданное и нежелательное действие).
Подобная "разделенность" прав и данных существенно осложняет
проведение несколькими системами согласованной политики безопасности и,
главное, делает практически невозможным эффективный контроль согласованности.
В отличие от DAC, мандатный
контроль доступа (МАС) накладывает ограничения на передачу информации от одного
пользователя другому. Это позволяет разрешить проблему троянских коней. В
случае принудительного управления доступом (MAC), каждому объекту данных
присваивается некоторый классификационный уровень, а каждый пользователь
обладает некоторым уровнем доступа. Следовательно, при таком подходе доступом к
определенному объекту данных обладают только пользователи с соответствующим
уровнем допуска. Поэтому обязательные схемы достаточно жестки и статичны.
Существует третий подход к
управлению доступа - управление доступом на основе ролей (RBAC) – сравнительно новый подход к обеспечению информационной безопасности,
однако в последнее время ему уделяется пристальное внимание, как к альтернативе
произвольному и мандатному управлению доступом. Важнейшим свойством RBAC-модели является то, что она сама по себе нейтральна, то есть RBAC предоставляет аппарат для выражения политики безопасности, а не
накладывает определенные ограничения, соответствующие определенной политике.
Используя RBAC-модель, можно эмулировать произвольное и мандатное управление доступом.
Это является крайне важным, так как можно разрабатывать системы, поддерживающие
RBAC-модель и конфигурировать их в случае необходимости для реализации
произвольного или мандатного управления доступом.
Заключение
Мы завершили обзор дискреционных механизмов управления
доступом применительно к информационным системам. Целью статьи являлось
ознакомление читателей с основными положениями теории безопасности,
существующими механизмами управления доступом, а также моделями в рамках
дискреционного управления доступом. Были рассмотрены: реализация произвольного
управления доступом в современных СУБД, на примере СУБД ORACLE, преимущества и недостатки данного подхода.
Рассмотренные выше недостатки, требуют провести анализ
оставшихся 2-х механизмов управления доступом: мандатного или принудительного
управления доступом (mandatory access
control – MAC) и
управления доступом на основе ролей (Role-Based Access Control - RBAC).
Литература
| 1. | [Бубнов Р.В] |
| 2. | [Баранов А.П.] |
| 3. | [Вьюкова Н.И.] |
| 4. | [электронный ресурс] |
| 5. | [Гайдамакин Н.А.] |
| 6. | [Теория и практика] |
| 7. | [Корт С.С.] |
| 8. | [Саймон А.] |