2015-05-13
556
Одним из непременных условий обеспечения безопасности информационных систем является управление доступом пользователя к информационным ресурсам. Необходимо кон-тролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям. Для обеспечения надѐжной защиты данных, доступ к ин-формационным ресурсам компании необходимо строго регла-ментировать. Для этого сначала следует получить ответы на следующие вопросы [30]:
1) Кто, кому, при каких условиях, к каким ресурсам и при каких видах доступа должен обеспечивать доступ к информационным ресурсам?
2) Какие аппаратно-программные комплексы по разграничению доступа и определению для всех пользователей информационных и программных ресурсов будут использоваться?
3) Каким образом будет происходить управление процедурой доступа? Для начала следует описать все ресурсы компании (файлы, каталоги, базы данных), определить категории пользователей (их роли и задачи) и права доступа для каждой категории к ресурсам компании. Категорирование ресурсов является важным аспектом при разграничении доступа к информации, поскольку в нѐм определяется, какую важность представляет та или иная информация и соответствующий доступ к ней. Таким образом, можно разделить три уровня информации: - строго конфиденциальная информация (например, база данных сотрудников компании или клиентская база); - конфиденциальная информация (к примеру, корпоративная почта); - открытая информация (web-сайт компании). Вариантов организации различного уровня доступа к сетевым ресурсам на данный момент достаточно много. Кроме традиционного доступа на уровне ресурсов, существует возможность разграничение трафика, например, на основе виртуальных локальных сетей (VLAN) или IPSec. Администратор сети организует несколько виртуальных сетей, при этом пользователи одной виртуальной сети не имеют доступа к ресурсам другой виртуальной сети. Таким способом удобно организовывать работу разных отделов компании, чтобы каждый отдел использовал свою виртуальную сеть. Управление доступом защищает против неавторизованного использования ресурсов информационной системы и может быть обеспечено при помощи механизмов управления доступом и механизмов привилегий. Управление доступом может быть достигнуто при исполь-зовании дискреционного управления доступом или мандатного управления доступом [70]. Дискреционное управление доступом - наиболее общий тип управления доступом, используемого в информационной системе. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи (или программы, выполняющиеся от его имени) к информации, находящейся в ведении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты, в том, что оно реализует решения по управлению доступом, принятые пользователем. Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации. Существуют механизмы управления доступом, которые поддерживают степень детализации управления доступом на уровне следующих категорий: владелец информации, заданная группа пользователей и «мира» (всех других авторизованных пользователей). Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей, и позволяет владельцу файла определить особые права доступа для указанной группы людей, а также для всех остальных (мира). В общем случае, существуют следующие права доступа: доступ по чтению, доступ по записи, и доступ для выполнения. Некоторые операционные системы обеспечивают дополнительные права доступа, которые позволяют модификацию, только добавление и т.д. Операционная система может поддерживать профили пользователя и списки возможностей или списки управления доступом ддя определения прав доступа для большого количества отдельных пользователей и большого количества различных групп. Использование этих механизмов позволяет обеспечить боль-шую гибкость в предоставлении различных прав доступа для различных пользователей, которые могут обеспечить более строгий контроль доступа к файлам (или каталогам). Списки управления доступом определяют права доступа специфици-рованных пользователей и групп к данному файлу или каталогу. Списки возможностей и профили пользователя определяют файлы и каталоги, к которым можно обращаться данным пользователям (или пользователю).
ВЫВОД
Существуют механизмы управления доступом, которые поддерживают степень детализации управления доступом на уровне следующих категорий: владелец информации, заданная группа пользователей и «мира» (всех других авторизованных пользователей). Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей, и позволяет владельцу файла определить особые права доступа для указанной группы людей, а также для всех остальных (мира).
