ПРАКТИЧЕСКАЯ РАБОТА №7

Тема: Построение системы разграничения доступа в базе данных на основе ролевой модели

Цель: формирование знаний о принципах построения системы разграничения доступа в базе данных на основе ролевой модели

Оборудование: персональный компьютер, ОС Windows 7

Время выполнения: 2 часа

Теоретический материал

В последнее время наряду с традиционными моделями дискреционного и мандатного доступа серьезное внимание уделяется моделям доступа, построенным на основе ролей. Особенно активно данная модель изучается в контексте решения задач защиты информации в автоматизированных системах. Это связано с тем, что в основу модели положена идея принадлежности всех данных системы некоторой организации, а не пользователю, как в случае моделей дискреционного и мандатного доступа.

Для упрощения логической структуры объектов управления вводится понятие иерархии ролей. Роль, входящая в иерархию, может включать другие роли, наследуя все привилегии включаемых ролей.

Для реализации политики безопасности организации на основе базовой модели вводится механизм ограничений. Ограничения позволяют поддерживать роли, для которых политика безопасности не допускает одновременное их отображение на конкретного пользователя, так называемые взаимно исключающие роли. Другие распространенные варианты ограничения: кардинальное число роли и роли с необходимым предусловием

Ролевая модель доступа ориентирована на упрощение и обеспечение формальной ясности в технологии обеспечения политики безопасности автоматизированной системы. 

Управление доступом в ролевой модели осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователя и их активизацию во время сеансов.

В ролевой модели доступа классическое понятие субъект разделяется на две части: пользователь и роль.

Пользователь- это человек, работающий с системой и выполняющий определенные служебные обязанности.

Роль- активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор привилегий, необходимых для осуществления определенной деятельности.

Примером роли может служить присутствующая в каждой ОС учетная запись администратора, который обладает специальными полномочиями и может исполняться несколькими пользователями.

Ролевая модель доступа включает 3 компонента:

- модель отображения "пользователь-роль"(ориентирована на корректное отображение множества пользователей на множество ролей в условиях децентрализованного управления; поддержка отношений "разрешено - назначить", "разрешено - отозвать");

- модель отображения "привилегия – роль (аналогично "пользователь-роль")";

- модель отображения "роль-роль" (реализация 3-х классов ролей: "возможности", "группы", "универсальные роли").

В ролевой модели доступа вводится понятие "иерархия ролей". Роль, входящая в иерархию может включать другие роли, наследую все привилегии, включаемых ролей.

Администрирование иерархии ролей. Определение правил администрирования, позволяющих изменять иерархию ролей, является самой сложной задачей, рассматриваемой в модели администрирования РРД. Для решения данной задачи используются подходы, реализованные при определении правил администрирования множеств авторизованных ролей пользователей и прав доступа ролей. Задаются три иерархии, элементами которых соответственно являются:

• возможности – множества прав доступа и других возможностей;

• группы – множества пользователей и других групп;

• объединения – множества пользователей, прав доступа, групп, возможностей и других объединений.

Иерархия объединений является наиболее общей и может включать в себя иерархии возможностей и групп. Определение возможностей и групп требуется для обеспечения соответствия правил администрирования ролей в модели и используемых на практике технологий обработки информации и создания административных структур организаций.

Например, для выполнения своих функций пользователю может быть необходим некоторый набор прав доступа, причем отсутствие в этом наборе некоторого права доступа может сделать бессмысленным обладание имеющимися правами.

На основе иерархий возможностей, групп и объединений задается иерархия ролей, элементами которой являются (UР-роли):

• роли-возможности – роли, которые обладают только определенными в соответствующей возможности правами доступа;

• роли-группы – роли, на которые могут быть авторизованы одновременно только все пользователи соответствующей группы;

• роли-объединения – роли, которые обладают возможностями, правами доступа и на которые могут быть авторизованы группы пользователей и отдельные пользователи.

Задания:

Задание 1. Определить права доступа для субъекта менеджер Сидоров в системе предприятия «Магазин по продаже сотовых телефонов».

Для этого:

1. Произвести инвентаризацию прав доступа сотрудника. Для этого составить список основных ресурсов предприятия.

Например, список ресурсов предприятия:

-         Active Directory

-         Файловые ресурсы

-         ERP-системы (1С, SAP, IBM, Microsoft)

-         CRM (Microsoft, IBM, amoCRM, SugarCRM)

-         СЭД (БОСС-референт, IBM lotus, Directum)

Основная задача – обеспечение сотрудникам необходимых и достаточных прав доступа для работы. Это права доступа строго необходимые для выполнения должностных обязанностей на текущий момент. Инвентаризация позволяет выявить привилегии, которые на данный момент исполнения обязанностей сотрудника не являются необходимыми.

2. Определить типовой доступ для данного сотрудника в системк предприятия

Типовой доступ – это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа (рис.1). Например, в 1С 8.2 – использование профиля «Менеджер», который включает в себя определенный набор элементарных ролей и прав доступа к таблицам. Или управление членством группы в Active Directory «Доступ к папке «Текущие проекты» чтение» для предоставления прав доступа к разделяемому каталогу. Использование шаблонов позволяет сократить время на аудит прав пользователя и формализует процедуру их предоставления.

Рисунок 1 – Использование шаблонных групп, ролей и профилей

Задание 2. Разработать функциональную ролевую модель доступа для субъекта менеджер Сидоров в системе предприятия «Магазин по продаже сотовых телефонов».

Для этого:

1. Разработать модель должностного доступа для данного сотрудника , используя шаблоны должностного доступа и шаблон бизнес – ролей.

Должностной доступ представляет собой набор базовых прав, которые имеют сотрудники одного отдела на одной должности (рис.2) Зачастую, это минимально необходимые привилегии для выполнения рабочих обязанностей.

Рисунок 2 – Использование шаблона должностного доступа

Бизнес - роли включают в себя типовой доступ, который сотрудник запрашивает (либо ему выдается) для выполнения определенных функций – участия в проекте, выполнения поручений руководства, командировка (рис.3).

Рисунок 3 – Использование шаблона бизнес - ролей

2. Составить общую схему ролевого доступа для данного сотрудника.

3. Составить отчет о проделанной работе.

Контрольные вопросы:

1.                 Что называют ролевой моделью доступа?

2.                Как осуществляется управление доступом в ролевой модели?

3.               Для чего производится инвентаризация прав доступа сотрудников?

4.               Что понимают под типовым доступом сотрудников?

5.               Что включают в себя бизнес- роли?

Скачано с www.znanio.ru