Файловый архив студентов. Файловый архив студентов.
1266 вузов, 4641 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский политехнический университет Петра Великого (бывш. СПбГПУ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ответы Рудина.doc
Скачиваний:
26
Добавлен:
20.09.2019
Размер:
604.67 Кб
Скачать
►Содержание►

23. Модель Китайской стены: область применения, цели, описание. Сравнение моделей Белла-Лападуллы и моделей Китайской стены. Сравнение моделей Кларка-Вилсона и модели Китайской стены.

 

1989г Брюэр и Нэш – мат теория, выражающая динамическое изменение прав доступа.

Неформальное описание:

1. строим стену (разделение объектов/субъектов на классы, например, на принадлежащие корпорации и корпорации-конкуренту)

2. субъект не может получить доступ к информации, конфликтующей с информацией, которую он получал до этого (хапнул с одной стороны стены – не можешь хапнуть с другой).

3. изначально субъект может выбрать любую сторону.

 

Формальное описание:

S-субъекты, O-объекты (странно, правда?)

O->общедоступные/необщедоступные

CD-объекты, относящиеся к одной компании

COI – класс, описывающий конфликт интересов

PR(S) – множество объектов, к которым S имел доступ по чтению

=>правило безопасности стены:

S->O (S читает O), если:

1. существует O’: S->O’, CD(O’)=CD(O);

2. для любых O’ из PR(S) => COI(O’)!=COI(O)

3. O – общедоступен

 

S пишет в O, если:

1. S может читать O

2. для всех необщедоступных O’, S может читать O’=>CD(O’)=CD(O)

 

Данная модель мб реализовна с использованием динамического изменения категорий пользователя в результате доступов.

CW(China Wall) более общая, чем Б-Л, поскольку является динамической, а Б-Л статической.

24. Контроль доступа, базирующийся на ролях. Описание, особенности кдбр в сравнении с дискреционным и мандатным кд

 

В данной модели субъекты действуют в соответствии с ролями.

Каждая роль включает в себя:

·         обязанности

·         ответственность

·         квалификацию

 

Особенности:

·         RBAC, в отличие от MAC и DAC, описывается на более высоком уровне — в терминах ролей, пользователей, операций и ресурсов. Исходя из этого он менее универсален.

·         Но зато, ввиду такой неформальности, можно использовать язык предикатов (счастье-то какое!)

Пользователь — лицо, имеющее доступ к ВС.

Роль — список выполняемых пользователем функций.

Операция — некоторое действие, на которое требуется ограничение доступа.

Субъект — активная сущность ВС.

У пользователя может быть несколько ролей.

Каким образом все это работает:

Пользователь хочет получить доступ к ресурсу. Для этого он активирует одну из своих ролей и превращается в субъекта. В зависимости от роли, определяются доступные операции и, если запрашиваемая операция есть в списке доступных для данной роли, получает доступ.

Пользователи, роли и операции относятся друг к другу, как многие ко многим. Пользователи и субъекты соотносятся как один ко многим.

25. Ролевая модель контроля доступа. Достоинства и недостатки. Основные понятия и принципы ролевой модели

КДБР рассматривает всю информацию, обрабатывающуюся в вычислительной системе организации, как принадлежащую данной организации.

В системах КДБР пользователи не могут передавать права на доступ к информации другим пользователям, что является фундаментальным отличием КДБР от дискреционного и мандатного доступа.

Таким образом, КДБР основывается на функции, которую пользователь выполняет внутри данной организации на основании своей роли.

Определение членства и распределение полномочий роли в КДБР (в отличие от дискреционного доступа) зависит не от системного администратора, а от политики безопасности, принятой в системе. Роль можно понимать как множество действий, которые пользователь или группа пользователей может исполнять в контексте организации. Понятие роли включает описание обязанностей, ответственности и квалификации. Функции распределяются по ролям администратором системы. Доступ пользователя к роли также определяется администратором системы.

Политики безопасности, основанные на КДБР, описываются в терминах пользователей, ролей, операций и защищаемых объектов. Для того чтобы применить некоторую операцию к защищаемому КДБР объекту, пользователь должен выполнять некоторую роль. До того, как пользователь может выполнять данную роль, он должен быть авторизован для данной роли системным администратором.

Пользователи, роли и операции.

КДБР  обеспечивает  отображение  "многие  ко  многим"  между  элементами множеств пользователей, ролей и операций.

 

 

 

Типы операций и объектов, доступ к которым контролирует КДБР, зависят от системы, для которой реализуется КДБР. Например, для операционной системы операции включают: чтение, запись, исполнение. Для системы управления базами данных - вставка, обновление, удаление. Множество объектов, доступ к которым ограничивает КДБР, включает все объекты, доступ к которым возможен под управлением КДБР.

Операция представляет собой команду или блок команд, который может быть вызван при выполнении роли, и является субъектом для ограничений в КДБР.

Роли и иерархия ролей.

Во многих организациях существует много общих операций, исполняемых всеми служащими. Следовательно, можно упростить администрирование системы, определив данные операции для каждой создаваемой роли. Как следствие, для облегчения администрирования и придания более естественной структуры политике безопасности, КДБР может включать иерархию ролей. Иерархия ролей определяет роли, имеющие уникальные атрибуты и, возможно, включающие прочие роли, так что одна роль может включать операции, объекты и ограничения, ассоциированные с другой ролью.

 

На данном рисунке показано, что Specialist "содержит" роли Cardiolog и Rheumatolog. Это означает, что специалист может выполнять все операции доступа (к соответствующим объектам с соответствующими ограничениями), определенные для кардиолога и ревматолога, без необходимости для администратора системы явно задавать их.

 

Авторизация и активация роли.

На ассоциацию пользователя с ролью могут быть наложены следующие ограничения:

  • пользователю может быть дано не больше привилегий, чем ему необходимо для выполнения работы (принцип наименьших привелегий)

  • роль не является взаимоисключающей для роли, к которой пользователь уже авторизован (политика статического разделения обязанностей)

  • численные ограничения, которые связаны с ролью, не превышаются.

В зависимости от политики безопасности, роль может быть активизирована, если:

  • пользователь, авторизованный для роли, потребовал активации;

  • требуемая операция авторизована для роли, которая запрашивается для активации;

  • активация роли не взаимно противоречит любой роли, активной для пользователя.

 

Операционное разделение обязанностей.

КДБР может использоваться администраторами систем для организации политики операционного разделения обязанностей. Данная политика безопасности требует, чтобы все операции, ассоциированные с некоторой функцией системы, не могли исполняться единственным пользователем.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности