Контроль и управление правом доступа решают задачи по защите от незаконного проникновения на объекты и несанкционированного использования ресурсов. Выбор модели управления доступом — это определяющий, ключевой элемент защиты, который обеспечивает необходимый уровень безопасности для организаций и информационных систем любого назначения. Практическую действенность показали четыре научно разработанных модели и метода управления доступом, в которых учтены как специфики субъектов, так и степень важности безопасности объектов или ресурсов.
Модели управления доступом подразделяются на следующие категории:
- дискреционное (избирательное) управление;
- обязательный (мандатный) метод управления;
- ролевая модель управления;
- управление доступом на основе правил.
Дискреционный контроль доступа
Избирательный метод управления доступом предусматривает право владельца или администратора объекта определять и контролировать всех, кто имеет доступ к системе или ресурсам, основываясь на идентификационной информации о субъектах (ключи доступа), допущенных к контролируемой системе. Модель дискреционного доступа не представляет сложности в настройке и управлении, и совместима с большинством программного обеспечения и операционных систем, таких как Windows и других. При этом, администратор создает списки допускаемых к объекту и вид использования ресурса.
Преимущество дискреционного контроля доступа заключается в том, что администратор может легко и быстро настроить разрешения, определяя, кто и куда получает доступ. При этом, он основывается на интересах деятельности учреждения и режиме общей политики безопасности организации. Недостатком является то, что слишком много полномочий предоставляется администратору списка. Это может повлечь неумышленное предоставление доступа посторонним субъектам, которые могут нарушить целостность системы безопасности организации и распорядиться ресурсом без ведома владельца.
Мандатный контроль доступа
Обязательное или принудительное управление доступом считается наиболее ограничительной формой доступа, поскольку оно предоставляет контроль и управление системой и точками доступа только владельцу объекта или администратору системы. В обязательной модели контроля доступа применяется такое понятие, как метка объекта или мандат, который определяет степень важности ресурса и присваивается ему в момент создания. В мандатной модели пользователям не разрешается изменять уровень доступа к ресурсам, превышая тот, который изначально установлен администратором.
Если требуется повысить уровень доступа, то создается новый профиль с учетными данными пользователя. Администратору предоставлено право изменять настройки только в соответствии параметрами системы, которые определяются общей политикой безопасности объекта. Обязательный контроль доступа целесообразно использовать на объектах и для организаций, где требуется максимальная безопасность и ограничения. Это такие структуры как военные и правительственные учреждения, а также корпорации, которые считают необходимым применять повышенный уровень безопасности.
Модель ролевого управления доступом
Основной принцип ролевой модели предполагает распределение функций персонала с учетом вида деятельности организации в целом или работы конкретного подразделения, либо при выполнении отдельного проекта. При использовании ролевого метода нет нужды определять тип доступа для каждого отдельного пользователя ресурсом. Достаточно установить степень допуска для роли, которую исполняет пользователь ресурса в соответствии с должностными обязанностями или при выполнении отдельной задачи. При этом, допуск строго определен ролью исполняемой сотрудником и не выходит за пределы, предписанные изначальным сценарием.
Преимущество ролевого метода заключается в том, что доступом к ресурсу может пользоваться несколько пользователей, которые назначены на одну и ту же роль или наоборот — один сотрудник назначается на исполнение несколько ролей без пересмотра индивидуального уровня доступа. Однако, если в интересах работы исполнитель требует расширить сферу допуска, предусмотренную ролью, то администратор пересматривает степень доступа для каждого конкретного случая. Метод ролевого управления СКУД наиболее подходит для динамичных и изменчивых облачных систем управления.
Контроль и управление доступом на основе правил
Эта форма управления схожа с ролевым методом, но отличается тем, что владельцами объектов и администраторами ресурсов устанавливаются четкие правила по ограничению доступа к объекту в определенное время суток или разрешается только с конкретного устройства. Кроме того, разрешения к доступу могут быть определены количеством предыдущих попыток входа или местом нахождения пользователя. Также разрешения на доступ могут быть определены комбинацией установленных правилами действий.
Эта модель отлично подходит для управления доступом в организациях, располагающих большим количеством объектов с разной степенью уровня доступа и различным регламентом работы. Гибкость системы безопасности на основе правил позволяет определять множество комбинаций доступа в зависимости от меняющейся обстановки.