Система контроля управления доступом, основанного на ролях

     Федеральное агентство связи
     Федеральное государственное образовательное бюджетное учреждение
     высшего профессионального образования
«Поволжский государственный университет телекоммуникаций и информатики»
    
    
    Казанский филиал
    
    Специальность    210406  Сети связи и системы коммутации
    Кафедра                  Естественных и технических дисциплин
    
    ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
   (ДИПЛОМНЫЙ ПРОЕКТ)

   Система контроля управления доступом, основанного  на ролях.
    
    
    
    

Утверждаю
Зав. кафедрой, д.т.н., профессор
    
Г.А. Морозов
       
             Должность             Уч. степень, звание       Подпись
Дата
Инициалы Фамилия
Руководитель
Ст. преподаватель Е и ТД 
    
Ю.Н. Иванов
Н. контролер
                      
                       
Е.Г. Вохмянина 
Консультант
по ТБ и ОТ
    

 В.Ю. Виноградов
Консультант
по ТЭО
    
    
Е.Г. Вохмянина
Разработал
  02 СС и СК
    
Д.К. Васильев
    
         Группа                             	          Подпись	
Дата
Инициалы Фамилия

ВКР проверку на антиплагиат прошла
    
    
    
       
       

                 Подпись
Дата
Инициалы Фамилия
    Казань 2014
Содержание
Задание………………………………………………………………………………..3 Содержание.………………………………………………………………………….4
Отзыв руководителя…………………………………………………………………7
Показатели качества ВКР…………………………………………………………. ..9
Рецензия…………………………………………………………………………….10
Аннотация	………………………………………………………………………….11
Список сокращений	12
Введение	13
1.	Исследование существующих моделей контроля доступа	17
    1.1 Назначение моделей контроля доступ…………………………………17
    1.2 Дискреционные модели разграничения доступа……………………..18
    1.3 Мандатные модели разграничения доступа…………………………..22
    1.4 Ролевая модель разграничения доступа………………………………26
    1.5 Области применения……………………………………………………34
    1.6  Проблема проектирования ролевой модели контроля доступа в организации………………………………………………………………………..37
    1.7Выводы……………………………………………………………………37
2.	Средства реализации ролевого контроля доступа в организации	39
    2.1 Oracle Identity Manager	39
    2.2 Oracle Role Manager	49
    2.3 Выводы	47
3.	Методика проектирования ролевой модели контроля доступа на предприятии	50
    3.1 Data Mining	50
    3.2 Инструмент анализа данных Weka	52
    
    
    3.3 Кластерный анализ	53
    3.4 Методика проектирования ролевой модели контроля доступа на предприятии………………………………………………………………………...57
    3.5 Выводы	69
4. Разрабодка СКУД…………………………………………………………….
4.1 Системные устройства………………………………………………………
4.2 Применение…………………………………………………………………..
4.3 Разработка архитектуры системы………………………………………….
5.	Раздел БЖД	113
5.5	Выводы	135
6.	Экономическая частЬ	136
6.1	Расчет и оценка экономической эффективности разработки и проектирования системы ролевого управления доступом в организации	136
6.2	Общее описание системы	136
6.3	Расчет единовременных затрат	137
6.4	Расчет постоянных затрат	139
6.5	Затраты на обучение сотрудников	140
6.6	Затраты на электроэнергию	140
6.7	Оценка эффективности проекта	141
6.8	Вывод	143
Заключение	144
Список литературы	145
 Аннотация
    Работа состоит из 146 страниц, содержит 45 рис ., 16 табл., 18 источников.
    
    МОДЕЛЬ РАЗГРАНИЧЕНИЯ ДОСТУПА, МЕТОДИКА ПРОЕКТИРОВАНИЯ РОЛЕВОГО КОНТРОЛЯ ДОСТУПА, СРЕДСТВА РЕАЛИЗАЦИИ РОЛЕВОГО КОНТРОЛЯ ДОСТУПА, ORACLE ROLE MANAGER, ORACLE IDENTITY MANAGER, ПРОБЛЕМА ПРОЕКТИРОВАНИЯ РОЛЕВОГО КОНТРОЛЯ ДОСТУПА, ИНСТРУМЕНТ АНАЛИЗА ДАННЫХ DATA MINING, КЛАСТЕРНЫЙ АНАЛИЗ, ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ ИДЕНТИФИКАЦИОННЫМИ ДАННЫМИ В ПРИКЛАДНЫХ СИСТЕМАХ
    
    Дипломный проект посвящен созданию методики проектирования ролевого контроля доступа в организации, а также реализации данной методики с помощью программного комплекса, состоящего из следующих продуктов:
1) Weka;
2) Oracle Role Manager;
3) Oracle Identity Manager.
Список сокращений
    КС – компьютерная система
    ОС – операционная система
    НСД – несанкционированный доступ
    СКД -  система контроля доступа
    NRU - правило нет чтения вверх(not read up)
    NWD – правило нет записи вниз (not write down)
    БД – база данных
    СУБД – система управления базой данных
    АС – автоматизированная система
    СРД – система разграничения доступа
    OIM – Oracle Identity Manager
    ORM -  Oracle Role Manager
                                             Введение
    В настоящее время для многих организаций и частных лиц стало характерным то, что увеличилось количество краж личного и общественного имущества. Особенно эта проблема стала актуальной для крупных организаций где нарушение безопасности может нанести огромный материальный ущерб, как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности. В следствие чего возникла проблема защиты и контроля доступа в помещения. И сейчас данная проблема представляет собой совокупность тесно связанных под проблем в областях права, организации, управления, разработки технических средств, программирования и математики. Одна из центральных задач проектирования системы защиты состоит в надежном и эффективном управлении доступом на объект защиты.
    Процедура управления доступом сводится к взаимному опознаванию пользователя и системы и установления факта допустимости использования ресурсов конкретным пользователем в соответствии с его запросом. Средства управления доступом обеспечивают защиту охраняемого объекта как от неавторизованного использования, так и от несанкционированного обслуживания системой. Защита реализуется процедурами идентификации, установления подлинности и регистрации обращений.
    Процедура идентификации реализует задачу присвоения каждому пользователю конкретного кода с целью последующего опознавания и учета обращения. Принятая система идентификации служит исходной предпосылкой для последующего контроля подлинности доступа.
    В настоящее время существует много вариантов систем защиты и контроля доступа в помещения. Но как правило, они являются дорогими, сложными, имеют недостаточное количество функциональных возможностей и используют устаревшую элементную базу. Это не позволяет решать проблему массовой тотальной охраны квартир и служебных помещений. Для расширения функциональных возможностей и для снижения стоимости при разработке охранных систем необходимо использовать микропроцессоры, что позволит реализовать аппаратуру с улучшенными техническими и потребительскими характеристиками.
    Сейчас начинают получать распространение интегрированные системы обеспечения безопасности, которые позволяют осуществлять полный спектр электронного управления всеми процессами, происходящими в структуре объекта.
    В случае организации системы контроля доступа при помощи электронного оборудования каждому из пользователей (сотрудники предприятия, охрана, гости и т. д.) выдается электронный идентификатор: магнитная карта, получившая наибольшее распространение в последние годы, но, к сожалению, уже не позволяющая избежать подделок и достаточно быстро изнашивающаяся, индуктивная карта или ключ, имеющие более высокую устойчивость к копированию и значительно больший срок жизни или специальный ключ (брелок) со встроенным микрочипом, срок жизни которых практически равен времени жизни системы, а попытка взлома приводит к разрушению носителя информации.
    Система защиты и контроля доступа в помещения позволяет при помощи центрального микропроцессора производить сбор информации со всех опознающих устройств (считывателей), обрабатывать ее и управлять исполнительными устройствами, начиная с автоматических ворот на КПП объекта и, заканчивая тяжелыми дверьми банковских хранилищ.
    Кроме того, подавляющее большинство недостатков средств защиты АС связано с контролем доступа – 89%, а на идентификацию/аутентификацию и контроль целостности приходится незначительная часть ошибок. Из чего следует, что основной причиной появления уязвимостей, приведших к нарушениям безопасности АС, является низкое качество создаваемых систем контроля и управления доступом вследствие ошибок, допущенных на первоначальных этапах жизненного цикла системы.
    Выходом из данной ситуации является построение гарантированно защищенных информационных систем, основанное на применении формальных моделей безопасности на всех этапах жизненного цикла системы, особенно на этапе проектирования. При этом наиболее важным является использование формальных моделей при проектировании систем разграничения доступа (СРД).
    Вместе с тем, как отмечают многие исследователи, вопрос выбора и применения конкретных формальных моделей для построения СРД крупных АС в настоящее время недостаточно проработан. В первую очередь это связано с тем, что АС крупных предприятий являются многофункциональными системами, предназначенными для автоматизации широкого спектра областей и направлений деятельности, в работу с которыми вовлечено значительное количество сотрудников предприятия. Такие АС имеют исторически сложившуюся модульную структуру и обеспечивают доступ к информационным ресурсам системы множества пользователей с учетом сложной организационно-управленческой структуры. При этом ни одна из существующих моделей управления доступом не учитывает особенностей ролевой структуры пользователей АС в применении к взаимодействующим функциональным модулям, что не позволяет адекватно и полно описывать происходящие в системе информационные процессы.
    Кроме того, использование существующих формальных моделей разграничения доступа осложняется наличием следующих нерешенных задач [1]: 
1) при построении СРД достаточно сложно интерпретировать формальную модель в реальной системе, то есть обеспечить полное соответствие абстрактных сущностей и процессов модели реальным объектам и правилам функционирования системы;
2) при создании СРД существует проблема автоматизированного построения модели контроля доступа и централизованного управления правами доступа во всех прикладных системах организации;
3) классические модели не содержат количественных параметров разграничения доступа и тем самым не предоставляют формализованных методов оценки эффективности СРД АС.
    Целью данного дипломного проекта является повышение эффективности процесса формирования ролевой политики безопасности в организации за счет разработки методики и автоматизированного выполнения отдельных процедур. Для достижения данной цели необходимо решить следующие задачи:
1) провести сравнение существующих моделей контроля доступа, а также анализ проблемы проектирования ролевой модели контроля доступа в АС;
2) провести анализ методов и средств проектирования систем ролевого контроля доступа;
3) разработать методику проектирования ролевой модели контроля доступа в организации, предлагающую способы автоматизации входящих в нее задач;
1. Исследование существующих моделей контроля доступа
    Данная глава посвящена теоретическому аспекту изучаемого вопроса. В ней произведено исследование существующих моделей контроля доступа, а также произведен анализ основной проблемы возникающей при проектировании ролевого контроля доступа в организации. 
1.1  Назначение моделей контроля доступа
    Модели безопасности играют важную роль в процессах разработки и исследования защищенных систем, так как обеспечивают системотехнический подход, включающий решение следующих важнейших задач:
1) выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реализации средств и методов защиты объектов;
2) подтверждение свойств (защищенности) разрабатываемых систем путем формального доказательства соблюдения политики безопасности (требований, условий критериев);
3) составление формальной спецификации политики безопасности как важнейшей составной части организационного и документационного обеспечения разрабатываемых защищенных систем.
    Среди множества моделей безопасности можно выделить основные типы моделей: дискреционные модели, мандатные модели, модели с ролевым разграничением доступа.
    Необходимо отметить, что эти модели не обязательно применяются отдельно друг от друга, а могут комбинироваться для удовлетворения различных требований к безопасности системы. При этом комбинирование различных моделей может быть довольно простым, если они не противоречат друг другу. Т.е. если не существует ситуаций, когда, исходя из одной модели, субъект имеет доступ к объекту, а из другой не имеет. Эти конфликты должны разрешаться на уровне администрирования системы.
1.2  Дискреционные модели разграничения доступа
1.2.1. Общая характеристика дискреционных моделей
    Дискреционные модели безопасности – модели, основанные на дискреционном управлении доступом  (Discretionary  Access  Control), которое определяется двумя свойствами[2]:
1) все субъекты и объекты идентифицированы;
2) права доступа субъектов к объектам системы определяются на основании некоторого внешнего по отношению к системе правила. 
    Основным элементом моделей дискреционного разграничения доступа является матрица доступов. Классическими моделями данного типа является модель на основе матрицы доступа, модель Харрисона-Руззо-Ульмана и модель Take-Grant.
    В теоретическом и практическом плане наибольшее развитие и применение получили дискреционные модели, основанные на матрице доступа. В данных моделях область безопасного доступа строиться как прямоугольная матрица (таблица), строки которой соответствуют субъектам доступа, столбцы объектам доступа, а в ячейках записывается разрешенные операции, соответствующего субъекта над соответствующим объектом. Данная структура представлена ниже (Рис. 1.1):

Рис. 1.1 Матрица доступа
1) On- Доступ разрешен на вход.
2) Out-Доступ разрешен на выход.
3)  F-Доступ полностью разрешен.
4) --- Запрет доступа на вход и выход.
     «Прописанные» в ячейках матрицы права доступа в виде разрешенных операций над объектами определяют виды безопасных доступов соответствующего субъекта к соответствующему объекту. Для выражения типов разрешенных операций используются специальные обозначения, составляющие основу (алфавит) некоторого языка описания политики разграничения доступа.
    По принципу организации матрицы доступа в реальных системах используются два подхода – централизованный и распределенный.
    При централизованном подходе матрица доступа создается как отдельный самостоятельный объект с особым порядком размещения доступа к нему. Количество объектов доступа и порождаемых пользователями субъектов доступа в реальных КС может достигать очень больших величин, и, кроме того, подвержено  динамическому изменению.
    Поэтому при централизованном подходе в большинстве систем строки матрицы доступа характеризуют не субъектов, а непосредственно самих пользователей и их группы, зарегистрированные для работы в системе. Для уменьшения количества столбцов матрицы, объекты доступа КС могут агрегироваться в две группы - группу объектов, доступ к которым не ограничен (т. е. разрешен любым пользователям по любым операциям), и группу объектов собственно дискреционного (избирательно разграничительного) доступа. Соответственно, в матрице доступа представляются права пользователей только объектам второй группы, что позволяет существенно уменьшить ее размерность. Наличие или создание в матрице доступа столбца (строки) для какого-либо объекта фактически означает его регистрацию в системе в качестве объекта дискреционного доступа с соответствующими правами соответствующих пользователей. Наиболее характерным и известным примером такого подхода являются  т. н. "биты доступа" в UNIX-системах.
    При распределенном подходе матрица доступа как отдельный объект не создается, а представляется или так называемым «списками доступа», распределенными по объектам системы, или так называемыми «списками возможностей», распределенным по субъектам доступа. В первом случае каждый объект системы помимо идентифицирующих характеристик, наделяется своеобразной биркой, непосредственно связанной с самим объектом, и представляющей, по сути, соответствующий столбец матрицы доступа. Во втором случае своеобразную бирку с перечнем разрешенных для доступа объектов (по сути, строку матрицы доступа) получает каждый субъект при своей инициализации. Добавим также, что через «списки возможностей» (маркеры доступа) субъектов реализуется широко используемый на практике механизм привилегий, наделяющий субъектов правами выполнять определенные операции над всеми объектами или их пленными группами (типами объектов), что формирует  дополнительные аспекты дискреционной политики разграничения доступа.
    И централизованный, и распределенный принцип организации матрицы доступа имеет свои преимущества и недостатки, присущие в целом централизованному и децентрализованному принципам организации и управления.
    По механизму создания и изменения матрицы доступа, т. е. фактически по принципу управления доступом, выделяются также два подхода:
1) принудительное управление доступом;
2) добровольное управление доступом.
    Принцип принудительного управления доступом основывается на парадигме доверенных субъектов. Согласно принудительному способу право создания и изменения матрицы доступа имеют только субъекты администратора системы, который при регистрации для работы в системе нового пользователя создает с соответствующим заполнением новую строку матрицы доступа, а при возникновении нового объекта, подлежащего избирательному доступу, образует новый столбец матрицы доступа.
    Нетрудно видеть, что такой способ приемлем при фиксированном или ограниченном количестве объектов доступа или требует агрегирования объектов доступа в определенные группы и перехода к управлению правами доступа по группам объектов доступа. Подобный подход  наиболее широко представлен в базах данных.
    Принцип добровольного управления доступом основывается на парадигме «владения» объектом. Владельцем объекта доступа называется пользователь, инициализировавший поток, в результате которого объект возник в системе, или определенный владельцем иным образом (получивший право владения объектом). Тем самым, в дополнение к основным положениям субъектно-объектной модели вводится специальное отображение множества объектов на множество субъектов доступа, называемое владением, ставящее в каждый фиксированный момент времени каждому объекту системы подмножество субъектов доступа, инициализированных пользователем-владельцем объекта.
    Добровольное управление доступом выражается следующим правилом: «Права доступа к объекту определяют (устанавливают) их владельцы».
    Из данного правила следует, что заполнение и изменение ячеек матрицы доступа осуществляют субъекты пользователей-владельцев соответствующих объектов.
    Нетрудно видеть, что подобный подход обеспечивает управление доступом в тех системах, в которых количество объектов доступа является значительным или неопределенным, так как переносит процесс управления на владельцев объектов, мощность подмножества объектов управления для которых в большинстве случаев существенно меньше общей мощности множества объектов в системе. Такая ситуация наиболее характерна для операционных систем.
    Во многих КС право владения объектом его прежним владельцем может быть передано другому пользователю. Кроме того в ОС, составляющих основу любых КС, декомпозиция системы на субъекты и объекты может меняться в различные моменты времени (в результате операций создания, копирования, переименования и удаления объектов, с одной стороны, а с другой, в результате инициализации и прекращения функционирования пользователями субъектов доступа). В результате матрица доступов имеет динамический характер. Поэтому права доступа в таких системах могут «гулять», распространяться по субъектам системы. В этом случае возникает проблема самого понятия безопасности в смысле главного метода ее обеспечения - разграничения доступа,  требуется исследование условий и процессов распространения прав доступа.
    
1.3  Мандатные модели разграничения доступа
    Мандатные модели основаны на мандатном разграничении доступа (Mandatory Access Control), представляющем собой совокупность правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов. Исходным толчком к разработке мандатной политики, вероятно, послужили проблемы с контролем распространения прав доступа, и, в особенности, проблема «троянских» программ в системах с дискреционным доступом. Исследователи и критики дискреционной политики,  понимая, что основная проблема дискреционных моделей заключается в отсутствии контроля над информационными потоками.
    Было отмечено следующее :
1) разграничение доступа и порядок доступа в различные помещения в зависимости от степени их важности организуются на основе парадигмы градации доверия определенным группам работников.
    С этой целью вводится система уровней безопасности, или иначе уровней секретности. Работники с самым высоким уровнем безопасности (уровнем доверия), могут иметь доступ в наиболее важные помещения. На более низком уровне доверия, т. е. на более низком уровне безопасности, вводятся ограничения в отношении посещения тех или иных помещений. Соответственно, все работники получают т. н. допуск к посещению помещений определенного уровня,.
2) критерием безопасности является невозможность посещения помещений определенного уровня безопасности работником, чей уровень безопасности, т. е. уровень доверия, ниже, чем уровень безопасности помещений.
    Данный критерий безопасности фактически означает запрет определенных информационных потоков, которые трактуются как опасные и недопустимые.
    Кроме того, были проанализированы правила и система назначений, изменений, лишений и т. д. допусков сотрудников к работе с секретными документами, правила создания, уничтожения документов, присвоения или изменения грифов их секретности, в том числе и рассекречивания, а также другие особенности работы с секретными документами. В частности было отмечено, что правила получения доступа к документам различаются в зависимости от характера работы с ними - изучение (чтение) или изменение (создание, уничтожение, внесение дополнений, редактирование, т. е. запись в них). На этой основе было «выявлено» два основных правила , гарантирующих безопасность:
    Правило 1 .(no read up (NRU) - нет чтения вверх). Работник не имеет права знакомиться с документом (читать), гриф секретности (уровень безопасности) которого выше его степени допуска (уровня безопасности). 
    Правило 2.(по write down (NWD) - нет записи вниз). Работник не имеет права вносить информацию (писать) своего уровня безопасности в документ с более низкий уровнем безопасности (с более низким грифом секретности). Первое правило является естественным и очевидным способом обеспечения безопасности при осуществлении информационных потоков из документов к работникам и иначе может быть сформулировано так: работнику нельзя получать информацию, уровень секретности которой выше его уровня доверия. Второе правило обеспечивает безопасность при осуществлении информационных потоков от работника к документу и иначе может быть сформулировано так: работнику нельзя передавать информацию своего уровня секретности в тех случаях, когда в результате передачи с ней могут ознакомиться работники с более низким уровнем безопасности. Выше сказанные правила можно показать на рисунке (Рис. 1.2).
    
    

     Рис. 1.2 Уровень доступа в помещения.
    Формализация данных механизмов разграничения доступа в помещения применительно к субъектно-объектной модели КС показала необходимость решения ряда следующих задач:
1) разработка процедур формализации правила NRU, и в особенности правила NWD;
2) построение формального математического объекта и процедур, адекватно отражающих систему уровней безопасности (систему допусков).
    Задача исключения данного субъективного фактора может решаться различными способами, самым простым из которых является полный запрет изменения субъектами (доступ write) объектов с уровнем безопасности, более низким, чем уровень безопасности соответствующих субъектов.
    При этом, однако, помимо существенного снижения функциональности КС, логика такого запрета, автоматически приводит к «не запрету» (т. е. к разрешению) возможностей изменения объектов-документов с более высоким уровнем безопасности, чем уровень безопасности соответствующих субъектов-пользователей. Действительно, внесение информации более низкого уровня секретности в объекты с более высоким уровнем секретности не может привести к нарушению безопасности системы в смысле рассмотренного выше критерия безопасности. Однако необходимо обязательно учитывать,  что доступ write в реальных КС фактически равнозначен доступу read-write, так как писать в документе не видя его не возможно, если не применяется более специфичный метод append – добавление в конец объекта.
    Характерный пример – модель Белла-ЛаПадулы. В данной модели анализируются условия, при выполнении которых в системе невозможно возникновение информационных потоков от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем конфиденциальности. Для этого вводится решетка уровней конфиденциальности, которым сопоставляются субъекты и объекты. Авторы модели предложили теорему, которая утверждает, что система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния. В реальности, данная модель используется только в системах, обрабатывающих классифицированную информацию и применяется только в отношении ограниченного множества субъектов и объектов.
    В модели мандатного контроля доступа разграничение доступа осуществляется до уровня классов безопасности сущностей системы. Иначе говоря, любой объект определенного уровня безопасности доступен любому субъекту соответствующего уровня безопасности (с учетом правил NRU и NWD). Мандатный подход к разграничению доступа, основывается только лишь на идеологии градуированного доверия, без учета спецификации других характеристик субъектов и объектов, приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих классов безопасности, что противоречит самому понятию разграничения доступа. Для устранения этого недостатка  мандатный принцип разграничения доступа дополняется дискреционным внутри соответствующих классов безопасности. В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня.
1.4  Ролевая модель разграничения доступа
    Модели с ролевым разграничением доступа (Role-Based Access Control) представляют собой развитие политики дискреционного разграничения доступа. Анализ различных организационно-управленческих и организационно-технологических схем, показывает, что в реальной жизни сотрудники предприятий, учреждений выполняют определенные функциональные обязанности не от своего личного имени, а в рамках некоторой должности. Должность, которую можно трактовать как определенную роль, представляет некоторую абстрактную, точнее обобщенную сущность, выражающую определенный тип функций и тип положения работника (подчиненность, права и полномочия). Таким образом , в реальной жизни в большинстве организационно-технологических схем права и полномочия представляются конкретному сотруднику не лично, а через назначение его на определенную должность (роль) с которой он и получает некоторый типовой набор прав и полномочий.
    Еще одним аспектом реальных организационно-технологических и управленческих схем является использование понятий прав и полномочий, как неких процедур над ресурсами системы, отражающих организационно-технологические процессы предметной области КС. Иначе говоря , права и полномочия сотрудникам по их должностям предоставляются не на уровне элементарных операций над ресурсами (читать, изменять, добавлять, удалять создавать), а на уровне совокупностей элементарных операций, сгруппированных в отдельные логически обобщенные процедуры обработки информации (например, кредитные или дебетные операции над определенными бюджетами).
    Таким образом, политика разграничения доступа в компьютерных системах, автоматизирующих те или иные организационно-технологические или организационно-управленческие процессы, должна строиться на основе функционально-ролевых отношений, складывающихся в предметной области КС.
    Основная идея ролевой модели контроля за доступом основана на максимальном приближении логики работы системы к реальному разделению функций персонала в организации.
    Права доступа субъектов системы к объектам группируются с учетом специфики их применения, образуя роли.
    При этом правила данной модели являются более гибкими, чем правила мандатной модели, построенные на основе жестко определенной решетки ценности информации. В ролевой модели классическое понятие «субъект» заменяется понятиями «пользователь» и «роль».
    Пользователь  – это человек, работающий с системой и выполняющий определенные служебные обязанности.
    Роль  – это активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимый для осуществления определенной деятельности. 
    Полномочия, как уже отмечалось, трактуются, как право осуществлять некоторые функционально-логические процедуры над всей совокупностью объектов системы или над определенной их группой. При этом, однако, в известных формальных ролевых моделях не вводятся отдельные механизмы спецификации полномочий, а используется традиционный набор элементарных методов доступа. В то же время в таких широко распространенных разновидностях систем, как СУБД, подобные спецификации функционально-логических процедур над данными используется повсеместно. Основу обработки данных в реляционных СУБД составляют запросы, обособляющие в отдельные наименованные сущности операции над данными (инструкции select, insert, update, delete), объекты данных в результаты их обработки. Сконструированные и выраженные на языке SQL запросы хранятся в БД вместе с данными и составляют отдельную группу объектов (сущностей) базы данных. Пользователям системы предоставляются права запускать определенные запросы, что можно интерпретировать как дискреционный способ предоставления полномочий по обработке данных.
    В операционных системах, ввиду их большей универсальности и ориентированности на самый широкий круг предметных областей, полномочия ролей (например, для ролей администраторов, аудиторов, или полномочия для рабочих групп пользователей) определяются чаще всего на основе дискреционного принципа через права по определенным методам доступа к определенным объектам системы или к объектам отдельных категорий (к спискам доступа, к журналу аудита и т. д.). Подобный подход называют  механизмом привилегий.
    Введение ролей приводит к двухэтапной организации системы разграничения доступа:
1) создание ролей и определение их полномочий (прав доступа к объектам);
2) назначение ролей пользователям системы.
    Соответственно формальные спецификации ролевых моделей должны регламентировать тем или иным способом, точнее в рамках той или иной политики, и определение полномочий ролям и назначение ролей пользователям.
    Управление доступом в ролевых системах требует разбиения процесса функционирования системы и работы пользователя на сеансы, в каждом из которых, в свою очередь, выделяется две фазы :
1) авторизация в данном сеансе пользователя с одной или несколькими разрешенными (назначенными на втором этапе организации доступа) для него ролями;
2) разрешение или запрещение субъектам пользователя доступа к объектам системы в рамках полномочий соответствующих ролей, с которыми авторизован в данном сеансе пользователь.
    Ролевые модели сочетают мандатный подход к организации доступа через определенную агрегацию субъектов и объектов доступа, и тем самым обеспечивают жесткость правил разграничения доступа, и дискреционный подход, обеспечивающий гибкость в настройке системы разграничения доступа на конкретные функционально-организационные процессы предметной области КС. Данные особенности ролевой политики  позволяют строить системы разграничения доступа с хорошей управляемостью в сложных системах с большим количеством пользователей и объектов, и поэтому находят широкое применение в практических системах.
    Вообще говоря, пользователь может выполнять различные роли в разных ситуациях. Одна и та же роль может использоваться несколькими различными пользователями, причем иногда даже одновременно. В некоторых системах пользователю разрешается выполнять несколько ролей одновременно, в других есть ограничение на одну или несколько не противоречащих друг другу ролей в каждый момент времени.
    Основными достоинствами ролевой модели управления доступом являются[5]:
1) простота администрирования.
    В классических моделях разграничения доступа, права на выполнение определенных операций над объектом прописываются для каждого пользователя или группы пользователей. В ролевой модели разделение понятий роль и пользователь позволяет разбить задачу на две части: определение роли пользователя и определение прав доступа к объекту для роли. Такой подход сильно упрощает процесс администрирования, поскольку при изменении области ответственности пользователя, достаточно убрать у него старые роли и назначить другие соответствующие его новым обязанностям. В случае, когда права доступа определяются напрямую между пользователями и объектами, эта же процедура потребует массу усилия по переназначению новых прав пользователя.
2) иерархия ролей.
    Систему ролей можно настроить таким образом, чтобы она намного ближе отражала реальные бизнес процессы посредством построения иерархии ролей. Каждая роль наряду со своими собственными привилегиями может наследовать привилегии других ролей. Такой подход также существенно упрощает администрирование системы.
3) принцип наименьшей привилегии.
    Ролевая модель позволяет пользователю регистрироваться в системе с наименьшей ролью позволяющей ему выполнять требуемые задачи. Пользователям, имеющим множество ролей, не всегда требуются все их привилегии для выполнения конкретной задачи. Принцип наименьшей привилегии очень важен для обеспечения достоверности данных в системе. Он требует, чтобы пользователь давали только те из разрешенных ему привилегий, которые ему нужны для выполнения конкретной задачи. Для этого требуется выяснить цели задачи, набор привилегий требуемых для ее выполнения и ограничить привилегии пользователя этим набором. Запрещение привилегий пользователя не требуемых для выполнения текущей задачи позволяет избежать возможности обойти политику безопасности системы.
4) разделение обязанностей.
    Еще одним важным принципом в системе управления доступом является разделение обязанностей. Довольно распространены ситуации, в которых ряд определенных действий не может выполнятьс.......................