УДК 004
Использование моделей разграничения доступа для защиты информации в локальной сети
Калашников Григорий Алексеевич – студент МИРЭА – Российского технологического университета.
Галимзянов Камиль Файзрахманович – студент МИРЭА – Российского технологического университета.
Аннотация: В статья рассматриваются методы разграничения доступа в информационных системах. Представлено сравнение моделей разграничения доступа в локальной сети. Автор подчеркивает необходимость использования разграничения в локальных сетях для предотвращения несанкционированного доступа к информации. Статья будет полезна специалистам в области защиты информации.
Ключевые слова: защита информации, разграничение доступа, модели управления доступом, ролевая модель разграничения доступа, мандатная модель разграничения доступа, дискреционная модель разграничения доступа, несанкционированный доступ.
С распространением компьютеров было необходимо создавать системы управления доступом в сети. Это привело к разработке множества моделей, которые объединили новые и старые знания, чтобы обеспечить целостность и конфиденциальность информации. С ростом количества пользователей и информации стали важными вопросы доступности информации и защиты ее от несанкционированного доступа. Модели разграничения доступа определяют правила доступа к данным.
В данной статье рассматривается применение моделей разграничения доступа для защиты информации в локальной сети.
Модель разграничения доступа – это структура, которая определяет, каким образом субъекты могут получать доступ к объектам. Для достижения целей этой модели применяются средства управления доступом и механизмы безопасности.
Существуют три основные модели: дискреционная, мандатная и ролевая, каждая со своими преимуществами и ограничениями. Оптимальную модель выбирают на основе целей бизнеса и безопасности, а также культуры и стиля управления компании.
Целью данной статьи является изучение применения моделей разграничения доступа в локальных сетях.
Объектом исследования является модели разграничения доступа.
Предметом исследования является применение этих моделей для защиты информации в локальной сети.
Практическая значимость данной работы заключается в том, что разработана новая модель разграничения доступа в локальной сети, которая улучшает показатели защищенности локальной сети, а также является более гибкой в использовании.
Рассмотрим основные модели разграничения доступа в локальных сетях.
Мандатное управление доступом – это система разграничения доступа на основе уровня доступа субъекта и защитной метки объекта, которая позволяет субъектам получать доступ только к объектам с меткой безопасности, имеющей тот же уровень или ниже уровня субъекта. Система также включает иерархическую структуру уровней доступа и категории, которые позволяют разграничивать доступ между субъектами с одинаковым уровнем доступа. Субъекты не могут наделять правами доступа другие субъекты, а настройки политик безопасности управляются либо администратором, либо специальным лицом. Мандатная модель обладает высоким уровнем управляемости безопасностью, но может быть сложной в настройке и не обеспечивать механизма зависимости прав доступа от мандата пользователя.
Дискреционная модель разграничения доступа позволяет пользователям управлять настройками политик безопасности и может быть реализована с использованием матрицы доступа, но обладает рядом недостатков, включая сложность централизованного контроля доступа и риск утечки конфиденциальной информации.
Ролевое разграничение доступа (РРД) – это усовершенствованная методика, которая используется для управления доступом к информации в компьютерных системах. В РРД используются роли, которые объединяют права доступа субъектов системы и определяются с учетом их функций. Основная идея управления доступом на основе ролей состоит в том, чтобы назначать разрешения доступа с учетом ролей, которые назначены каждому пользователю. РРД широко применяется в современных компьютерных системах и обеспечивает более четкие и понятные правила доступа для пользователей, которые имеют определенную должность, полномочия и обязанности. Он также упрощает администрирование системы благодаря своей объектно-ориентированной структуре и возможности связей между ролями. Важно придерживаться принципа минимизации полномочий при назначении ролей с различными вариантами доступа к данным.
Проблемой разграничения доступа для защиты информации занимались сотрудники компании MITRE Corporation Дэвид Белл и Леонард Лападула. Они создали модель Белла – Лападулы, которая была описана в 1975 году.
Сотрудники компании MITRE Corporation, Дэвид Белл и Леонард Лападула, занялись разработкой модели Белла – Лападулы для решения проблемы разграничения доступа и защиты информации. Эта модель основана на метках конфиденциальности и разделяет элементы информационной системы на субъекты и объекты с присвоением каждому уровня доступа и уровня секретности соответственно. Функции перехода между состояниями определяют, имеет ли каждый субъект доступ к соответствующим объектам по текущей политике безопасности. Матрица доступа описывает наборы уровней доступа и уровней секретности. На рисунке 1 показана схема работы модели Белла-Лападулы.
Рисунок 1. Схема работы модели Белла-Лападулы.
Классическая модель Белла-Лападулы недостаточно универсальна и гибка, так как запрещает запись ниже уровня конфиденциальности, не является универсальной для всех приложений и требует сложной настройки политик безопасности.
Для решения серьезного недостатка, который связан с плохой гибкостью и сложной настройки политик безопасности модели, мы предлагаем соединить мандатную модель разграничения доступа и ролевую модель разграничения доступа, тем самым получить модель, которая обладает защищенностью не хуже мандатной и при этом обладает высокой гибкостью в настройке и использовании.
Для построения модели воспользуемся специальным ПО для построения структуры и работы сетей – Cisco Packet Tracer. В простом своем виде модель будет состоять из компьютера и маршрутизатора. Маршрутизатор подключается к компьютеру по кроссоверному кабелю. На рисунке 2 представлена схема простой лоакльной сети.
Рисунок 2. Схема простой локальной сети.
Настроим интерфейс и зададим ip конфигурацию. Ниже на рисунке 3 представлена настройка интерфейса и конфигурации.
Рисунок 3. Настройка интерфейса и конфигурации.
Также настроим протокол telnet. Ниже на рисунке 4 представлена его настройка.
Рисунок 4. Настройка telnet.
Далее настроим разграничение прав доступа в локальной сети.В первой строке происходит назначение уровней прав пользователю, во второй команду, разрешенную для этого уровня, в третьей пароль для входа в привилегированный режим с этим уровнем. После этого из пользовательского режима можно выполнить команду enable 3 и введя пароль one попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2. Ниже будет представлен рисунок 5 с назначением прав пользователям в локальной сети.
Рисунок 5. Назначение прав пользователям в локальной сети.
Теперь права разграничены на 4 уровня. На первом доступны самые базовые команды, которые доступны всем. На втором доступны все из прошлого уровня + команды из второго уровня. На третьем доступны все из прошлого уровня + команды из третьего уровня. На четвертом доступны все команды.
На рисунке 6 представлен пример выполнения команд на третьем уровне прав доступа.
Рисунок 6. Пример выполнения команд на третьем уровне прав доступа.
В дальнейшем планируется добавить элементы ролевой модели разграничения доступа в локальной сети. Так чтобы достоинства мандатной модели остались и при этом повысилось гибкость использования модели в локальной сети для защиты информации.
Можно сделать вывод, что разграничение доступа в локальной сети является главным способом защиты от несанкционированного доступа. Такое нарушение безопасности может произойти в любом месте, от небольших компаний до крупных государственных организаций. Однако, если используются решения для разграничения доступа и соблюдаются правила защиты информации, можно свести к минимуму потенциальные угрозы и быть защищенным от кражи и копирования данных.
Список литературы
- Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург, 2003. – 328 с.
- ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006, под редакцией академика РАН Бетелина В. Б., 208 с.
- Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации, 2009. 173 с.
- Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.
- Обзор и сравнение существующих методов управления доступом Институт вычислительных технологий СО РАН, 2007, под редакцией академика РАН Клейменов С.А., 254 с.
- Модели систем разграничения доступа и политика безопасности информационной системы: [электронный ресурс] – URL: https://articlekz.com/article/32024 (дата обращения: 21.11.2022).