Засоби управління доступом дозволяють специфікувати і контролювати дії, які суб'єкти (користувачі і процеси) можуть виконувати над об'єктами (інформацією та іншими комп'ютерними ресурсами). В даному розділі мова йде про логічне (на відміну від фізичного) управлінні доступом, який реалізується програмними засобами.
Розглянемо формальну постановку задачі. Є сукупність суб'єктів і набір об'єктів. Завдання логічного управління доступом полягає в тому, щоб для кожної пари (суб'єкт, об'єкт) визначити безліч допустимих операцій (залежне, можливо, від деяких додаткових умов) і контролювати ...
виконання встановленого порядку. Ставлення (суб'єкти, об'єкти), можна представити у вигляді матриці. в рядках якої перераховані суб'єкти, в шпальтах - об'єкти, а в клітинах, розташованих на перетині рядків і стовпців, записані додаткові умови (наприклад, час і місце дії) і дозволені види доступу, наприклад:
де 01 - читання, 10 - запис, 11 - читання і запис, 00 - немає доступу до даного об'єкта даних. Суб'єктами можуть бути конкретні користувачі, групи користувачів, ролі. Об'єктами, крім елементів даних, можуть бути термінали, програми. Елементи матриці Аij можуть вказувати деякі додаткові процедури, які виконуються при кожній спробі доступу. Наведемо приклади таких процедур:
2. Доступ до ресурсу дозволяється тільки в робочий час.
Тема логічного управління доступом - одна з найскладніших в області інформаційної безпеки. Причина в тому, що саме поняття об'єкта (а тим більше видів доступу) змінюється від сервісу до сервісу. Для операційної системи в число об'єктів входять файли, пристрої та процеси. Стосовно до файлів і пристроїв зазвичай розглядаються права на читання, запис, виконання (для програмних файлів), іноді на видалення та додавання. Окремим правом може бути можливість передачі повноважень доступу іншим суб'єктам (так зване право володіння). Процеси можна створювати і знищувати. Сучасні операційні системи можуть підтримувати і інші об'єкти.
Навігація по публікаціям
Засоби управління доступом дозволяють специфікувати і контролювати дії, які суб'єкти (користувачі і процеси) можуть виконувати над об'єктами (інформацією та іншими комп'ютерними ресурсами). В даному розділі мова йде про логічне (на відміну від фізичного) управлінні доступом, який реалізується програмними засобами.