- •Содержание
- •Умышленные угрозы информации и защита от них. Локальный компьютер
- •1. Группы информационных угроз
- •Физическое хищение компьютерных носителей информации
- •Побочные электромагнитные излучения
- •Несанкционированные действия с информацией на пк
- •2. Методы защиты. Общие принципы организации защиты.
- •3. Аутентификация пользователя при входе в систему
- •3.1. Ввод пароля с клавиатуры
- •3.2. Использование электронных ключей
- •3.3. Виды электронных ключей Дискета
- •Магнитная карта
- •Карты Proximity
- •Rfid-метки
- •Классификация rfid-меток
- •По рабочей частоте
- •По источнику питания
- •Пассивные
- •Активные
- •Полупассивные
- •По типу используемой памяти
- •Применение rfid-меток Транспорт
- •Документы, удостоверяющие личность
- •Системы контроля и управления доступом (скуд)
- •Смарт-карты
- •Размеры sim карт
- •Идентификаторы Рутокен
- •Электронные ключи eToken
- •3.4. Биометрические методы аутентификации
- •Принцип работы биометрических систем
- •Классификация биометрических систем
- •Сканеры отпечатков пальцев
- •Сканеры отпечатка ладони
- •Сканирование черт лица
- •Аутентификация по голосу
- •Сканирование сетчатки глаза
- •Верификация подписи
- •4. Модели доступа
- •4.1. Дискреционное управление доступом
- •4.2. Управление доступом на основе ролей
- •Возможности и применение
- •4.3. Мандатное управление доступом
- •Особенности применения модели
- •Пользователи и группы
- •Виды прав доступа
- •5. Криптографическая защита информации
- •5.1. Классификация систем шифрования
- •Потоковые шифры
- •Блочные шифры
- •Симметричные (одно-ключевые) криптоалгоритмы
- •Асимметричные (двух ключевые) криптосистемы.
- •Комбинированный метод
- •Комбинированный метод (пример):
- •5.2. Технологии цифровых подписей.
- •5.3. Распространение открытых ключей
- •Технология pgp
- •Технология pki
- •Удостоверяющий центр
- •Регистрационный центр
- •Репозиторий
- •Архив сертификатов
- •Конечные пользователи
- •Сертификат открытого ключа
- •Поля сертификата
- •Корневой сертификат
- •Хеширование паролей.
- •5.4. Криптоанализ
- •Надежность криптографических методов.
- •6. Стеганография
- •6.1. Понятие стеганографии
- •6.2. Методы сокрытия информации в компьютерной стеганографии
- •6.3. Компьютерные вирусы и стеганография
- •7. Гарантированное уничтожение информации
- •8. Методы воздействия на средства защиты информации
- •9. Дополнительные рекомендации.
4.2. Управление доступом на основе ролей
Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) – развитие политики избирательного управления доступом, при этом права доступа субъектов системы к объектам группируются с учетом специфики их применения, образуя роли.
Формирование ролей призвано определить четкие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа.
Такое разграничение доступа является составляющей частью многих современных компьютерных систем. Как правило, данный подход применяется так же и в системах защиты СУБД. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.
Несмотря на то, что Роль является совокупностью прав доступа на объекты компьютерной системы, ролевое управление доступом отнюдь не является частным случаем избирательного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.
Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.
Возможности и применение
Технология управления доступом на основе ролей достаточно гибка и сильна, чтобы смоделировать как избирательное управление доступом (DAC), так и мандатное управление доступом (MAC).
До разработки Ролевой модели доступа, единственными известными моделями управления доступом были Мандатная и Дискреционная модели: если модель была не MAC, то она была DAC, и наоборот. Исследования, проводимые в 90-х годах показали, что Ролевая модель не попадает ни в ту, ни в другую категорию.
Роли создаются внутри организации для различных рабочих функций. Определенным ролям присваиваются полномочия для выполнения тех или иных операций. Штатным сотрудникам (или другим пользователям системы) назначаются фиксированные роли, через которые они получают соответствующие привилегии для выполнения фиксированных системных функций.
В организациях с разнородной IT-инфраструктурой, содержащих десятки и сотни систем и приложений, помогает использование иерархии ролей и наследования привилегий. Без этого использование Ролевой модели становится крайне запутанным.
Для больших систем с сотнями ролей, тысячами пользователей и миллионами разрешений, управление ролями, пользователями, разрешениями и их взаимосвязями является сложной задачей, которую нереально выполнить малой группой администраторов безопасности. В этом случае удобным решением является использование распределённой ролевой модели – привязка различных ролей, используемых в различных подсистемах, одним и тем же пользователям.
Ролевая модель доступа широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, Linux, FreeBSD, Solaris, СУБД Oracle, SAP R/3, Lotus Notes и множество других.