Что такое разграничение прав доступа в компьютерных сетях

Методы разграничения доступа

При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.

Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.

Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.

Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.

Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.

Модели разграничения доступа

Наиболее распространенные модели разграничения доступа:

  • дискреционная (избирательная) модель разграничения доступа;
  • полномочная (мандатная) модель разграничения доступа.

Дискреционная модель характеризуется следующими правилами:

  • любой объект имеет владельца;
  • владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
  • для каждого набора субъект – объект – метод право на доступ определен однозначно;
  • наличие хотя бы одного привилегированного пользователя (например, администратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.

В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.

Полномочная модель характеризуется следующими правилами:

  • каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
  • у каждого субъекта доступа есть уровень допуска.

Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.

Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.

Методы разграничения доступа

Виды методов разграничения доступа:

  1. Разграничение доступа по спискам Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.
  2. Использование матрицы установления полномочий При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы. В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др. Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.
  3. Разграничение доступа по уровням секретности и категориям Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен. При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.
  4. Парольное разграничение доступа Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.
Читайте также:  Перечень функции и характеристики компонентов компьютерной сети

На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.

Источник

Права доступа пользователей

В этой статье расскажем, с чего начинать, если необходимо настроить права доступа пользователей в организации к программам и файлам организации.

Зачем нужно разграничения прав доступа?

Утечка коммерческой информации сейчас является одной из главных проблем многих организаций. Кража данных – одна из частых причин потери денег организации, уволившиеся сотрудники могут скопировать список клиентов и передать его конкуренту или предоставить доступ к коммерческой тайне. Чтобы обезопасить предприятие от проблем, необходимо правильно организовать работу с информацией:

  • Определить список программ, с которыми работают сотрудники.
  • Составить список данных, к которым необходимо предоставить доступ определенному сотруднику.
  • Настроить права доступа в программах, согласно определенному списку.
  • Своевременное отключение пользователей от доступа к информации, если у него изменились задачи или он увольняется.

Способы разграничения прав доступа в локальной сети

В программах 1С существует гибкий механизм по настройке прав пользователей вплоть до редактирования определенной строки документа. Об этом мы уже писали в нашей статье Настройка прав доступа в 1С.

Если сотрудники работают в других программах и хранят файлы в локальной сети, то здесь также можно ограничить права доступа к определенным папкам на компьютере. Современные операционные системы Windows или Linux позволяют сделать это через учетные записи пользователей. Им будут предоставлены права на просмотр файлов, редактирование, изменение или копирование.

Способы разграничения прав доступа в онлайн-ресурсах

Сегодня многие сотрудники работают удаленно и используют онлайн-таблицы и редакторы документов для совместной работы. Чтобы обезопасить компанию от потери данных и не допустить нарушения прав доступа можно воспользоваться встроенными механизмами защиты. Усилить ее можно запретом создания скриншотов на компьютере пользователя или отслеживающими действия сотрудника программами. Также на российском рынке существуют закрытые системы по работе с онлайн-документами, например, Битрикс24, который позволяет гибко организовать доступ к данным и работу с ними в единой среде, куда пользователь получает доступ по логину и паролю.

Читайте также:  Локальная вычислительная сеть общие сведения

Также стоит обратить внимание на сохранность информации, если вы работаете в почтовых клиентах или онлайн-документах зарубежных разработчиков. Сегодня безопасность хранения данных на этих ресурсах может быть под большой угрозой, поэтому многие компании переходят на программное обеспечение отечественной разработки, такое как Мой офис или Яндекс.360.

Как правило, настроить права доступа пользователей в компании может системный администратор, который обладает достаточной квалификацией. Если в компании нет своего штатного специалиста, то правильно организовать разграничение прав помогут сотрудники компании «Первый Бит». А если вам необходимо бесперебойное обслуживание ИТ-инфраструктуры офиса, воспользуйтесь услугой ИТ-аутсорсинга, которые мы предоставляем по всей стране.

Если у вас остались вопросы, заполните форму, мы перезвоним, подскажем и проконсультируем, как обезопасить свои данные от утечек из компании.

Источник

Разграничение доступа

В любой организации спустя несколько лет работы формируется и закрепляется определенная система управления. Наличие достаточного штата сотрудников, разных подразделений, а также необходимость выполнения разнообразных задач подразумевают разграничение доступа пользователей. Это важный аспект для эффективного управления людскими ресурсами и поддержания информационной безопасности в компании.

разграничение доступа

Количество и разнообразие киберугроз с каждым годом увеличивается. Они несут ощутимые риски для компаний, особенно когда речь идет про работу с конфиденциальными сведениями, которые не могут находиться в открытом доступе для всех. Для защиты данных от утечки и их нецелевого использования применяется разграничение прав доступа. Это подразумевает внедрение определенной системы правил и ограничений, которые регламентируют порядок получения доступа пользователями к информационной системе, и действия, разрешенные к выполнению. Среди типичных прав встречаются:

  • Чтение и просмотр ресурсов. Это права с наименьшими привилегиями, которые могут распространяться на большую часть сотрудников компании необходимые для выполнения стандартных рабочих задач.
  • Запись. Права, позволяющие пользователю вносить изменения в систему. Например, обновление статистики через рабочее приложение и сохранение результатов.
  • Исполнение. Права высокого ранга, позволяющие выполнять важные действия в системе, которые несут последствия.
Читайте также:  Исходные данные для составления сетевой модели

Например, оплата счетов компании главным бухгалтером.

Разграничение доступа позволяет избежать многих нежелательных ситуаций, а также бесконтрольного использования привилегий. Чаще всего для управления правами используют ролевую систему с принципом наименьших привилегий пользователей.

разграничение прав доступа

Функции системы разграничения доступа

  1. Блокировать доступ тем сотрудникам, которые не обладают правами.
  2. Разрешать доступ тем сотрудникам, кто наделен соответствующими привилегиями.
  3. Ведение журнала доступа к ресурсам. Сбор информации, статистики, отражающей кто, когда получал доступ, какие действия выполнял.
  4. Уведомлять офицеров безопасности о попытках несанкционированного доступа к информационным ресурсам и совершенных нарушениях.
  5. Препятствовать утечкам данных за счет блокировки доступа к информационным ресурсам.
  6. Проведение идентификации и аутентификации пользователей в системе.
  7. Контроль целостности информационной и программной частей системы разграничения доступа.

Способы разграничения прав доступа

  • Индивидуальные. Вариант, когда одному пользователю прописываются разрешения и ограничения. Хороший пример здесь – генеральный директор, у которого открыто намного больше как данных, так и веб-ресурсов, чем у рядовых пользователей низкого ранга.
  • Групповые. В этом случае права разрешены или запрещены целому отделу, где группа людей выполняет сходные рабочие задачи. Например, отдел бухгалтерии располагает правами доступа к 1C и интернету, но в то же время не имеет прав доступа для внутренних ресурсов компании, имеющих отношение к отделу продаж или маркетинга. Групповое разграничение прав доступа считается оптимальным и гибким вариантом управления, потому что позволяет задать права целой группе пользователей, объединенных решением одинаковых задач. Это экономит время и исключает рутинную работу администраторов по назначению прав каждому сотруднику индивидуально.
  • Разделение функций ИТ и ИБ. Несмотря на то, что это разные по своим функциональным задачам службы, они тесно связанны межу собой работой, цифровыми технологиями, корпоративной инфраструктурой. При этом они располагают административными правами. Для того чтобы ИТ-сотрудники не могли изменять политики безопасности, а ИБ-сотрудники не могли вносить изменения в профили сотрудников выполняют разграничение доступа администраторов. Реализуется путем создания в системе двух ролей с уникальными возможностями – ИТ-администратор и ИБ-администратор.

Основные принципы контроля доступа

  1. Мониторинг и анализ всех запросов в информационной системе.
  2. Ведение журнала статистики и событий, происходящих внутри системы.
  3. Идентификация, аутентификация сотрудников при работе с информационными ресурсами.
  4. Парольная защита доступа.
  5. Оповещение офицеров безопасности о нарушениях или инцидентах.

Разграничение доступа – важная и эффективная защитная мера. Изначальное отсутствие привилегий, минимальный набор прав у пользователей многократно снижают риски информационной безопасности. В этом вопросе можно использовать Solar webProxy. Благодаря ему можно в автоматическом режиме контролировать доступ сотрудников компании веб-ресурсам, разделить профили администраторов и защитить ИТ-инфраструктуру от угроз, а также снизить риски утечки информации.

Источник

Оцените статью
Adblock
detector