Abstract | Kontrola pristupa je nezaobilazan postupak posredovanja prilikom svakog zahtjeva za pristupom resursima i podacima u informacijskom sustavu, te utvrđivanja treba li zahtjev biti odobren ili odbijen. Predstavlja jedan aspekt opsežnih rješenja zaštite podataka, čiji su glavni ciljevi očuvanje tajnosti, integriteta i osiguravanje dostupnosti informacija.
Odluku o pristupu, na temelju pravila pristupa utvrđenih sigurnosnom politikom, provode implementirani sigurnosni mehanizmi. Politike kontrole pristupa definiraju dozvoljene pristupe, a moguće ih je svrstati u tri osnovne kategorije: diskrecijska kontrola pristupa, mandatna kontrola pristupa i kontrola pristupa temeljena na ulogama. Sigurnosne politike formalno se prikazuju sigurnosnim modelom.
Politike temeljene na ulogama zahtijevaju identificiranje uloga u skladu s poslovnim pozicijama unutar organizacije ili poslovnim funkcijama. Pravila pristupa specificirana su za uloge, a korisnici članstvom u ulozi stječu dozvole uloge. Zbog pojednostavljenog upravljanja pravilima pristupa, kontrola pristupa temeljena na ulogama je široko prihvaćen model za upravljanje i definiranje pravila kontrole pristupa u sustavima s mnogo korisnika i mnogo objekata. Prednost kontrole pristupa temeljene na ulogama, osim fleksibilnosti, je i podržavanje sigurnosnih principa najmanje ovlasti, razdvajanja dužnosti i apstrakcije podataka.
Aktivni sigurnosni model kontrole pristupa temeljene na ulogama razlikuje aktivaciju dozvola na temelju zadatka i konteksta u kojem je zatražen pristup, od samog pridruživanja dozvola. Kontekst može uključivati trenutno stanje poslovnog procesa u sustavima koji podržavaju tijek posla, te pravila poslovanja koja se pri tom primjenjuju.
Predložen je i implementiran model kontrole pristupa temeljene na ulogama, koji omogućava definiranje i održavanje pravila pristupa u Informacijskom sustavu visokih učilišta (ISVU) izgrađenom nad relacijskom bazom podataka. Pravila pristupa temeljena na ulogama i ovisna o kontekstu, pohranjena su u objektima baze podataka koji predstavljaju proširenje rječnika podataka vezano uz dozvole pristupa, odnosno meta-podatke o dozvolama. Pravila pristupa na razini baze podataka, kojih je svjestan sustav za upravljanje bazama podataka, usklađuju se s opisanim apstraktnim pravilima pristupa.
Model kontrole pristupa temeljene na ulogama može se koristiti i za upravljanje komponentama tog modela, čime administriranje uloga postaje još jedna njegova primjena. Implementirani model omogućava decentralizaciju dijela administrativnih ovlasti, vezanih uz dodjeljivanje uloga korisnicima, te opisivanje domene uloga u pojedinim jedinicama organizacijske strukture koje koriste jedinstven informacijski sustav. |
Abstract (english) | Access control is an unavoidable mediation process during resource and data requests in information systems involved in resolving whether the request should be granted or denied. It is only one aspect of comprehensive data security solutions and has preserving confidentiality and integrity while providing information availability as its main goals.
Access decision is enforced by an implemented security mechanism based on access rules established by the security policy. Access control security policies define allowed access and can be classified into three main categories: discretionary access control, mandatory access control and role-based access control. Security model provides a formal access control security policy representation
Role-based access control policies require role identification according to business positions or job functions. Access rules are defined for roles and users, as role members, acquire the roles’ permissions. Due to simplified management of access rules, role-based access control is widely accepted access control definition and management model for systems with a large number of users and objects. Advantages of role-based access control, along with its flexibility, lie in supporting security principles of least privilege, separation of duties and data abstraction.
Active role-based access control security model distinguishes permission activation based on task and context of a requested access and actual permission assignment. Context can include current business process state in systems that support workflows as well as applied business rules.
Proposed and implemented role-based access control model allows access rules definition and maintenance within Higher Education Information System (ISVU) developed over relational database. Access rules based on roles and dependent on context are stored in database objects representing data dictionary extension related to access rights, namely permission meta-data. Access rules at database level, which the database management system is aware of, are reconciled according to specified abstract access rules.
Role-based access control model can also be used for model component management, making role administration one of its applications. Implemented model allows decentralization of all or some of administrative privileges regarding assigning roles to users and describing role domains in different organizational structure units using the same information system. |