Информационная безопасность_2л .ppt

: управление доступом

В дискреционной схеме управления доступом применяется модель
«данные- владелец».
Владелец данных по собственному усмотрению ограничивает круг пользователей, имеющих доступ к данным, которыми он владеет.
Средства произвольного управления доступом не могут помешать авторизованному пользователю законным образом получить секретную информацию и затем сделать ее доступной для других, неавторизованных пользователей.
При произвольном управлении доступом привилегии существуют отдельно от данных (в случае реляционных СУБД - отдельно от строк реляционных таблиц). В результате данные оказываются "обезличенными", и ничто не мешает передать их кому угодно даже средствами самой СУБД.
Обязательный или принудительный (мандатный) метод доступа основан на отказе от понятия владельца данных и опирается на метки безопасности, которые присваиваются данным при их создании.

: управление доступом

 Метки служат для классификации данных по уровням:
 

Данные расклассифицированы по уровням безопасности метками.
Конкретный пользователь может оперировать с данными, расположенными на том уровне секретности, который соответствует его статусу.

: управление доступом

 Правила доступа:
Пользователь i имеет доступ к объекту j, если его уровень допуска больше либо равен уровню классификации объекта j.
Пользователь i может модифицировать объект j только, если его уровень равен уровню классификации объекта j. (любая информация, записанная пользователем i, автоматически приобретает его уровень классификации).
В СУБД INGRES/Enhanced Security к каждой реляционной таблице неявно добавляется столбец, содержащий метки безопасности строк таблицы.
Метка безопасности состоит из трех компонентов:
Уровень секретности. Смысл этого компонента зависит от приложения. В частности, возможен традиционный спектр уровней от "совершенно секретно" до "несекретно".
Категории. Понятие категории позволяет разделить данные на "отсеки" и тем самым повысить надежность системы безопасности. В коммерческих приложениях категориями могут служить "финансы", "кадры", "материальные ценности" и т.п.
Области. Является дополнительным средством деления информации на отсеки. На практике компонент "область" может действительно иметь географический смысл, обозначая, например, страну, к которой относятся данные.
Каждый пользователь СУБД INGRES/Enhanced Security характеризуется степенью благонадежности, которая также определяется меткой безопасности, присвоенной данному пользователю. Пользователь может получить доступ к данным, если степень его благонадежности удовлетворяет требованиям соответствующей метки безопасности.

: управление доступом

Каждый пользователь СУБД INGRES/Enhanced Security характеризуется степенью благонадежности, которая также определяется меткой безопасности, присвоенной данному пользователю. Пользователь может получить доступ к данным, если степень его благонадежности удовлетворяет требованиям соответствующей метки безопасности. Более точно:
уровень секретности пользователя должен быть не ниже уровня секретности данных;
набор категорий, заданных в метке безопасности данных, должен целиком содержаться в метке безопасности пользователя;
набор областей, заданных в метке безопасности пользователя, должен целиком содержаться в метке безопасности данных.
Методы обязательного управления доступом получили распространение в любой военной системе. Некоторые коммерческие СУБД обеспечивают обязательную защиту на уровне класса В1, а ниже используется избирательный метод для доступа к данным
СУБД, в которых поддерживаются методы обязательной защиты, называются системами с многоуровневой защитой, а также – надежными системами.
По оценкам экспертов концепция многоуровневой безопасности в ближайшие годы будет использована в большинстве коммерческих СУБД.

: управление доступом

Рассмотрим пример. Пусть данные имеют уровень секретности "конфиденциально", принадлежат категории "финансы" и относятся к областям "Россия" и "СНГ". Далее, пусть степень благонадежности пользователя характеризуется меткой безопасности с уровнем секретности "совершенно секретно", категориями "финансы" и "кадры", а также областью "Россия".
Такой пользователь получит доступ к данным. Если бы, однако, в метке пользователя была указана только категории "кадры", в доступе к данным ему было бы отказано, несмотря на его "совершенно секретный" уровень. Когда пользователь производит выборку данных из таблицы, он получает только те строки, меткам безопасности которых удовлетворяет степень его благонадежности. Для совместимости с обычными версиями СУБД, столбец с метками безопасности не включается в результирующую информацию. Отметим, что механизм меток безопасности не отменяет, а дополняет произвольное управление доступом.
Пользователи по-прежнему могут оперировать с таблицами только в рамках своих привилегий, но даже при наличии привилегии SELECT им доступна, вообще говоря, только часть данных. Строки таблицы, отмеченные как строки уровня максимальной безопасности, может увидеть только пользователь, у которого наивысший уровень.

: Угрозы, специфичные для СУБД

Главный источник угроз, специфичных для СУБД, лежит в самой природе SQL. SQL - это мощный непроцедурный инструмент определения и манипулирования данными. Механизм процедур и правил дает возможность выстраивать цепочки действий, позволяя неявным образом попутно передавать право на выполнение процедур, даже не имея полномочий на это. Рассмотрим несколько угроз, возникающих при использовании злоумышленниками средств языка SQL:
1) Получение информации путем логических выводов. Можно извлечь из БД информацию, на получение которой стандартными средствами у пользователя не хватит привилегий.
Пример: БД состоит из 2-х таблиц. В первой хранится информация о пациентах (анкетные данные, диагноз, назначения и т.п.), а во второй - сведения о врачах (расписание мероприятий, перечень пациентов и т.п.). Если пользователь имеет право доступа только к таблице врачей, он может получить косвенную информацию о диагнозах пациентов, так как врачи специализируются на лечении определенных болезней.
Основным средством борьбы с подобными угрозами помимо тщательного проектирования модели данных является механизм размножения строк - в состав первичного ключа явно или неявно включается метка безопасности. За счет чего появляется возможность хранить в таблице несколько экземпляров строк с одинаковыми значениями «содержательных» ключевых полей.

: Угрозы, специфичные для СУБД

Наиболее естественно размножение строк реализуется в СУБД, поддерживающих метки безопасности (например, в СУБД INGRES/Enhanced Security), однако и стандартными SQL-средствами можно получить удовлетворительное решение.
2) Агрегирование данных – это метод получения новой информации путем комбинирования данных, добытых легальных образом из разных таблиц. Агрегированная информация может оказаться более секретной, чем каждый из компонентов ее составивший.
Повышение уровня секретности данных при агрегировании вполне известно. Это следствие закона перехода количества в качество.
Бороться с агрегированием можно за счет тщательного проектирования модели данных и максимального ограничения доступа пользователей к информации.
3) Покушение на высокую доступность. Если пользователю доступны все возможности SQL, он может затруднить работу других пользователей, инициировав длительную транзакцию, захватывающую большое число таблиц.
Современные многопотоковые серверы СУБД отражают лишь самые прямолинейные атаки, например, запуски в «часы пик» операции массовой загрузки данных.
Рекомендуется не предоставлять пользователям непосредственного SQL-доступа к БД, используя в качестве фильтров серверы приложений.
Клиент ->Сервер приложений->сервер БД.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.
Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности".
Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:
нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.),
нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения),
нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

К сожалению, надежная идентификация и аутентификация затруднена по ряду принципиальных причин:

компьютерная система основывается на информации в том виде, как она была получена; строго говоря, источник информации остается неизвестным

1

имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой

3

чем надежнее средство защиты, тем оно дороже. Особенно дороги средства измерения биометрических характеристик.

4

почти все аутентификационные сущности можно узнать, украсть или подделать.

2

Таким образом, необходимо искать компромисс между
надежностью,
доступностью по цене и
удобством использования и администрирования средств идентификации и аутентификаций.
Обычно компромисс достигается за счет комбинирования первых двух из трех перечисленных выше базовых механизмов проверки подлинности; однако, в целях ясности изложения, мы рассмотрим их современную трактовку по очереди.

Парольная аутентификация
Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Аналогично построено применение PIN-кода в пластиковых картах. Другое средство, - секретные криптографические ключи пользователей.
Процедура аутентификации может быть реализована на основе различных методов.
1. Метод простых паролей
Пароль не должен быть слишком простым и очевидным, а также слишком коротким.
Ожидаемое безопасное время (время отгадывания пароля
V=1/2*A^S*R*E,
где R-скорость передачи в канале связи(символ/сек);
E - число символов в каждом сообщении, включая пароль и служебные символы;
S - длина пароля;
А - число символов в алфавите, из которого составлен пароль
Например, если R=10; E=20; S=6; A=26, то V=30891578 сек
Пусть Р - задаваемая вероятность того, что соответствующий пароль будет раскрыт посторонним лицом; М- период времени в течение которого принимаются попытки раскрыть пароль (при условии работы 24 часа в сутки), то Р имеет нижнюю границу
P ≥ P0=(R*4,32*10^4*(M/E))/A^S
Формула Андерсена: A^S ≥ 4,32*10^4*(R*M)/(E*P)
При Р=0,001 и М=3 мес., тогда длина пароля S ≈ 7

2.Выбор символов из пароля: при обращении пользователя к системе у него может быть запрошены отдельные символы из пароля, например 3 и 5. Номера символов подбираются по датчику псевдослучайных чисел или привязываются к значениям функции системного времени. Достоинство метода – невозможно подсмотреть или перехватить полное значение пароля.
3.Пароли однократного использования: пользователю выдается список из N -паролей. N паролей хранятся в ЭВМ в зашифрованном виде. Пользователь по очереди использует пароли из списка, по два пароля из списка для каждого сеанса (вход в систему и выход). Недостатком метода является то, что пользователь должен помнить весь список паролей и следить за текущим значением пароля или иметь список при себе и после каждого использования пароля вычеркивать из списка.
4. Метод использования вопросов: предлагается набор из m стандартных вопросов и n вопросов, ориентированных на пользователя (надо знать пользователя, чтобы задать вопрос). Выбираются вопросы случайным образом из того и из другого списка и задаются пользователю. Пользователь должен дать все правильные ответы. Предпочтительней вариант, когда m=0.

Обратим внимание на то, что процесс идентификации и аутентификации может идти не только между пользователем и системой - его целесообразно применять и к равноправным партнерам по общению, а также для проверки подлинности источника данных.
Когда аутентификации подвергаются процесс или данные, а не человек, выбор допустимых средств сужается. Компьютерные сущности не могут чем-то обладать, у них нет биометрических характеристик. С другой стороны, память и терпение у компьютерных сущностей не в пример лучше человеческих, они в состоянии помнить или извлекать из соответствующих устройств и многократно применять длинные криптографические ключи, поэтому в распределенных средах методы криптографии выходят на первый план; по существу им нет альтернативы.
Единственное, что есть у компьютерных сущностей это информация; значит, проверка подлинности может основываться только на том, что процесс или данные знают. В этом случае часто применяется следующая процедура.

Процедура установления подлинности в режиме «рукопожатия»
Подлинность проверяется с помощью корректной обработки (алгоритма) некоторого числа. Обобщенная последовательность шагов такой процедуры:
сторона А (система, процесс или пользователь) генерирует случайное число X;
число X передается стороне В;
А запрашивает ответ у В;
В выполняет преобразование числа Х по определенному алгоритму FA(X);
В посылает FA(X) стороне А;
А сравнивает полученное значение FA(X) с собственным вычислением и получает или не получает подтверждение подлинности В.
Аналогичная процедура может быть проделана стороной В для подтверждения подлинности стороны А (отсюда и «рукопожатие»).
Перехват посторонним лицом передаваемых чисел ничего не дает, так как нужно знать преобразование.
 
.
 

Пример преобразующего алгоритма:

FA(X)= 2*(d1*d4+d2*d3) mod (d1*d2*d3*d4),
где d1, d2, d3, d4 – цифры четырехзначного числа.
Процедура установления подлинности в режиме «рукопожатия» используется для установлении виртуальных каналов.
 
Следует отметить, что иногда фаза аутентификации отсутствует совсем (партнеру верят на слово) или носит чисто символический характер. Так, при получении письма по электронной почте вторая сторона описывается строкой "From:"; подделать ее не составляет большого труда. Порой в качестве свидетельства подлинности выступает только сетевой адрес или имя компьютера - вещь явно недостаточная для подлинного доверия.

Достоинства парольной аутентификации
Простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании можно обеспечить надежный уровень безопасности.
Надежность паролей основывается на особенности помнить их и хранить в тайне.
Недостатки
1) Иногда пароли с самого начала не являются тайной, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.
2) Ввод пароля можно подсмотреть - подглядывание из-за плеча (можно использовать оптические приборы).
3) Пароли нередко сообщают коллегам, чтобы те смогли выполнить какие-либо нестандартные действия (например, подменить на некоторое время владельца пароля). Тайна, которую знают двое, уже не тайна.
4) Пароль можно угадать методом грубой силы (использование специальных программ, словарей), Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (алгоритм шифрования предполагается известным).

5) Пароли на ПК нередко используются для управления логическим доступом. Многочисленные пароли трудно использовать и администрировать.
Пароли уязвимы по отношению к электронному перехвату. Это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход — использование криптографии для шифрования паролей перед передачей по линиям связи.
Меры предосторожности при работе с паролем
Следующие меры позволяют значительно повысить надежность парольной защиты:
1. Пароли никогда не следует хранить в информационной системе в явном виде, они должны быть зашифрованы. Безопасность может обеспечиваться простыми и недорогими способами. В качестве примера простого шифрования рассмотрим метод необратимой и беспорядочной сборки (зашифровали и нельзя восстановить):
f(x)=(x^n + a1*x^(n-1) + a2*x^(n-2) +…+ an-1*x + an) mod P,
f(x ) – пароль в зашифрованном виде; Р=2^64-59; n = 2^24 + 17;
где ai – произвольные целые 19-ти разрядные числа; х – пароль в явном виде в цифровой форме. Проектировщик системы может выбрать свои собственные коэффициенты ai, n и Р.
Система шифрует каждый пароль во время регистрации и сравнивает его с зашифрованным паролем, хранящимся в БД.

2. Пароль никогда не отображается явно и не печатается.
3. Управление сроком действия паролей, их периодическая смена;
4. Система никогда не должна вырабатывать пароль в конце сеанса связи.
5. Правильный выбор пароля, наложение технических ограничений (па­роль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
6. Ограничение доступа к файлу паролей;
7. Ограничение числа неудачных попыток входа в систему (это затруднит применение метода грубой силы);
8. Обучение пользователей;
9. Использование программных генераторов паролей
 
Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Использование токенов для аутентификации



Токен - это предмет (устройство), владение которым подтверждает подлинность пользователя. Токен (авторизации) (Security token) — это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных; также называется «ключ»
Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки.

Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника - мало украсть или подделать карточку, нужно узнать еще и личный номер "жертвы". Обратим внимание на необходимость обработки аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.
Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.
Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостатками:
они существенно дороже паролей.
их необходимо делать, раздавать пользователям, обслуживать случаи потери.
они нуждаются в специальных устройствах чтения.
пользоваться ими не очень удобно, особенно если организация установила у себя интегрированную систему безопасности. Чтобы сходить, например, в туалет, нужно вынуть карточку из устройства чтения, положить ее себе в карман, совершить моцион, вернуться, вновь вставить карточку в устройство чтения и т.д. Пользователей придется убеждать, что повышенные меры безопасности действительно необходимы.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты (стандартизованные ISO) и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на 3 категории.
Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.
Динамическая генерация паролей: токен генерирует пароли, периодически (например, раз в минуту) изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.
Запросно-ответные системы (процедура рукопожатия»): компьютер выдает случайное число, которые преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), на дисплее токена видит ответ и переносит его на клавиатуру терминала.

Достоинства интеллектуальных токенов:

Возможность применения для аутентификации в открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения интеллектуальные токены реализуют механизм одноразовых паролей.
Потенциальная многофункциональность (можно применять не только для безопасности, но и для финансовых операций).

Недостатки интеллектуальных токенов:

Высокая стоимость (правда, это хотя бы отчасти можно трактовать и как достоинство, поскольку тем самым затрудняется подделка).
Если у токена нет электронного интерфейса, то пользователю приходятся выполнять очень много ручных операций.
Администрирование интеллектуальных токенов по сравнению с магнитными картами усложнено за счет необходимости управления криптографическими ключами.

Устройства контроля биометрических характеристик
Биометрические характеристики – это физические особенности, уникальные для каждого человека.

Сканер отпечатков пальцев в ноутбуке

До появления компьютеров использовались такие характеристики, как рукописная подпись, отпечатки пальцев, портрет или письменное описание внешнего вида человека.
Все биометрические методики можно разделить на две группы:

геометрия руки

1 Измерение физических черт

2 Поведенческие (динамические) характеристики:

голосовые характеристики. Методика основана на распознавании речи и сравнении с заданными голосовыми образцами;
рукописная подпись (почерк);
динамика работы на клавиатуре ПК;
походка
идентификация по движению (например, чистка зубов)

Достоинством является то, что для самого аутентифицируемого лица - это самый легкий подход. Ему не нужно ничего запоминать или хранить, все за него делает сама система.
Недостатки:
В биометрических методиках используется дорогое оборудование, сложное в настройке, установке, эксплуатации.
При дистанционном использовании биометрические показания подвержены риску перехвата, а владелец не может что-либо изменить, как в случае с паролем.
Биометрическая аппаратура чувствительна к различным физиологическим изменениям
Пока биометрические методики применяются только в специфических организациях с высокими требованиями к безопасности, чаще всего для физического контроля доступа.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами).
В данном разделе речь идет о логическом (в отличие от физического) управлении доступом, который реализуется программными средствами.
Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).
Рассмотрим формальную постановку задачи. Имеется совокупность субъектов n и набор объектов m. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.
Отношение (субъекты, объекты), можно представить в виде матрицы nxm, в строках которой перечислены субъекты, в столбцах — объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа, например:

где 01 – чтение, 10 – запись, 11 – чтение и запись, 00 – нет доступа к объекту данных.
Субъектами могут быть конкретные пользователи, группы пользователей, роли. Объектами, кроме элементов данных, могут быть терминалы, программы. Элементы матрицы Аij могут указывать некоторые дополнительные процедуры, которые исполняются при каждой попытке доступа. Приведем примеры таких процедур:
Решение о доступе основывается на текущем значении ресурса, например, нельзя читать поле «зарплата», если величина зарплаты больше некоторого значения.
Доступ к ресурсу разрешается только в рабочее время.

Тема логического управления доступом - одна из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису.

Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом.
Каждый сервис должен сам решать, позволить ли конкретному субъекту конкретную операцию.
Теоретически это согласуется с современными объектно-ориентированными воззрениями, на практике же приводит к значительным трудностям.
Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов (возможно, при этом придется преодолеть некоторые технические трудности).
Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой (разобравшись предварительно в структуре хранения объектов базы данных),
В результате при задании матрицы доступа нужно принимать во внимание не только разумность распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы).

Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла).
Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.
Контроль прав доступа производится разными компонентами программной среды:
ядром операционной системы,
дополнительными средствами безопасности,
системой управления базами данных,
посредническим программным обеспечением (таким как монитор транзакций) и т.д.
Тем не менее, можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие методы хранения матрицы доступа.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

Матрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно хранить в виде двумерного массива.
В принципе можно представлять ее по строкам, поддерживая для каждого субъекта перечень доступных ему объектов, однако, поскольку объекты гораздо динамичнее субъектов (они чаще создаются и уничтожаются), подобный подход чрезмерно усложняет администрирование.
Практичнее хранить матрицу по столбцам, то есть для каждого объекта поддерживать список "допущенных" субъектов вместе с их правами. Например:
1 элемент списка Имя служащего (Отдел кадров 11, Касса 01);
2 элемент списка Адрес (……)
Элементами списков могут быть имена групп и шаблоны субъектов, что служит существенным подспорьем администратору. Некоторые проблемы возникают только при удалении субъекта, когда приходится устранять его имя из всех списков доступа; впрочем, операция эта нечастая.
Списки доступа - исключительно гибкое средство. С их помощью легко выполнить требования класса безопасности С2 о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом.

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Достоинством произвольного управления является гибкость.
К сожалению, у «произвольного» подхода есть ряд принципиальных недостатков:

Расредоточенность управления доступом ведет к тому, что надежными должны быть многие пользователи, а не только системные операторы или администраторы. Рассеянность или некомпетентность владельца секретной информации может открыть ее (информацию) всем прочим пользователям. Следовательно, произвольность управления должна быть дополнена жестким контролем за проведением избранной политики безопасности.
Права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл.

Имеется функциональный способ представления матрицы доступа, когда ее вообще не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток.
Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта.
Из соображений построения эшелонированной обороны целесообразно сочетать применение списков управления доступом (в полной или ограниченной форме) и функционального представления (обычно основанного на шифровании информации).
Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход реализуют, например, в рамках системы меню (пользователю показывают лишь допустимые варианты выбора).

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия.
У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на
внешние (вызванные действиями других сервисов),
внутренние (вызванные действиями самого сервиса) и
клиентские (вызванные действиями пользователей и администраторов).

К числу регистрируемых событий относятся:
вход в систему;
выход из системы;
обращение к удаленным системам;
операции с файлами;
смена привилегий или иных атрибутов безопасности.

Полный перечень событий, потенциально подлежащих регистрации, зависит от специфики системы и избранной политики безопасности.
Перечислим информацию, которую нужно регистрировать:
дату и время;
ID пользователя;
тип события (вход, выход);
результат действия (успех или неудача);
источник запроса;
имена затронутых объектов;
запись изменений в БД защиты;
метки безопасности.

Аудит - это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (например, раз в день).

Реализация протоколирования и аудита преследует следующие главные цели:

Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла.
Какие события регистрировать?
С какой степенью детализации?
На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки.
Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.
Еще одна особенность протоколирования и аудита - зависимость от других средств безопасности.

Идентификация и аутентификация служит отправной точкой подотчетности пользователей,
логическое управление доступом защищает конфиденциальность и целостность регистрационной информации.
Возможно, для защиты привлекаются и криптографические методы.

Трудной проблемой является организация согласованного протоколирования и аудита в распределенной разнородной системе.

Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя.
Во-вторых, необходимо увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.

Протоколирование и аудит можно превратить в бессмысленную формальность, а можно - в эффективный инструмент поддержания режима информационной безопасности.