Доклад на тему: "Модель администрирования ролевого управления доступом"

В данной работе будет анализироваться модель администрирования ролевого управления доступом. Для начала разберемся в данной теме, и приведем основные понятия. В ходе изучения информационных источников опишем данную модель, все плюсы и минусы. Актуальность темы обусловлена тем, что большой объем данных организации имеют разную значимость и доступность. Из-за этого требуется предпринять ряд решений и мер по обеспечению многоуровневой защиты данных с возможностью добавления или удаления определенного уровня в зависимости от сетевой инфраструктуры и обрабатываемых данных, решающих определенную задачу. Именно для этого и вводятся RBAC.Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) — развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учётом специфики их применения, образуя роли. Формирование ролей призвано определить чёткие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа. Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых чётко определён круг их должностных полномочий и обязанностей.Универсальную модель ролевого управления доступом впервые предложили Дэвид Феррайоло и Ричард Кун из Национального Института Стандартов и Технологий США (NIST) в 1992 году. Документ давал определения основным понятиям, их отношениям и зависимостям, и представлял ролевое управление доступом (RBAC – Role Based Access Control) как альтернативу мандатному управлению (MAC – Mandatory Access Control) и избирательному управлению (DAC – Discretionary Access Control) доступом. Ролевое управление доступом обладает рядом важных положительных свойств. Например:Возможность построения иерархии ролей с наследованием набора прав. Это позволяет упростить ролевую модель, особенно в организациях с разнородной инфраструктурой, где используется много информационных систем. С использованием иерархии нет необходимости повторно указывать права в нескольких подобных ролях, достаточно поместить их в одну большую роль, как дочерние, указав лишь уникальные права для каждой роли. Просто и эффективно осуществляется предоставление одинаковых прав большому количеству пользователей – достаточно назначить пользователям одну роль.При необходимости изменения набора прав большому количеству пользователей достаточно изменить набор прав в роли.Возможность реализации принципа разделения полномочий (SoD – Segregation of Duties). Это значительно снижает риск предоставления пользователям избыточных полномочий, например, когда две роли не могут быть в один момент времени назначены одному пользователю.Использование RBAC для ограничения ненужного доступа к сети на основе ролей пользователей в организации имеет ряд преимуществ, в том числе:Повышение операционной эффективности. Благодаря RBAC компании могут снизить потребность в смене документов и паролей, когда нанимают новых сотрудников или меняют роли существующих сотрудников. RBAC позволяет организациям быстро добавлять и изменять роли, а также реализовывать их на разных платформах, в операционных системах и приложениях. Это также сокращает вероятность ошибки при назначении прав пользователя. Кроме того, с помощью RBAC компании могут легче интегрировать сторонних пользователей в свои сети, предоставляя им предопределенные роли.Повышение соответствия. Каждая организация должна соответствовать местным, государственным и федеральным нормам. Компании обычно предпочитают внедрять системы RBAC для удовлетворения нормативных и законодательных требований в отношении конфиденциальности, поскольку руководители и ИТ-отделы могут более эффективно управлять доступом и использованием данных. Это особенно важно для финансовых учреждений и медицинских организаций.Прозрачность и контроль. RBAC предоставляет системным администраторам больше прозрачности и контроля, а также гарантирует, что авторизованным пользователям и гостям в системе предоставляется доступ только к тому, что им нужно для выполнения своей работы.Сокращение затрат. Запретив пользователю доступ к определенным процессам и приложениям, компании могут экономить или более эффективно использовать ресурсы, такие как пропускная способность сети, память и хранилище.Снижение риска нарушений и утечки данных. Внедрение RBAC означает ограничение доступа к конфиденциальной информации, что снижает вероятность взлома или утечки данных.Так же существует ряд передовых методов, которым должны следовать организации при внедрении RBAC, в том числе:Необходимо определить ресурсы, доступом к которым требуется управлять, если они еще не перечислены, например, базы данных клиентов, системы электронной почты и т.д.Требуется произвести анализ рабочей силы и определение ролей с одинаковыми потребностями в доступе. Однако не стоит создавать слишком много ролей, поскольку это противоречит целям RBAC и создает систему контроля доступа на основе конкретного пользователя, а вовсе не его роли. Например, может существовать базовая роль пользователя, которая включает доступ, необходимый каждому сотруднику, например, к электронной почте и корпоративной интрасети. Другая роль может быть ролью представителя службы поддержки клиентов, которая будет иметь права на чтение / запись в базе данных клиентов, и еще одной ролью может быть роль администратора базы данных клиентов с полным контролем над ней.После создания списка ролей и их прав доступа требуется настроить эти права и выдать их пользователям сети.Определите процесс изменения роли, блокировки учетной записи сотрудника, покидающего компанию, и процесс регистрации новых сотрудников.Убедитесь, что RBAC интегрирован во все системы компании.Проводите обучение, чтобы сотрудники понимали принципы RBAC.Периодически проводите аудит ролей, корректности их назначения сотрудникам и параметров доступа, разрешенного для каждой роли. Если выясняется, что роль имеет ненужный доступ к определенной системе, измените роль и измените уровень доступа для тех лиц, которые находятся в этой роли.При определении модели RBAC полезны следующие соглашения: S = Тема = Человек или автоматический агент R = Роль = Должностная функция или должность, определяющая уровень полномочий P = Permissions = Утверждение режима доступа к ресурсу SE = Session = отображение, включающее S, R и / или P SA = Назначение темы PA = Назначение разрешений RH = Частично упорядоченная иерархия ролей. RH также можно записать: ≥ (Обозначение: x ≥ y означает, что x наследует разрешения y.) У субъекта может быть несколько ролей. Роль может иметь несколько субъектов. У роли может быть много разрешений. Разрешение может быть назначено многим ролям. Операции можно назначить множество разрешений. Разрешение может быть назначено многим операциям. Ограничение накладывает ограничивающее правило на возможное наследование разрешений от противоположных ролей, таким образом, его можно использовать для достижения соответствующего разделения обязанностей . Например, одному и тому же человеку не должно быть разрешено одновременно создавать учетную запись для входа и авторизовывать создание учетной записи.Таким образом, используя обозначения теории множеств : и является разрешением многие ко многим для отношения назначения ролей. и многие ко многим зависят от отношения назначения ролей. Субъект может иметь несколько одновременных сессий с / в разных ролях.Стандарт NIST / ANSI / INCITS RBAC (2004) признает три уровня RBAC: Ядро RBAC Иерархический RBAC, который добавляет поддержку наследования между ролямиОграниченный RBAC, который добавляет разделение обязанностейРисунок 1 – Схема ролевого управления доступом в среде AccessВ заключении хотелось бы отметить, что организациям стоит использовать RBAC для контроля доступа, предоставления особенных прав и возможностей пользователей. В случаи развития политики избирательного управления доступом необходимо сконцентрироваться на группировки с учетом специфики их применения, образуя роли. RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R/3 и множество других.