Модели безопасности контроля доступа
В этом разделе мы объясняем, что такое модели безопасности контроля доступа, и обсуждаем наиболее часто встречающиеся модели.
Что такое модели безопасности контроля доступа?
Модель безопасности контроля доступа — это формально определенный набор правил контроля доступа, независимый от технологии или платформы реализации. Модели безопасности контроля доступа реализуются в операционных системах, сетях, системах управления базами данных, а также в программном обеспечении приложений и веб-серверов. На протяжении многих лет были разработаны различные модели безопасности контроля доступа, чтобы согласовать политики контроля доступа с бизнес или организационными правилами и изменениями технологий.
Программный контроль доступа
При программном контроле доступа матрица пользовательских привилегий хранится в базе данных или аналогичном хранилище, а контроль доступа применяется программно с учетом этой матрицы. Такой подход к контролю доступа может включать роли, группы или отдельных пользователей, коллекции данных, рабочие процессы и может быть весьма детализированным.
Дискреционный контроль доступа (DAC)
При дискреционном контроле доступа доступ к ресурсам или функциям ограничивается на основе пользователей или именованных групп пользователей. Владельцы ресурсов или функций могут назначать или делегировать пользователям права доступа. Эта модель обладает высокой степенью детализации, когда права доступа определяются для конкретного ресурса или функции и конкретного пользователя. В результате модель может становиться очень сложной в проектировании и управлении.
Мандатный контроль доступа (MAC)
Мандатный контроль доступа — это централизованно управляемая система контроля доступа, в которой ограничивается доступ субъекта к некоторому объекту (файлу или другому ресурсу). Важно, что в отличие от DAC пользователи и владельцы ресурсов не могут делегировать или изменять права доступа к своим ресурсам. Эта модель часто ассоциируется с системами, основанными на допусках по уровням секретности, например военными.
Ролевой контроль доступа (RBAC)
При ролевом контроле доступа определяются именованные роли, которым назначаются права доступа. Пользователи затем назначаются на одну или несколько ролей. RBAC обеспечивает более удобное управление по сравнению с другими моделями контроля доступа и, при корректном проектировании, достаточную детализацию, чтобы обеспечивать управляемый контроль доступа в сложных приложениях. Например, «специалист по закупкам» может быть определен как роль с правами доступа к подмножеству функциональности учёта покупок и связанных ресурсов. По мере ухода или прихода сотрудников управление доступом упрощается до назначения или отзыва членства в роли специалиста по закупкам.
RBAC наиболее эффективна, когда ролей достаточно для корректного применения контроля доступа, но не настолько много, чтобы сделать модель чрезмерно сложной и трудной в управлении.
Last updated