Скачать презентацию Модель ролевой политики разграничения доступа 1 Ролевая Скачать презентацию Модель ролевой политики разграничения доступа 1 Ролевая

Модель ролевой политики безопасности.ppt

  • Количество слайдов: 48

Модель ролевой политики разграничения доступа 1 Модель ролевой политики разграничения доступа 1

Ролевая политика разграничения доступа представляет собой существенно усовершенствованную модель Харрисона. Руззо-Ульмана. Но её нельзя Ролевая политика разграничения доступа представляет собой существенно усовершенствованную модель Харрисона. Руззо-Ульмана. Но её нельзя отнести ни дискреционным, ни к мандатным моделям. 2

Ролевая политика разграничения доступа В ролевой политике разграничения доступа классическое понятие субъекта заменяется понятиями Ролевая политика разграничения доступа В ролевой политике разграничения доступа классическое понятие субъекта заменяется понятиями пользователь и роль. Пользователь – это человек, работающий с компьютерной системой и выполняющий определенные служебные обязанности. С понятием роли связывается набор полномочий, необходимых для выполнения этих служебных обязанностей. При этом количество ролей должно быть значительно меньше, чем пользователей. 3

Ролевая политика разграничения доступа При использовании ролевой политики разграничения доступа управление доступом осуществляется в Ролевая политика разграничения доступа При использовании ролевой политики разграничения доступа управление доступом осуществляется в две стадии: каждому пользователю назначается список доступных ему ролей при работе с компьютерной системой, для каждой роли указывается набор полномочий, представляющий права доступа к объектам системы. Причем полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей роли набором полномочий. 4

Ролевая политика разграничения доступа В ролевой политике используются следующие множества: U – множество пользователей; Ролевая политика разграничения доступа В ролевой политике используются следующие множества: U – множество пользователей; R – множество ролей; Р – множество полномочий на доступ к объектам компьютерной системы; S – множество сеансов работы пользователей с компьютерной системой. 5

Ролевая политика разграничения доступа Пример. Множество пользователей (U): Иванов И. И. , Котова Л. Ролевая политика разграничения доступа Пример. Множество пользователей (U): Иванов И. И. , Котова Л. А. , Петров К. Р. , Сидоров П. М. Множество ролей (R): системный администратор (admin), менеджер БД (manager), пользователи (user 1, user 2). 6

Ролевая политика разграничения доступа Множество полномочий (P): control, config, Server, SQL, DB 1, DB Ролевая политика разграничения доступа Множество полномочий (P): control, config, Server, SQL, DB 1, DB 2, Assembler, Sec 1, Sec 2. Полномочия – это объекты, к которым должны иметь доступ пользователи компьютерной системы. Множество сеансов работы (S): s 1, s 2. 7

Ролевая политика разграничения доступа Для перечисленных множеств определяются следующие отношения: UR U R – Ролевая политика разграничения доступа Для перечисленных множеств определяются следующие отношения: UR U R – отображает множество пользователей на множество ролей, определяя для каждого пользователя набор доступных ему ролей. UR = {Иванов И. И. (admin), Петров К. Р. (manager), Котова Л. А. (user 1), Сидоров П. М. (user 2)}. 8

Ролевая политика разграничения доступа PR P R – отображает множество полномочий на множество ролей, Ролевая политика разграничения доступа PR P R – отображает множество полномочий на множество ролей, устанавливает для каждой роли набор присвоенных ей полномочий. PR = {admin (control, config), manager (server), user 1 (SQL, DB 1, DB 2), user 2 (Assembler, Sec 1, Sec 2)}. 9

Ролевая политика разграничения доступа Правила управления доступом определяются следующими функциями: User: S U – Ролевая политика разграничения доступа Правила управления доступом определяются следующими функциями: User: S U – эта функция для каждого сеанса s определяет пользователя, который осуществляет этот сеанс работы с системой: User (s) = u U. Сеанс s 1 – Иванов И. И. , Сидоров П. М. Сеанс s 2 – Петров К. Р. , Котова Л. А. 10

Ролевая политика разграничения доступа Roles: S (R) – эта функция для каждого сеанса s Ролевая политика разграничения доступа Roles: S (R) – эта функция для каждого сеанса s определяет набор ролей из множества R, которые могут быть одновременно доступны пользователю в этом сеансе: Roles (s) = {ri (user(s), ri) UR} (функция Roles (s) определяет роль ri пользователя, который осуществляет сеанс работы s, согласно отношению UR). 11

Ролевая политика разграничения доступа Permission: S P – эта функция для каждого сеанса s Ролевая политика разграничения доступа Permission: S P – эта функция для каждого сеанса s задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе: Permission (s) = Ur roles( s ) {pi (pi, r) PR } (функция для каждой роли, которую выполняют пользователи в сеансе s, задаёт полномочия, соответствующие роли пользователя согласно отношению PR). 12

Ролевая политика разграничения доступа Критерий безопасности ролевой политики разграничения доступа определяется следующим правилом: Система Ролевая политика разграничения доступа Критерий безопасности ролевой политики разграничения доступа определяется следующим правилом: Система считается безопасной, если любой пользователь системы, работающий в сеансе s, может выполнять действия, требующие полномочия p, только в том случае, если p Permission (s). 13

Ролевая политика разграничения доступа Существуют различные интерпретации ролевой политики разграничения доступа, различающиеся видом функций Ролевая политика разграничения доступа Существуют различные интерпретации ролевой политики разграничения доступа, различающиеся видом функций User(), Roles(), Permission(), а так же ограничениями, накладываемыми на отношения PR и UR. На практике наиболее часто реализуют следующие модели разграничения доступа: - модель иерархической организации ролей, - модель взаимоисключающих ролей, - модель, устанавливающая ограничения на одновременное использование ролей в одном сеансе, - модель, устанавливающая количественные ограничения при назначении ролей и полномочий. 14

Модель иерархической организации ролей представляет собой наиболее распространенный тип ролевой политики, поскольку в реальной Модель иерархической организации ролей представляет собой наиболее распространенный тип ролевой политики, поскольку в реальной жизни, как правило, пользователи жестко упорядочены по степени ответственности, соответствующей уровню полномочий, которыми они обладают. Причем более доверенные пользователи, всегда обладают всеми полномочиями менее доверенных, подчиненных им. 15

Модель иерархической организации ролей Особенности модели иерархической организации ролей: 1. Вводится дополнительное отношение RH Модель иерархической организации ролей Особенности модели иерархической организации ролей: 1. Вводится дополнительное отношение RH R R, которое отображает частичное отношение порядка на множестве R (определяет иерархию ролей). Отношение RH задаёт на множестве ролей оператор доминирования , такой что, если r 2 r 1 , то r 1 находится в иерархии выше, чем r 2. В соответствие с этим отношением для рассматриваемого примера будет установлена следующая иерархия ролей: user 1 ≤ user 2 ≤ manager ≤ admin. 16

Модель иерархической организации ролей 2. Отношение UR записывается в виде URh U R. В Модель иерархической организации ролей 2. Отношение UR записывается в виде URh U R. В соответствии с этим отношением каждому пользователю назначается набор ролей, включающий его роль и все роли, подчиненные ей по иерархии, т. е. для r, r’ R, u U: r ≥ r’ (u, r) URh (u, r’) URh. 17

Модель иерархической организации ролей Для рассматриваемого примера в соответствии с отношением UR пользователям будут Модель иерархической организации ролей Для рассматриваемого примера в соответствии с отношением UR пользователям будут назначены следующие роли: Иванов И. И. (admin, manager, user 2, user 1), Петров К. Р. (manager, user 2, user 1), Сидоров П. М. (user 2, user 1), Котова Л. А. (user 1). 18

Модель иерархической организации ролей Функция Roles: S (R) принимает вид Rolesh : S (R). Модель иерархической организации ролей Функция Roles: S (R) принимает вид Rolesh : S (R). Эта функция назначает каждому сеансу s набор ролей из иерархии ролей пользователей, работающих в этом сеансе: Rolesh (s) {ri r’ ≥ ri ( user(s), r’) URh)}. (функция включает роль ri в множество ролей сеанса s в том случае, если роль r’, доминирует над ролью ri). 19

Модель иерархической организации ролей Для рассматриваемого примера с помощью функции Rolesh для сеансов s Модель иерархической организации ролей Для рассматриваемого примера с помощью функции Rolesh для сеансов s 1 и s 2 будут определены следующие роли: s 1 = (admin, user 2), s 2 = (manager, user 1). 20

Модель иерархической организации ролей 21 Модель иерархической организации ролей 21

Модель иерархической организации ролей Функция функцией Permission: S P заменяется Permissionh: S P. Эта Модель иерархической организации ролей Функция функцией Permission: S P заменяется Permissionh: S P. Эта функция определяет полномочия сеанса как совокупность полномочий всех задействованных в нем ролей и полномочий всех ролей подчиненных им: Permissionh (s) = ur rolesh(s) {pi r’’ r Λ pi (r’’) PRh}. 22

Модель иерархической организации ролей Функция для множества пользователей сеанса s, чьи роли принадлежат заданной Модель иерархической организации ролей Функция для множества пользователей сеанса s, чьи роли принадлежат заданной иерархии ролей, определяет множество полномочий pi; полномочие pi включается в множество полномочий сеанса, если пользователь обладает ролью r’’, над которой доминирует роль r и полномочия роли r’’ определены отношением PRh. 23

Модель иерархической организации ролей 24 Модель иерархической организации ролей 24

Модель иерархической организации ролей Таким образом, каждому пользователю назначается некоторое подмножество иерархии ролей, а Модель иерархической организации ролей Таким образом, каждому пользователю назначается некоторое подмножество иерархии ролей, а в каждом сеансе является доступной совокупность полномочий ролей, которая составляет фрагмент этой иерархии. Такой подход позволяет существенно упростить управление доступом за счет неявного назначения полномочий. 25

Модель взаимоисключающих ролей В этой модели множество ролей разбивается на подмножества ролей, которые не Модель взаимоисключающих ролей В этой модели множество ролей разбивается на подмножества ролей, которые не могут быть назначены пользователю одновременно и эти подмножества считаются несовместимыми. Пользователю может быть назначена только по одной роли из каждого подмножества несовместимых ролей. 26

Модель взаимоисключающих ролей Для определения отношения несовместимости на множестве ролей R задается функция Exclusive: Модель взаимоисключающих ролей Для определения отношения несовместимости на множестве ролей R задается функция Exclusive: R P(R), которая для каждой роли определяет множество несовместимых с ней ролей. В этом случае на отношение UR, отображающее множество ролей на множество пользователей, накладывается следующее ограничение: если (u, r) UR Λ r’ Exclusive (r) (u, r’) UR (если пользователь имеет роль r, определенную отношением UR и роль r’, являющуюся несовместимой с r , то отсюда следует, что роль r’ пользователя не может принадлежать множеству ролей, определённых отношением UR). 27

Модель взаимоисключающих ролей Взаимоисключающие роли реализуют статическое разделение обязанностей, когда конфликт несовместимости полномочий решается Модель взаимоисключающих ролей Взаимоисключающие роли реализуют статическое разделение обязанностей, когда конфликт несовместимости полномочий решается на стадии назначения ролей. Такая политика хорошо подходит для системы обработки информации, в которой пользователям запрещается совмещать определенные обязанности. Например, в банковской системе одному и тому же пользователю не могут быть одновременно назначены роли оператора, отвечающего за выполнение определённых операций, и аудитора, осуществляющего контроль за их исполнением. 28

Модель, ограничивающая одновременное использование ролей в одном сеансе При использовании этой модели множество ролей Модель, ограничивающая одновременное использование ролей в одном сеансе При использовании этой модели множество ролей также разбивается на подмножества несовместимых ролей, но отношение UR может назначить пользователю любую комбинацию ролей. Однако в ходе сеанса работы с компьютерной системой пользователь может одновременно активизировать не более одной роли из каждого подмножества несовместимых ролей. 29

Модель, ограничивающая одновременное использование ролей в одном сеансе В этом случае на функцию Roles: Модель, ограничивающая одновременное использование ролей в одном сеансе В этом случае на функцию Roles: S (R), которая назначает каждому сеансу s некоторый набор ролей, накладывается следующее ограничение: r 1, r 2 R: r 1 Roles(s) Λ r 2 Exclusive( r 1 ) r 2 Roles(s) (для каждой пары ролей r 1 и r 2, принадлежащей множеству ролей R, если роль r 1 принадлежит множеству ролей сеанса s и роль r 2 является несовместимой с ролью r 1, то отсюда следует, что роль r 2 не может принадлежать множеству ролей, сеанса s). 30

Модель, ограничивающая одновременное использование ролей в одном сеансе 31 Модель, ограничивающая одновременное использование ролей в одном сеансе 31

Модель, ограничивающая одновременное использование ролей в одном сеансе В частности она позволяет запретить пользователю, Модель, ограничивающая одновременное использование ролей в одном сеансе В частности она позволяет запретить пользователю, имеющему значительное количество ролей и полномочий, пользоваться всеми ими одновременно. В определённых ситуациях это позволяет защититься от атаки троянского коня – например, пользователю можно запретить одновременно осуществлять доступ к критичной информации и запускать на выполнение программы, внесенные в систему другими пользователями. 32

Модель, ограничивающая одновременное использование ролей в одном сеансе Правильно подобранные ограничения на одновременное использование Модель, ограничивающая одновременное использование ролей в одном сеансе Правильно подобранные ограничения на одновременное использование ролей позволяют реализовывать контроль за информационными потоками, что, как известно, характерно для мандатной политики безопасности МБО. 33

Модель количественных ограничений на назначение ролей и полномочий Эта модель предназначена для тех случаев, Модель количественных ограничений на назначение ролей и полномочий Эта модель предназначена для тех случаев, когда роль может быть назначена только ограниченному числу пользователей, и (или) предоставление некоторых полномочий допускается только для ограниченного числа ролей. 34

Модель количественных ограничений на назначение ролей и полномочий Модель использует функцию Cardinalityr: R N, Модель количественных ограничений на назначение ролей и полномочий Модель использует функцию Cardinalityr: R N, которая определяет какому числу пользователей может быть назначена каждая роль, и функцию Cardinalityp: P N, которая для каждого полномочия определяет скольким ролям оно может быть присвоено. 35

Модель количественных ограничений на назначение ролей и полномочий На отношения UR и PR накладываются Модель количественных ограничений на назначение ролей и полномочий На отношения UR и PR накладываются следующие ограничения ri { uj (uj, ri ) UR } Cardinalityr(ri) и pi { rj (pi, rj ) PR } Cardinalityp(pi). Смысл данных зависимостей состоит в том, что благодаря ограничению количества пользователей, осуществляющих те или иные операции, сужается круг лиц, на которых лежит ответственность за совершение соответствующих действий. Например, в системе не должно быть более одного администратора или право уничтожения документов может быть назначено только одной роли. 36

Модель, группирующая роли и полномочия Роли и полномочия, которые дополняют друга, и назначение которых Модель, группирующая роли и полномочия Роли и полномочия, которые дополняют друга, и назначение которых по отдельности не имеет смысла, объединяются в группы, которые могут быть назначены только целиком. Для этого вводятся дополнительные правила, в соответствии с которыми любая роль может быть назначена пользователю только в том случае, если ему уже присвоен определенный набор ролей, а роль может быть наделена полномочием только тогда, когда с ней уже связан определённый набор полномочий. 37

Модель, группирующая роли по полномочиям Для этого на множестве ролей R задается функция Prerequisiter: Модель, группирующая роли по полномочиям Для этого на множестве ролей R задается функция Prerequisiter: R Z(R), определяющая для каждой роли подмножество ролей (Z(R)), которые должны быть назначены пользователю прежде, чем он получить эту роль. Соответственно на множестве полномочий Р задаётся функция Prerequisiteр: Р Z(Р), определяющая для каждого полномочия подмножество полномочий, которые должны быть присвоены этой роли перед назначением этого полномочия. 38

Модель, группирующая роли по полномочиям Для отношения UR, назначающего пользователям роли, вводится ограничение, требующее Модель, группирующая роли по полномочиям Для отношения UR, назначающего пользователям роли, вводится ограничение, требующее наличия у пользователя всех ролей, принадлежащих одной группе: (u, r) UR Λ r' Prerequisiter (r) (u, r') UR. 39

Модель, группирующая роли по полномочиям На отношение PR, отображающее множество полномочий на множество ролей, Модель, группирующая роли по полномочиям На отношение PR, отображающее множество полномочий на множество ролей, накладывается ограничение, в соответствии с которым роли должны быть сразу присвоены все полномочия из группы: (p, r) PR Λ p' Prerequisitep (p) (p', r) PR. 40

Модель, группирующая роли по полномочиям Введение подобных ограничений упрощает администрирование системы в тех случаях, Модель, группирующая роли по полномочиям Введение подобных ограничений упрощает администрирование системы в тех случаях, когда полномочия должны предоставляться определенным набором, или когда назначение ролей должно производиться в определенной последовательности. 41

Модель, группирующая роли по полномочиям Например, предоставлять доступ к некоторым объектам (личным каталогам) имеет Модель, группирующая роли по полномочиям Например, предоставлять доступ к некоторым объектам (личным каталогам) имеет смысл только сразу и по чтению, и по записи. Типичным примером группирования ролей служит ситуация, когда некоторый пользователь, осуществляющий руководство работой группы пользователей, должен обладать полномочиями всех своих подчиненных. 42

Модель ролевой политики разграничения доступа Основным преимуществом ролевой политики безопасности МБО перед другими моделями Модель ролевой политики разграничения доступа Основным преимуществом ролевой политики безопасности МБО перед другими моделями служит то, что все перечисленные варианты ограничений, а также любые другие могут использоваться в различных комбинациях, т. к. ролевая модель очень легко адаптируется для каждого конкретного случая. 43

Модель ролевой политики разграничения доступа Ролевая политика представляет широкий выбор для разработчиков систем управления Модель ролевой политики разграничения доступа Ролевая политика представляет широкий выбор для разработчиков систем управления доступом – с одной стороны, использование матрицы прав доступа может превратить ее в разновидность дискреционной модели, но, с другой стороны, применение жестких правил распределения ролей между сеансами и пользователями, а также полномочий между ролями, позволяет построить на ее основе полноценную мандатную политику безопасности. 44

Модель ролевой политики разграничения доступа Основной недостаток: Свойства компьютерной системы, в которой разграничение доступа Модель ролевой политики разграничения доступа Основной недостаток: Свойства компьютерной системы, в которой разграничение доступа осуществляется в соответствии с моделью ролевой политики разграничения доступа, определяются исключительно характером используемых ограничений и могут находиться в очень широком диапазоне, что не позволяет провести формальное доказательство безопасности модели для общего случая. 45

Модель ролевой политики безопасности Следовательно, ролевая политика безопасности в отличие от других политик безопасности Модель ролевой политики безопасности Следовательно, ролевая политика безопасности в отличие от других политик безопасности определяет только характер ограничений, соблюдение которых и служит критерием безопасности компьютерной системы. Такой подход позволяет получать простые и понятные правила разграничения доступа, которые легко могут быть применены на практике, но лишает систему теоретической законодательной базы. 46

Модель ролевой политики разграничения доступа Основные достоинства: Оперирование ролями гораздо удобнее, чем субъектами, поскольку Модель ролевой политики разграничения доступа Основные достоинства: Оперирование ролями гораздо удобнее, чем субъектами, поскольку более соответствует распространённым технологиям обработки информации, предусматривающим разделение обязанностей и сфер ответственности между пользователями. 47

Модель ролевой политики разграничения доступа Кроме того, ролевая политика может использоваться одновременно с другими Модель ролевой политики разграничения доступа Кроме того, ролевая политика может использоваться одновременно с другими политиками разграничения доступа, когда полномочия ролей, назначаемых пользователям, контролируются дискретной или мандатной политикой, что позволяет создавать многоуровневые системы контроля доступом. 48