Головна
Контакти Про проект Карта сайту Language EN Language RU

Методи обмеження доступу до інформації

В інформаційну безпеку введено визначення об'єкта та суб'єкта доступу. Кожен суб'єкт доступу може здійснювати деякі операції над об'єктом, які можуть бути дозволені або заборонені даному суб'єкту чи множині суб'єктів. Тому є методи обмеження доступу до інформації суб'єкта. Можливість доступу зазвичай з'ясовується лише на рівні операційної системи та визначається архітектурою операційної системи та поточною політикою безпеки. Для зручності опису методів та засобів обмеження доступу суб'єктів до об'єктів запроваджено деякі поняття.

Тому існують методи обмеження доступу до інформації суб'єкта

Метод доступу до об'єкта — це операція, визначена для цього об'єкта. Обмеження доступу до інформації пов'язане саме з обмеженням можливих методів доступу.

Власник об'єкта — суб'єкт, якому належить (створений ним) об'єкт і який несе відповідальність за конфіденційність інформації, що міститься в об'єкті, а також за доступ до об'єкта.

Право доступу до об'єкта — право на доступ до об'єкта за одним або групою методів доступу.

Розмежування доступу - сукупність правил, що визначає для кожної трійки суб'єкт - об'єкт - метод наявності або відсутності права доступу за вказаним методом.

Існує декілька моделей обмеження доступу до інформації. Найбільш поширеними є:

  • дискреційна модель обмеження доступу;
  • повноважна (мандатна) модель обмеження доступу. Дискреційна модель, або вибіркове обмеження доступу, характеризується наступним набором правил:
  • для будь-якого об'єкта існує власник;
  • власник може довільно обмежувати доступ суб'єктів до цього об'єкта;
  • для кожної трійки суб'єкт — об'єкт — метод можливість доступу визначено однозначно;
  • існує хоча б один привілейований користувач (адміністратор), який має можливість звернутися до будь-якого об'єкта за будь-яким методом доступу до інформації.

У цій моделі визначення прав доступу використовується матриця доступу, рядки якої — суб'єкти, а стовпці — об'єкти. У кожному осередку зберігається набір прав доступу даного суб'єкта до об'єкту. Типовий обсяг матриці доступу для сучасної операційної системи становить десятки мегабайт.

Повноважна (мандатна) модель характеризується наступним набором правил:

  • кожен об'єкт має гриф секретності. Чим вище його числове значення, тим таємніший об'єкт;
  • кожен суб'єкт доступу має рівень допуску.

Допуск суб'єкта до об'єкта у цій моделі дозволено лише у тому випадку, якщо суб'єкт має значення рівня допуску щонайменше, ніж значення грифа секретності об'єкта. Перевагою цієї моделі є необхідність зберігати великі обсяги інформації про обмеження доступу. Кожен суб'єкт зберігає значення свого рівня доступу до інформації, а кожен об'єкт — значення свого грифу секретності.

Інструменти