پاورپوینت مدل مدیریتی کنترل دسترسی نقش مبنا

بخشی از پاورپوینت

اسلاید 1 :

مدل مديريتي كنترل دسترسي نقش مبنا

اسلاید 2 :

فهرست مطالب
امنيت پايگاه داده
مدل كنترل دسترسي نقش - مبنا
مديريت در كنترل دسترسي نقش- مبنا
مدل مديريت در كنترل دسترسي نقش- مبنا
پياده سازي مدل PRA97 براي انتساب مجوز به نقش در Oracle
كنترل دسترسي نقش- مبنا و MAC
استفاده از RBAC براي اعمال DAC و MAC
جمع بندي
مراجع

اسلاید 3 :

امنيت پايگاه داده
جنبه هاي مهم در برقراري امنيت
كنترل دسترسي كاربران به داده ها
بايستي مدلي ارائه شود تا تعيين گردد كه چه دسترسي هايي مجاز و چه دسترسي هايي غير مجاز است.
پايگاههاي داده با توجه به متمركزسازي داده ها در آن بيشتر مورد توجه قرار می گيرند.
مدل كنترل دسترسي نقش- مبنا به عنوان يك مدل كنترل دسترسي بسيار مرسوم و پركاربرد مطرح است.
.
.

اسلاید 4 :

مدل كنترل دسترسي نقش - مبنا
کنترل دسترسي اجباري يا MAC
کنترل دسترسي اختياري يا DAC
کنترل دسترسي نقش- مبنا يا RBAC
علت كاربرد زياد اين مدل براي كنترل دسترسي ها ( مزايا ) :
سادگي مديريت آن .
نگاه واقعي مدل به محيط هاي عملياتي.
مجوز دسترسي بر اساس نقش ها در سازمانهاست نه بر اساس مالكيت داده ها.
مدل RBAC به خوبي سياست امنيتي پيچيده را مديريت مي کند.

اسلاید 5 :

طرح يك مشكل و ارائه يك راه حل
اگر سيستمي با هزاران كاربر و صدها نقش و مجوز در نظر بگيريم، مديريت نقش ها و انتساب كاربران به نقش ها و مجوز ها به نقش ها و همچنين ساخت سلسله مراتب از نقش ها بسيار پيچيده و مشكل مي گردد و نمي توان آن را توسط يك مدير در سيستم انجام داد.
راهكار : مديريت غير متمركز.
در نظر كرفتن نقش هاي مديريتي و حوزه هاي مديريتي براي هر نقش
همچنين ايجاد سلسله مراتبي از آنها
واگذاري مديريت به افراد مختلف در حوزه هاي گوناگون سيستم
هر مدير مسؤوليت مديريت در حوزه خود را بر عهده داشته باشد

اسلاید 6 :

خانواده مدل هاي RBAC
RBAC0 به عنوان مدل پايه در پايين داراي کمترين نيازمنديهاي سيستم RBAC مي باشد.
RBAC1 سلسله مراتبي از نقش ها را به آن اضافه کرده است به طوريکه نقش ها مي توانند از نقش هاي ديگر به ارث ببرند
RBAC2 قيودي را تعريف مي کند که محدوديتهايي را به تنظيمات قابل قبول براي مولفه ها در RBAC اضافه مينمايد.
مدل Consolidated ، شامل هر دو RBAC1 و RBAC2 و به صورت ضمني، RBAC0 نيز مي باشد.

اسلاید 7 :

RBAC0 يا مدل پايه
چهار مولفه :
کاربران :
منظور از کاربر، انسان مي باشد. فردی که با سيستم تعامل دارد.
نقش ها
نقش، يک کار نامدار درون سازمان است که سازمان مجوز ها و مسئوليت ها را به اعضاي يک نقش مي دهد.
اختيارات يا مجوزها
به کسي که دارنده اختيار است، قدرت انجام يک عمل در سيستم را مي دهد.
نشست ها
کاربر با فعال کردن يک مجموعه از نقش ها که به او متعلق است، نشست ها را برقرار مي کند.

اسلاید 8 :

RBAC1 يا مدل سلسله مراتب
سلسله مراتب به معني ساختار نقش ها ست که حدود مجوزها و مسئوليت ها در سازمان را باز مي تاباند.
اين سلسله مراتب يک مجموعه ترتيب جزئي است. يک ترتيب جزئي، خواص بازتابي، انتقالي و پاد تقارني را داراست.

اسلاید 9 :

سلسله مراتب
محدود کردن وراثت
ممکن است بخواهد تعدادي اختيارات محرمانه براي خود داشته باشد و از به ارث رسيدن آنها به ساير نقش ها جلوگيري کنيد.
زير سلسله مراتب خصوصي
فرض کنيد که به زير مجموعه محرمانه اي نياز باشد به طوريکه اختيارات آنها توسط بالايي ها به ارث برده نشود.

اسلاید 10 :

RBAC2 يا مدل قيود
قيود جنبه مهمي از RBAC هستند. يک مثال رايج جدا کردن نقش هاي سازمان است.
نقش هاي انحصار متقابل :
يک کاربر مي تواند به حداکثر يک نقش در مجموعه انحصار متقابل نسبت داده شود. که اين قيود باعث جدا کردن وظايف از يکديگر مي شود.
انحصار متقابل در مورد PA ، مشخص مي کند که يک اختيار خاص نتواند به دو نقش نسبت داده شود.
دانه بندي :
يک قيد ديگر روي کاربر است . حداکثر تعداد اعضاي يک نقش می تواند محدود باشد. تنها يک نفر مي تواند رئيس يک سازمان باشد.
تعداد نقش هاي يک کاربر مي تواند به مجموعه خاصي محدود شود و يا به تعداد خاصي محدود گردد.

اسلاید 11 :

RBAC2 يا مدل قيود ( ادامه )
نقشهاي پيش شرط :
ايده آن مبتني بر شايستگي ها است، به طوريکه کاربر مي تواند به نقش A نسبت داده شود و اگر تنها اگر کاربر قبلا به نقش B نسبت داده شده باشد.
براي سازگاري، اختيار p ، مي تواند به يک نقش تنها در صورتيکه نقش در حال حاضر داراي اختيار q است، نسبت داده شود.
در بسياري از سيستم ها اختيار خواندن يک فايل مستلزم داشتن اختيار خواندن از دايرکتوري مي باشد.

اسلاید 12 :

RBAC3 يا مدل Consolidated
3 = 1 + 2
تلفيق اين دو، موارد قابل بحث جديدي را بوجود مي آورد :
قيود روي سلسله مراتبي از نقشها :
چون دراين مدل قيود و سلسله مراتب هر دو در مدل دهده مي شوند ، قيود را روي سلسله مراتب هم مي توان تعريف كرد.
قيود مي توانند تعداد نقش هاي بالاتر و پايين تر را محدود کند.
تقابلات :
تقابل ظريفي بين قيود و سلسله مراتب بوجود مي آيد.
نقش هاي محرمانه :
نقش هاي محرمانه مي توانند بدون هيچ برخورد و تلاقي، انحصار متقابل باشند.

اسلاید 13 :

اجزاء مدل RBAC

اسلاید 14 :

مديريت در كنترل دسترسي نقش- مبنا
در سيستم بزرگ که تعداد نقش ها به صدها و هزاران افزايش مي يابد، مديريت اين نقش ها و روابط ميان آنها يک کار سخت که به صورت مرکزي انجام مي شود و به گروه کوچکي از مديران امنيتي محول مي شود.
از آنجا که نکته اصلي RBAC اين است که مديريت را ساده مي کند، مي توان از خود آن در مديريت خودش استفاده نمود.
نقش هاي مدير يا AR و اختيارات مدير يا AP را از نقش هاي معمولي يا R و اختيارات معمولي يا P جدا مي كنيم .
اختيارات تنها به نقش ها نسبت داده مي شوند و اختيارات مديريتي تنها به نقش هاي مديريتي نسبت داده مي شوند.

اسلاید 15 :

مديريت در سيستم هاي نقش- مبنا
پروژه تحقيقاتي European Union :
پروژه Webocracy و سيستم Web-Based مربوطه
اهداف :
فراهم آوردن سرويس هاي دولتي
Quality Of Service
…
ماجول CSAP
Communication, Security, Authentication, Privacy
ماجول CAC به عنوان ابزار مديريت ماجول فوق
CSAP Administration Console

اسلاید 16 :

مدل مديريتي RBAC
همانطور كه در شکل، نشان داده شده است که انواع مدل هاي بحث شده ، براي مدير نيز مطرح است. البته معمولا مدل مدير ساده تر از خود مدل RBAC است. بنابراين مي توان از RBAC0 به جاي RBAC3 استفاده نمود.
چگونه مدل سلسله مراتبي مدل مدير مديريت مي شود؟
به طور تئوريک، سطح دوم از سلسله مراتب مي تواند براي مديريت سطح اول مورد استفاده قرار گيرد. ولي براي مدل ضروري نمي باشد.
مديريت سلسله مراتب مدير مي تواند توسط يک نفر رئيس سيستم مديريت انجام شود. مجوزهاي مدير در RBAC توانايي تغيير نسبت دادن نقش به کاربران و نيز تغيير دادن نسبت دادن اختيارات به نقش ها و روابط موجود در سلسله مراتب نقش ها را به وجود آورد.

اسلاید 17 :

اجزاء مدل مديريتي RBAC

اسلاید 18 :

اجزاء مدل مديريتي RBAC
اين مدل در سال 1997 توسط Sandhu ارائه گرديد. ايده اصلي آن استفاده از خود مدل RBAC براي مديريت آن بود. اين مدل شامل سه مدل اصلي به شرح زير مي باشد :

مدل URA يا مدل انتساب كاربران به نقش
مدل PRA يا مدل انتساب مجوزها به نقش
مدل PRA يا مدل انتساب نقش به نقش

اسلاید 19 :

مدل URA يا مدل انتساب كاربران به نقش
اين مدل داراي 2 مؤلفه اصلي است :
انتساب كاربران به نقش ها يا مدل Gant Can-assign
باز پس گيري عضويت آنها در نقش ها يا Revoke Can-revoke
رابطه Can-assign بيان مي كند كه چه افرادي با چه پيش شرط هايي مي توانند در چه حوزه اي كار اعطاء را انجام دهند. افراد را با نقش هاي مديريتي كه دارا هستند معين مي كند. يعني نقشي را بيان مي كند كه افراد براي اعمال كارهاي مديريتي در يك حوزه خاص بايد دارا باشند.
رابطه Can-revoke بيان مي كند كه چه افرادي در چه حوزه هايي مي توانند عمل بازپس گيري را انجام دهند. اين توابع براي عمل انتساب و بازپس گيري نقش ها به كاربران به كار مي رود و بايستي در هر عمل، امكان انجام آنرا توسط آنها چك كرد.

اسلاید 20 :

مدل URA
تابع Can_assign داراي سه پارامتر ورودي است. X كه نقش مديريتي فردي كه مي خواهد عمل انتساب را انجام دهد را مشخص مي كند. Y نقش پيش شرط فردي است كه مي خواهيم به او نقش را انتساب دهيم و Z كه دامنه نقش هاي قابل انتساب را معين مي كند. يعني فرد داراي نقش مديريتي X به يك كاربر كه فعلا داراي نقش Y است مي تواند هر نقشي در دامنه Z عطا كند.