6-mavzu: Роллар тизимини иерархик ташкил этишда ахборотдан фойдаланишни роллар асосида чеклаш модели
Взаимоисключающие роли (динамическое распределение обязанностей)
Download 330.25 Kb.
|
6-mavzu
|
Взаимоисключающие роли (динамическое распределение обязанностей)
Во многих организационно-управленческих и организационно-технологических структурах работникам приходится совмещать выполнение определенных групп обязанностей или подменять других работников на определенное время. В этом случае распределение функциональных или служебных обязанностей имеет динамический характер и организуется, скажем, на каждый конкретный рабочий день, смену или иной временной управленческо-технологический период. При этом часть полномочий, групп процедур также может иметь критический с точки зрения безопасности характер в плане одновременного их выполнения одним работником. В ролевой модели для разрешения подобных критических ситуаций может применяться механизм взаимоисключающих на один сеанс ролей. Как и в предыдущем случае, множество ролей отображается на множество подмножеств "несовместимых" ролей на основе использования функции . При этом, однако, каких-либо ограничений на отношение ,т. е. запретов на назначение ролей одному пользователю, в том числе, и взаимоисключающих ролей, не накладывается. Решение проблемы безопасности осуществляется через запрет на задействование в одном сеансе одним пользователем сразу нескольких взаимоисключающих ролей, скажем одновременно роли кассира-оператора и контролера-аудитора в финансовых процедурах. В формальном плане подобные ограничения обеспечиваются функцией , которая в каждом сеансе для конкретного пользователя задает активизированный им набор ролей с учетом ограничений на взаимоисключающие роли: В качестве примера подобного подхода отметим повсеместно практикуемый запрет на одновременное использование в одном сеансе работы с КС ролей "администратора" и "аудитора безопасности" в КС. Ролевой метод динамического распределения обязанностей при правильной организации ролей относительно включения в них процедур, вызывающих те или иные информационные потоки, может в значительной степени усилить мандатные модели разграничения доступа. В частности, таким образом можно организовать контроль и исключение некоторых потенциально опасных ситуаций, например, осуществление доступа к ценной (категорированной) информации и одновременный запуск недоверенных программ и процессов. Download 330.25 Kb. Do'stlaringiz bilan baham: 
|