УДК 004

Использование моделей разграничения доступа для защиты информации в локальной сети

Калашников Григорий Алексеевич – студент МИРЭА – Российского технологического университета.

Галимзянов Камиль Файзрахманович – студент МИРЭА – Российского технологического университета.

Аннотация: В статья рассматриваются методы разграничения доступа в информационных системах. Представлено сравнение моделей разграничения доступа в локальной сети. Автор подчеркивает необходимость использования разграничения в локальных сетях для предотвращения несанкционированного доступа к информации. Статья будет полезна специалистам в области защиты информации.

Ключевые слова: защита информации, разграничение доступа, модели управления доступом, ролевая модель разграничения доступа, мандатная модель разграничения доступа, дискреционная модель разграничения доступа, несанкционированный доступ.

С распространением компьютеров было необходимо создавать системы управления доступом в сети. Это привело к разработке множества моделей, которые объединили новые и старые знания, чтобы обеспечить целостность и конфиденциальность информации. С ростом количества пользователей и информации стали важными вопросы доступности информации и защиты ее от несанкционированного доступа. Модели разграничения доступа определяют правила доступа к данным.

В данной статье рассматривается применение моделей разграничения доступа для защиты информации в локальной сети. 

Модель разграничения доступа – это структура, которая определяет, каким образом субъекты могут получать доступ к объектам. Для достижения целей этой модели применяются средства управления доступом и механизмы безопасности.

Существуют три основные модели: дискреционная, мандатная и ролевая, каждая со своими преимуществами и ограничениями. Оптимальную модель выбирают на основе целей бизнеса и безопасности, а также культуры и стиля управления компании.

Целью данной статьи является изучение применения моделей разграничения доступа в локальных сетях.

Объектом исследования является модели разграничения доступа.

Предметом исследования является применение этих моделей для защиты информации в локальной сети.

Практическая значимость данной работы заключается в том, что разработана новая модель разграничения доступа в локальной сети, которая улучшает показатели защищенности локальной сети, а также является более гибкой в использовании.

Рассмотрим основные модели разграничения доступа в локальных сетях.

Мандатное управление доступом – это система разграничения доступа на основе уровня доступа субъекта и защитной метки объекта, которая позволяет субъектам получать доступ только к объектам с меткой безопасности, имеющей тот же уровень или ниже уровня субъекта. Система также включает иерархическую структуру уровней доступа и категории, которые позволяют разграничивать доступ между субъектами с одинаковым уровнем доступа. Субъекты не могут наделять правами доступа другие субъекты, а настройки политик безопасности управляются либо администратором, либо специальным лицом. Мандатная модель обладает высоким уровнем управляемости безопасностью, но может быть сложной в настройке и не обеспечивать механизма зависимости прав доступа от мандата пользователя.

Дискреционная модель разграничения доступа позволяет пользователям управлять настройками политик безопасности и может быть реализована с использованием матрицы доступа, но обладает рядом недостатков, включая сложность централизованного контроля доступа и риск утечки конфиденциальной информации.

Ролевое разграничение доступа (РРД) – это усовершенствованная методика, которая используется для управления доступом к информации в компьютерных системах. В РРД используются роли, которые объединяют права доступа субъектов системы и определяются с учетом их функций. Основная идея управления доступом на основе ролей состоит в том, чтобы назначать разрешения доступа с учетом ролей, которые назначены каждому пользователю. РРД широко применяется в современных компьютерных системах и обеспечивает более четкие и понятные правила доступа для пользователей, которые имеют определенную должность, полномочия и обязанности. Он также упрощает администрирование системы благодаря своей объектно-ориентированной структуре и возможности связей между ролями. Важно придерживаться принципа минимизации полномочий при назначении ролей с различными вариантами доступа к данным.

Проблемой разграничения доступа для защиты информации занимались сотрудники компании MITRE Corporation Дэвид Белл и Леонард Лападула. Они создали модель Белла – Лападулы, которая была описана в 1975 году.

Сотрудники компании MITRE Corporation, Дэвид Белл и Леонард Лападула, занялись разработкой модели Белла – Лападулы для решения проблемы разграничения доступа и защиты информации. Эта модель основана на метках конфиденциальности и разделяет элементы информационной системы на субъекты и объекты с присвоением каждому уровня доступа и уровня секретности соответственно. Функции перехода между состояниями определяют, имеет ли каждый субъект доступ к соответствующим объектам по текущей политике безопасности. Матрица доступа описывает наборы уровней доступа и уровней секретности. На рисунке 1 показана схема работы модели Белла-Лападулы.

1

Рисунок 1. Схема работы модели Белла-Лападулы.

Классическая модель Белла-Лападулы недостаточно универсальна и гибка, так как запрещает запись ниже уровня конфиденциальности, не является универсальной для всех приложений и требует сложной настройки политик безопасности.

Для решения серьезного недостатка, который связан с плохой гибкостью и сложной настройки политик безопасности модели, мы предлагаем соединить мандатную модель разграничения доступа и ролевую модель разграничения доступа, тем самым получить модель, которая обладает защищенностью не хуже мандатной и при этом обладает высокой гибкостью в настройке и использовании.

Для построения модели воспользуемся специальным ПО для построения структуры и работы сетей – Cisco Packet Tracer. В простом своем виде модель будет состоять из компьютера и маршрутизатора. Маршрутизатор подключается к компьютеру по кроссоверному кабелю. На рисунке 2 представлена схема простой лоакльной сети.

2

Рисунок 2. Схема простой локальной сети.

Настроим интерфейс и зададим ip конфигурацию. Ниже на рисунке 3 представлена настройка интерфейса и конфигурации.

3

Рисунок 3. Настройка интерфейса и конфигурации.

Также настроим протокол telnet. Ниже на рисунке 4 представлена его настройка.

4

Рисунок 4. Настройка telnet.

Далее настроим разграничение прав доступа в локальной сети.В первой строке происходит назначение уровней прав пользователю, во второй команду, разрешенную для этого уровня, в третьей пароль для входа в привилегированный режим с этим уровнем. После этого из пользовательского режима можно выполнить команду enable 3 и введя пароль one попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2. Ниже будет представлен рисунок 5 с назначением прав пользователям в локальной сети.

5

Рисунок 5. Назначение прав пользователям в локальной сети.

Теперь права разграничены на 4 уровня. На первом доступны самые базовые команды, которые доступны всем. На втором доступны все из прошлого уровня + команды из второго уровня. На третьем доступны все из прошлого уровня + команды из третьего уровня. На четвертом доступны все команды.

На рисунке 6 представлен пример выполнения команд на третьем уровне прав доступа.

6

Рисунок 6. Пример выполнения команд на третьем уровне прав доступа.

В дальнейшем планируется добавить элементы ролевой модели разграничения доступа в локальной сети. Так чтобы достоинства мандатной модели остались и при этом повысилось гибкость использования модели в локальной сети для защиты информации.

Можно сделать вывод, что разграничение доступа в локальной сети является главным способом защиты от несанкционированного доступа. Такое нарушение безопасности может произойти в любом месте, от небольших компаний до крупных государственных организаций. Однако, если используются решения для разграничения доступа и соблюдаются правила защиты информации, можно свести к минимуму потенциальные угрозы и быть защищенным от кражи и копирования данных.

Список литературы

  1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург, 2003. – 328 с.
  2. ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006, под редакцией академика РАН Бетелина В. Б., 208 с.
  3. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации, 2009. 173 с.
  4. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.
  5. Обзор и сравнение существующих методов управления доступом Институт вычислительных технологий СО РАН, 2007, под редакцией академика РАН Клейменов С.А., 254 с.
  6. Модели систем разграничения доступа и политика безопасности информационной системы: [электронный ресурс] – URL: https://articlekz.com/article/32024 (дата обращения: 21.11.2022).

Интересная статья? Поделись ей с другими: