Информационная безопасность



              

Назначение механизма контроля доступа к ресурсам - часть 2


д.), при этом необходимо обеспечить различные режимы обработки информации разных категорий на основе задания соответствующих полномочий субъектам доступа (откуда и название) к категоризованным объектам.

Основу полномочного контроля доступа составляет способ формализации понятий «группа пользователей» и «группа объектов», на основании вводимой шкалы полномочий. Наиболее широко на практике используется способ иерархической формализации отношения полномочий, состоящий в следующем. Иерархическая шкала полномочий вводится на основе категоризования данных (открытые, конфиденциальные, строго конфиденциальные и т. д.) и прав допуска к данным пользователей (по аналогии с понятием «формы допуска»). Будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов —
С = {С1,…, Ск}
и
О = {О1,…, Оk}).

Соответствующая формализация правил доступа субъектов к объектам при этом, как правило, сводится к следующему:

  • субъект имеет право доступа «Зп/Чт» к объекту в том случае, если полномочия субъекта и категория объекта совпадают;
  • субъект имеет право доступа «Чт» к объекту в том случае, если полномочия субъекта выше, чем категория объекта;
  • субъект не имеет прав доступа к объекту в том случае, если полномочия субъекта ниже, чем категория объекта.
  • Матрица доступа D, описывающая полномочную модель контроля доступа, имеет следующий вид:

    f2.gif

    Таким образом, основная задача, решаемая при реализации данного способа контроля доступа, состоит в предотвращении возможности понижения категории информации при ее обработке. Иногда дополнительно вводится правило, разрешающее запись информации более низкой категории в объекты более высокой категории, что также не противоречит идее противодействия понижению категории информации; матрица доступа D, описывающая полномочную модель контроля доступа, при этом имеет следующий вид:

    f3.gif

    Возможность работы одного и того же пользователя с данными различных категорий большинством известных реализаций полномочного контроля доступа обеспечивается тем, что в системе реализуются динамические полномочия пользователя, изменяемые применительно к тому, с документом какой категории пользователь работает.


    Содержание  Назад  Вперед