6-mavzu: Роллар тизимини иерархик ташкил этишда ахборотдан фойдаланишни роллар асосида чеклаш модели
Количественные ограничения по ролям
Download 330.25 Kb.
|
6-mavzu
- Bu sahifa navigatsiya:
- Группирование ролей и полномочий
|
Количественные ограничения по ролям
Отдельным направлением идеологии исключения потенциально опасных ситуаций, связанных с набором критических по отношению к безопасности системы прав и полномочий, является возможность наложения количественных ограничений на права и полномочия, агрегируемые одной отдельно взятой ролью. В этом случае ограничения вводятся на отношение через введение функции , определяющей для каждой роли количество включенных в нее прав и полномочий1: для В других ситуациях требуется предоставление определенных полномочий как можно меньшему или строго ограниченному количеству сотрудников, скажем допуск к определенным опасным работам, право ознакомления с определенной информацией и т. п. Для реализации подобных ограничений в ролевой модели вводится функция , определяющяя число пользователей, получивших назначения на данную роль, и на этой основе устанавливаются ограничение на отношение ■ 1 где N - множество натуральных чисел. для Количественные ограничения могут в значительной степени облегчить администрирование систем, где требуется особо тщательный контроль за распределением прав и ответственности в коллективе пользователей. Группирование ролей и полномочий В некотором смысле противоположным по отношению к количественным ограничениям является группирование ролей и полномочий. По смыслу и определению роль представляет группирование прав и полномочий в отдельную логически обособленную их совокупность, имеющую самостоятельное значение в предметной области КС. Поэтому, прежде всего, устанавливается механизм, контролирующий агрегирование в одну роль некоторых логически связанных прав и полномочий. Для этого на множестве полномочий P вводится функция , устанавливающая для каждого права (полномочия) p набор логически связанных прав и полномочий, и введение следующего ограничения на отношение : для ■ Вместе с тем, могут наблюдаться такие ситуации, когда самостоятельное значение имеют и отдельные подгруппы среди более общей логически обособленной группы прав и полномочий. В этом случае создается группа логически связанных ролей, каждая из которых может выполняться только в совокупности с другими ролями данной группы. В этих ситуациях назначение подобной роли для пользователя может иметь смысл только тогда, когда он одновременно получает и другие роли из соответствующего логически связанного набора ролей. Для реализации подобного подхода на множестве ролей вводится функция определяющая для любой роли набор логически связанных с ней ролей, и устанавливается соответствующее ограничение на отношение для . В заключение рассмотрения разновидностей ролевых моделей в плане их критического анализа заметим, что помимо необходимости отмеченной ранее дополнительной регламентации отображения при иерархической структуре системы ролей, можно было бы по аналогии с тематико-иерархическим подходом ввести понятие мулътиролей, и на этой основе более строго регламентировать назначение пользователям иерархически организованных ролей, а также механизмы взаимоисключающих ролей, количественных ограничений и группирования ролей. В практическом применении могут использоваться комплексные подходы, сочетающие все рассмотренные разновидности ролевых моделей, что позволяет существенно упростить проектирование и администрирование систем разграничения доступа для КС, автоматизирующих сложные, нетривиальные организационно-технологические и организационно-управленческие схемы и процессы. Вместе с тем, в ролевых моделях нет строгих доказательств безопасности системы в соответствии с определенными формализованными критериями. Поэтому их безопасность основывается на контрольных механизмах дискреционных или мандатных моделей, средствами которых регулируется доступ ролевых субъектов к объектам системы. Download 330.25 Kb. Do'stlaringiz bilan baham: 
|