Delimitarea accesului este un set de reguli care reglementează ordinea și condițiile pentru accesul unui subiect la obiectele din sistemul de informații. De asemenea, aceste reguli sunt numite drepturi de acces sau politici de securitate. Există două modele principale de control al accesului:
- Diversificarea accesului obligatoriu;
- discreționar (selectiv) de control al accesului.
Controlul obligatoriu al accesului
În modelul obligatoriu, utilizatorii obișnuiți nu pot gestiona setările politicii de securitate. De exemplu, abilitatea de a accesa un obiect este determinată de nivelul de secretizare al obiectului și de nivelul de acces al utilizatorului, care sunt codificate greu pentru fiecare utilizator și obiect. Acest model are flexibilitate scăzută și complexitate ridicată în stabilirea politicilor de securitate, dar permite, în același timp, atingerea unui nivel ridicat de control al securității.
Controlul accesului discreționar
Controlul accesului discreționar (selectiv, controlat) - gestionarea accesului subiecților la obiecte se bazează pe faptul că utilizatorii pot gestiona setările politicii de securitate într-o măsură sau alta. Cea mai populară implementare a modelului discreționar este modelul care implementează restricția de acces la fișiere și obiecte de comunicare interprocesă în reprezentanții obișnuiți ai utilizatorilor din familiile sistemelor de operare Unix și Windows. În aceste implementări, utilizatorul poate modifica în mod arbitrar drepturile de acces la fișierul pe care la creat, de exemplu, îl face public.
Unul dintre conceptele standard care apar în implementarea standard a modelului de acces discreționar în sistemul de fișiere este proprietarul obiectului - entitatea responsabilă de confidențialitatea, integritatea și disponibilitatea obiectului. Proprietarul este responsabil pentru restrângerea corectă a accesului la acest obiect de către alte entități, cu alte cuvinte, are posibilitatea de a acorda anumite drepturi de acces la obiect unei alte entități. De obicei, proprietarul obiectului este atribuit automat subiectului care a creat acest obiect. În viitor, proprietarul poate fi modificat utilizând metoda de acces obiect adecvată.
Controlul selectiv al accesului este implementarea de bază a politicii de demarcare a accesului la resurse atunci când procesează informații confidențiale, în conformitate cu cerințele sistemului de securitate a informațiilor.
Versiunile îmbunătățite de securitate ale sistemelor de operare restricționează accesul la fișiere și alte obiecte prin utilizarea unei restricții de acces obligatorii. Ca rezultat, utilizatorul, chiar și în calitate de creator al obiectului, nu poate modifica arbitrar drepturile de acces la acest fișier. De asemenea, nu se garantează că, după creare, utilizatorul va păstra accesul la obiectul creat, cu excepția cazului în care este specificat în mod specific în politica de securitate relevantă.
privilegii
O altă noțiune care apare în implementarea unui model de acces discreționar este noțiunea de privilegiu pe o anumită metodă de acces. Ei spun că subiectul are un privilegiu. dacă are dreptul de a accesa prin orice metodă la toate obiectele care acceptă această metodă de acces.
De obicei, un grup mic de utilizatori privilegiați - controlează toate procesele și setările la nivel de sistem. Astfel de utilizatori sunt numiți superuseri.
Model de roluri
Un mijloc convenabil de a descrie politicile de securitate este modelul de rol. Un model de rol este un set de grupuri care combină utilizatorii cu același nivel de acces. Nivelul de acces la un obiect este determinat de totalitatea grupurilor de care aparține subiectul. De exemplu, dacă utilizatorul aparține grupului unității de sterilizare și șefilor departamentelor grupului. el are autoritatea prescrisă de șeful departamentului de sterilizare.
Un model de rol poate fi utilizat pentru a descrie politicile de securitate atât în modelul discreționar, cât și în cel obligatoriu de delimitare a accesului.