Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ
Посмотреть оригинал

Разделение обязанностей

Механизм RBAC может быть использован системным администратором в принудительной политике разделения обязанностей. Разделение обязанностей считают важным в сдерживании мошенничества, т.к. мошенничсство может произойти при наличии благоприятных обстоятельств для мошеннического использования возможностей, относящихся к различным работам. (Разделение обязанностей считается необходимым для предотвращения мошенничества, так как мошенничество может произойти в случае существования возможности для сотрудничества между различными связанными с работой функциями.) Разделение обязанностей требует специфических (отдельных) наборов транзакций, ни один отдельный человек не должен быть способен выполнить все транзакции в наборе. Наиболее часто используемый пример - это разделение транзакций необходимых для инициализации платежа и для авторизации платежа. Ни один отдельный работник не должен быть способен выполнить обе эти транзакции. Системный администратор может управлять доступом на уровне абстракции, которые естественны для того способа, которым предприятие ведет бизнес. Это достигается с помощью статического и динамического регулирования действий пользователей с помощью учреждений и определений ролей, иерархий роли, отношений и ограничений.

Мы определяем статическое разделение обязанностей как то, что роли, указанные как взаимно исключающие, не могут одновременно быть включенными в набор авторизированных ролей пользователя. При динамическом разделение обязанностей пользователи могут быть авторизиро- ванны двумя взаимно исключающими ролями, но не в одно и гоже время. Другими словами, статическое разделение обязанностей активирует взаимоисключающее правило в тот момент, когда администратор назначает роль, тогда как динамическое разделение обязанностей активирует правило в момент выбора пользователем роли для сеанса работы.

Взаимоисключающие роли для данной роли и свойство Статического разделения обязанностей могут быть определены следующем образом:

Взаимоисключающие -авторизацию(г:го1е$) = {список ролей которые взаимоисключающие с ролью «г» }

Пользователь авторизуется как исполнитель роли только в случае, если эта роль не является взаимоисключающей с другими ролями, которыми пользователь уже располагает.

Динамическое разделение обязанностей помещает ограничение на одновременную активацию ролей. Взаимоисключающие роли для предложенной роли определяются следующим способом:

Взаимоисключающие -активацию(г:го1е$) = {список активный ролей, которые взаимоисключающие с предлагаемой ролью «г»}

Субъект может стать активным в новой роли только, если предложенная роль не взаимоисключающая с любой другой ролью, в которой субъект уже активен.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы