home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / hk_acces.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  42.8 KB  |  852 lines
  1.  
  2. * * * * * * * * * * * * *  NOTE * * * * * * * * * * * * * * * * *
  3.  
  4. This file is a DRAFT chapter intended to be part of the NIST
  5. Computer Security Handbook.  The chapters were prepared by
  6. different parties and, in some cases, have not been reviewed by
  7. NIST.  The next iteration of a chapter could be SUBSTANTIALLY
  8. different than the current version.  If you wish to provide
  9. comments on the chapters, please email them to roback@ecf.ncsl.gov
  10. or mail them to Ed Roback/Room B154, Bldg 225/NIST/Gaithersburg, MD 
  11. 20899.  
  12.  
  13. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
  14.  
  15. DRAFT          DRAFT          DRAFT          DRAFT          DRAFT
  16.  
  17.                      Logical Access Control
  18.  
  19.  
  20.  1    Introduction
  21.  
  22. IT systems today can process and store a wide variety of
  23. information and provide access to it to a large number of users. It
  24. is not unusual for a system in a large organization to contain some
  25. information that must be accessible to all users, some that is
  26. needed by several groups or departments, as well as some that
  27. should be accessed by only a few individuals.  Having information
  28. reside centrally on a system used by everyone contributes to cost
  29. effective and efficient information sharing and processing.  
  30.  
  31. Information residing on a system that is accessed by many users,
  32. however, can also create problems.  A significant concern is
  33. ensuring that users have access to information that they need but
  34. do not have inappropriate access to information that is sensitive. 
  35. It is also important to ensure that certain items, though readable
  36. by many users, can only be changed by a few.  
  37.  
  38. Logical access controls are a means of addressing these problems. 
  39. Logical access controls are protection mechanisms that limit users'
  40. access to information and restrict their forms of access on the
  41. system to only what is appropriate for them.  Logical access
  42. controls are often built into the operating system, or may be part
  43. of the "logic" of applications programs or major utilities, such as
  44. Database Management Systems.  They may also be implemented in
  45. add-on security packages that are installed into an operating
  46. system; such packages are available for a variety of systems,
  47. including PCs and mainframes.  Additionally, logical access
  48. controls may be present in specialized components that regulate
  49. communications between computers and networks.
  50.  
  51. Some rudimentary forms of automated access controls have been
  52. available for many years, but today there are increasingly
  53. sophisticated and cost-effective methods that managers will find
  54. well worth investigating.  This chapter will discuss some of the
  55. advantages provided by logical access control and issues to be
  56. considered when investigating logical access control.  It will also
  57. provide an introduction to common forms of logical access control
  58. available today.  
  59.  
  60. 2  Background Information 
  61.  
  62. As noted above, logical access control limits users' access to
  63. information, and it can restrict the capabilities or modes of
  64. access they have.  It can therefore help promote efficiency and IT
  65. security at the same time, but there are potential drawbacks that
  66. should be weighed and considered.  While logical access controls
  67. can be of great benefit to an organization, adding them to a system
  68. does not automatically make the system more secure.  A poorly
  69. chosen or improperly configured control mechanism can have a
  70. detrimental effect, as can inadequate understanding of the
  71. complexities involved in implementing and managing the technology. 
  72. Following is general information and background on logical access
  73. control, and an introduction to some of the associated issues. 
  74.  
  75.  2.1  Types of Access Restrictions
  76.  
  77. Many of the advantages as well as many of the complexities involved
  78. in implementing and managing logical access control are related to
  79. the different kinds of user accesses supported.  Not only are the
  80. types of accesses allowed an important consideration, but so are
  81. the kinds of data, programs, devices, and services.  Some
  82. information on the system, such as the data displayed on an
  83. organization's daily calendar of nonsensitive meetings, should be
  84. readable by literally everyone in the organization.  The program
  85. that formats and displays the calendar, however, might be
  86. modifiable by only a very few IT system administrators, while the
  87. operating system controlling that program might be accessible by
  88. still fewer.  
  89.  
  90. 2.1.1  Access Modes
  91.  
  92. The concept of access modes is fundamental to logical access
  93. control.  The effect of many types of logical access control is to
  94. permit or deny access by specific individuals to specific
  95. information resources in specific access modes.  An introduction to
  96. the common access modes follows.  
  97.  
  98. Read only:  This provides users with the capability to view, copy,
  99. and usually print information but not to do anything to alter it,
  100. such as delete from, add to, or modify it in any way.  Read- only
  101. accesses are probably the most widely allowed to data files on IT
  102. systems.  
  103.  
  104. Read and Write:  Users are allowed to view and print as well as
  105. add, delete, and modify information.  Logical access control can
  106. further refine the read/write relationship such that a user has
  107. read-only ability for one field of information but the ability to
  108. write to a related field.  An example would be a project Action
  109. Item program that allows a user read-only ability for the assigned
  110. action items and permits responses to be written in the space below
  111. an action item.  
  112.  
  113. Execute:  The most common activity performed by users in relation
  114. to applications programs on a system is to execute them.  A user
  115. executes a program each time he or she uses a word processor,
  116. spreadsheet, database, etc.  Users would not ordinarily be given
  117. read or write capabilities for an application, however, since it
  118. would appear in a format that is unintelligible to most users.  It
  119. might be desirable, though, for software programming specialists to
  120. be able to read and write applications.
  121.  
  122. Successfully refining, implementing, and managing these different
  123. access modes have resulted in greatly improved information sharing,
  124. both for government and industry as well as for the general public.
  125. There are systems, for example, referred to as public access
  126. systems, whose purpose is to disseminate information to the public
  127. at large.  The ability to read from these systems, therefore, has
  128. been made widely available.  With logical access control, the
  129. crucial requirement of preserving the integrity of the information
  130. being disseminated that is, protecting it against improper
  131. modification, can be met while the information remains available
  132. for all to view. 
  133.  
  134. 2.1.2  Other Restrictions
  135.  
  136. In addition to restrictions based on access mode, logical access
  137. controls may deny or permit access based on a number of other
  138. factors.
  139.  
  140. Access may be permitted only during particular hours of the day, or
  141. only from particular terminals or network locations.
  142.  
  143. Access may be permitted or denied based on information content or
  144. numerical thresholds.  For example, an ATM machine may restrict
  145. transfers of money between accounts to certain dollar limits.  A
  146. supervisor may be allowed to read salary or other personnel
  147. information, but only for employees whom he or she supervises.
  148.  
  149. Access may be permitted selectively based on the type of service
  150. requested.  For example, users of computers on a network may be
  151. permitted to exchange electronic mail but might not be allowed to
  152. log in to each others' computers.
  153.  
  154. 2.2  Relationship to Identification & Authentication
  155.  
  156. The subject of identification and authentication (I&A) is discussed
  157. in more detail in Chapter 16.  The basic relationship between I&A
  158. and logical access control is included here because I&A forms the
  159. basis for logical access control.  I&A is the process by which
  160. anyone attempting to interact with a system establishes his/her
  161. identity to the system, for example, by use of a password or token. 
  162. The logical access control process then associates the appropriate
  163. information and permissible forms of accesses with that identity. 
  164. This means that logical access control can only be as effective as
  165. the I&A process employed for the system.  If users tell one another
  166. or write down passwords, both I&A and logical access control for
  167. the system are compromised.
  168.  
  169. 2.3  Relationship to Physical Access Control
  170.  
  171. Before logical access controls were widely available, physical
  172. access control was the main means of protecting information on an
  173. IT system.  Access to information was controlled solely by
  174. controlling access to the system, for example, by keeping the
  175. system in a locked room or having a guard on duty to restrict
  176. admittance to a facility.  Once logged onto a system, though, a
  177. user could generally access all of its data.  In some environments,
  178. this is not a problem.  Physical access control may be sufficient
  179. in environments where all users of a system need to access to all
  180. of the information on it and need to perform all of the same types
  181. of accesses in relation to it (read it, add to it, delete it, etc). 
  182. In environments where not all information resources on a system
  183. should be equally available to all users, a more precise control is
  184. necessary.  
  185.  
  186. Logical access control can enhance the security provided by
  187. physical access control by acting as an additional guard against
  188. unauthorized access to or use of the system's resources.  It can
  189. also augment physical access control by providing added precision,
  190. since different users are able to perform different functions.  An
  191. example would be a team of scientists who all need access to
  192. up-to-the minute information in a field of research.  Everyone in
  193. the group could be given physical access to a system where the
  194. information is being posted and the ability to read all
  195. information.  Senior scientists might also be able to add comments
  196. on the information, while perhaps only the head of the research
  197. effort might be able to add and delete files. 
  198.  
  199. 3  Administration of Logical Access Controls
  200.  
  201. Administration is the most complex and challenging aspect of
  202. logical access control.  Administration of logical access controls
  203. involves implementing, monitoring, modifying, testing, and
  204. terminating user accesses on the system and can be a demanding
  205. task.  Administration typically does not include making the actual
  206. decisions as to who may have access to what and be given which
  207. capabilities.  Those decisions are usually the data owner's
  208. responsibility, perhaps made in conjunction with management. 
  209. Decisions regarding accesses should be guided by organizational
  210. policy, employee job descriptions and tasks, information
  211. sensitivity, user "need to know" determinations, and many other
  212. factors.  Procedures and forms for the request and approval process
  213. are also typically developed.  
  214.  
  215. Regardless of how and at whose discretion the decisions on user
  216. accesses are made, implementation and management are accomplished
  217. through an administrative function.  There are three basic
  218. approaches to administration:  centralized, decentralized, or a
  219. combination.  Each has relative advantages and disadvantages, and
  220. which is best will depend upon the needs and complexity of the
  221. particular organization.  
  222.  
  223. 3.1  Centralized Administration
  224.  
  225. Centralized administration means that one element (usually a group
  226. in large organizations, an individual in small ones) is responsible
  227. for configuring access controls so that users can access data and
  228. perform the activities they need to.  As users' information
  229. processing needs change, their accesses can be modified only
  230. through the central administration, usually after requests have
  231. been approved through an established procedure and by the
  232. appropriate authority.
  233.  
  234. The main advantage of centralized administration is that very
  235. strict control over information can be maintained because the
  236. ability to make changes resides with a very few persons.  Each
  237. user's account can be centrally monitored, and closing all accesses
  238. for any user can be easily accomplished if that individual leaves
  239. the organization.  Consistent and uniform procedures and criteria
  240. are usually not difficult to enforce, since relatively few
  241. individuals oversee the process. 
  242.  
  243. A major disadvantage, though, is that the change process can be
  244. constant, due to employees being hired, terminated, and reassigned. 
  245. Constant changes can make the task of administration time-
  246. consuming and costly in terms of staffing and equipment.  Also,
  247. when changes are needed quickly in order for users to complete
  248. important tasks, going through central administration can be
  249. time-consuming.  Another problem that can arise is that permissions
  250. for access can be too limited.  This can interfere with users'
  251. ability to get work done. 
  252.  
  253. 3.2  Decentralized Administration
  254.  
  255. In contrast to centralized administration, decentralized
  256. administration means that access to information is controlled by
  257. the owners or creators of the files, whoever or wherever those
  258. individuals may be.  An advantage of decentralized administration
  259. is that control is in the hands of the individuals most accountable
  260. for the information, most familiar with it, and best able to judge
  261. who should be able to do what in relation to it.  One disadvantage,
  262. however, is that there may not be consistency among owners/creators
  263. as to procedures and criteria for granting user accesses and
  264. capabilities.  Another is that when requests are not processed
  265. centrally, it may be much more difficult to form a system-wide
  266. composite view of all user accesses on the system at any given
  267. time.  Different data owners may inadvertently implement
  268. combinations of accesses that introduce conflicts of interest or
  269. that are in some other way not in the organization's best interest. 
  270. It may also be difficult to ensure that accesses are properly
  271. terminated when an employee transfers within or leaves an
  272. organization.
  273.  
  274. 3.3  Hybrid Approach 
  275.  
  276. In a hybrid approach, centralized control is exercised for some
  277. information and decentralized is allowed for other information. 
  278. One typical arrangement is that central administration is
  279. responsible for the broadest and most basic accesses, and the
  280. owners/creators of files control types of accesses or changes in
  281. users' abilities for the files under their control.  For example,
  282. when a new employee is hired into a department, a central
  283. administrator might provide him with a set of accesses, perhaps
  284. based on the functional element he is assigned to, his job
  285. classification, and a specific task he was hired to work on.  He
  286. might have read-only access to an organizationwide bulletinboard
  287. and to project status report files, but read and write privileges
  288. to his department's weekly activities report.  Over time, was
  289. assigned to other projects, the project managers could modify his
  290. capabilities on their respective files to include the ability to
  291. write information in project files such as project status reports. 
  292. Also, if he left a particular project, the project manager could
  293. close the employee's access to that file.
  294.  
  295. The main disadvantage to a hybrid approach is adequately defining
  296. which accesses should be assignable locally and which centrally.  
  297.  
  298. 3.4  "Super Users"
  299.  
  300. Regardless of the type of administration chosen, the prevailing
  301. needs of adequate user access plus maintenance of IT system
  302. security need to be ensured.  To contribute to meeting these needs,
  303. all logical access control schemes allow for "super user"
  304. capabilities for some individual or small group.  This enables all
  305. user and administrator activities to be changed or superseded
  306. immediately when necessary.  Consider the possibility that an
  307. employee with very select accesses or capabilities for data in a
  308. department is unexpectedly absent, due to a personal emergency or
  309. illness.  A super user could provide someone else the same accesses
  310. and capabilities.  Such emergency changes are usually governed by
  311. policy and subject to close scrutiny, to ensure limited
  312. implementation.  Super users also typically have capabilities for
  313. accessing and interacting with critical system programs, such as
  314. the operating system, not accessible by others.   This type of
  315. access is necessary for maintenance and upgrades. 
  316.  
  317. Because super users have sufficient privileges to bypass or modify
  318. logical access controls, super user capabilities present a
  319. potential vulnerability and must be guarded carefully. 
  320. Organizations should stringently minimize the number of individuals
  321. who are authorized to act as super users.  Furthermore, additional
  322. I&A precautions, such as ensuring that super users' passwords are
  323. robust and changed regularly, are important to minimize
  324. opportunities for unauthorized individuals to gain super user
  325. access to the system.
  326.  
  327. 4  Integration
  328.  
  329. Uniform enforcement of logical access control in IT systems is made
  330. more complicated because of the pervasiveness of networks and
  331. applications.  No longer is a single operating system responsible
  332. for enforcing all access control decisions.  Many applications or
  333. utilities run by the operating system, such as Database Management
  334. Systems (DBMS), also enforce logical access control, but at a
  335. different level than the operating system.  The degree to which the
  336. logical access control performed by an operating system and that
  337. performed by an application are integrated can vary significantly. 
  338. It is important in any event that they do not conflict.
  339.  
  340. Returning to the example of a DBMS will provide an illustration. 
  341. A DBMS manages a collection of information called a database.  The
  342. DBMS is responsible for controlling who can access the data in the
  343. database.  Databases are frequently stored in files, and operating
  344. systems are responsible for enforcing protection on files.  In
  345. order for the DBMS logical access control to be effective, the
  346. underlying operating system has to ensure that no user or program
  347. other than the DBMS can access the database.  This is a minimal,
  348. but necessary, form of logical access control integration between
  349. an operating system and a DBMS.
  350.  
  351. Integration issues also arise in a network environment.  Instead of
  352. coordinating access control decisions between the operating system
  353. and applications on one host, coordination needs to take place
  354. across a collection of hosts.  It is generally considered desirable
  355. for information to be protected in a uniform manner, regardless of
  356. the particular location where it is stored.  This requires
  357. coordination among the administrators of the various hosts
  358. comprising an organization's IT system and comparable access
  359. control mechanisms on each host.
  360.  
  361. 5  When Logical Access Control Is Not Necessary 
  362.  
  363. While logical access control can greatly increase the flexibility
  364. and ease with which information can be shared on an IT system, it
  365. is not always necessary.  As noted earlier, logical access controls
  366. are best suited for  situations where multiple users of a system
  367. should not all have the same form of access to all of the
  368. information on the system.  A personal computer used solely by one
  369. person, for example, does not necessarily need logical access
  370. control, nor does a multi- user system in an environment where all
  371. users should have access to all of the data and have all of the
  372. same forms of accesses. 
  373.  
  374. There are also environments where logical access control would be
  375. appropriate and beneficial but may not be cost effective.  Logical
  376. access control might be quite useful, for example, to a small
  377. company for tightly restricting access to personnel salary
  378. information, if that data were stored on a multi-user system. 
  379. However, the costs of the technology and administration might be
  380. higher than the cost and operational impact of keeping the salary
  381. data on a separate, isolated system within a locked office. 
  382.  
  383. A small group of users dedicated to single task often indicates
  384. lack of a need for logical access control.  Consider, for example,
  385. a four person technical publications group that is drafting the
  386. manual for a software product.  They share a single IT system, but
  387. logical access controls may not be utilized because all of the
  388. users need to be able to access and interact with the manual as it
  389. is being written.  With such a small number of users, simply
  390. scheduling assignments so that only one person is working on a
  391. given section at a time might suffice to keep team members from
  392. interfering with one another's work.
  393.  
  394. Even in circumstances where logical access control is not
  395. necessary, it may still be beneficial for preventing inadvertent
  396. errors or deletions.  On the single-user PC noted above, for
  397. example, restricting  access to the operating system or to very
  398. critical functions for purposes of ensuring integrity can be highly
  399. desirable.  Whether or not logical access control will be worth the
  400. investment will depend on how much benefit will be derived from the
  401. expenditure.
  402.  
  403. 6  Mechanisms
  404.  
  405. Many mechanisms have been developed to provide logical access
  406. control on IT systems, and they vary significantly in terms of
  407. precision, sophistication, and cost.  This section will provide an
  408. overview of some of the methods.  It should be noted that these
  409. methods are not mutually exclusive and that many systems employ a
  410. combination.  Managers need to analyze their organization's
  411. information processing needs and their information's sensitivity
  412. and criticality in order to decide what is the optimal method or
  413. combination of methods.  
  414.  
  415. 6.1  Passwords/Keys/Tokens
  416.  
  417. Passwords are probably the most common way of protecting
  418. information on an IT system in that they are the most frequently
  419. used means for users to be identified and authenticated on the
  420. system.  Thus, they are often the first line of protection afforded
  421. an IT system.  In addition, passwords are also used to protect data
  422. and applications on many IT systems.  Passwords are also used
  423. frequently in PC applications as a means of logical access control. 
  424. For instance, an accounting application may require a password in
  425. order to access certain financial data or invoke a sensitive
  426. application.
  427.  
  428. The primary advantage of password-based logical access control is
  429. that it is provided by a large variety of PC applications and thus
  430. often does not have to be implemented as a new/separate feature on
  431. an operating system.  The drawbacks of this approach center on the
  432. difficulty for users to manage even moderate numbers of passwords. 
  433. As discussed in the Identification and Authentication chapter, the
  434. security of a password-based system is significantly diminished
  435. when users write down their passwords.  If users need to use more
  436. than a few different passwords in the course of their work, there
  437. will be a strong likelihood that they will write them down, thus
  438. exposing the IT resources the passwords were meant to protect. 
  439. Also, if passwords are the same for several different applications,
  440. then a user who learns the password for one can gain access to the
  441. others. 
  442.  
  443. Encryption can also be used as a means of logical access control. 
  444. Information of a certain type can be encrypted with a particular
  445. key, and possession of that key would entitle a user to access that
  446. information.  Encrypting financial data from a previous year to
  447. protect it from improper modification can be part of the process of
  448. "closing the books."  Tokens, as discussed in the Identification
  449. and Authentication chapter, act as an alternative for passwords or
  450. keys. 
  451.  
  452. 6.2  Permission Bits
  453.  
  454. Permission bits are now a widely available means of providing
  455. logical access control on multi-user IT systems.  In this scheme,
  456. access rights to objects are based on the concepts of owner, group,
  457. and world; for each of these, a set of access modes (typically
  458. chosen from read, write, and execute) is specified.  The owner of
  459. an object, such as a file, is typically its creator, though in some
  460. cases system or project administrators may be automatically
  461. assigned ownership of all objects regardless of who created them. 
  462. The owner of an object can specify the allowed modes of access to
  463. the object.  
  464.  
  465. Each object is also associated with a named group of users.  Users
  466. who are members of the group associated with an object can be
  467. granted modes of access distinct from non-members, who belong to
  468. the rest of the "world" that includes all of the IT system's users. 
  469. Typically user groups are arranged according to department,
  470. project, or other teaming relationships.  For example, groups may
  471. be established for members of the Personnel and Accounting
  472. departments.  Changing the membership of a group typically requires
  473. action by a system administrator.  
  474.  
  475. As an example of the use of permission bits, consider a file that
  476. contains a personnel appraisal report.  The permission bits could
  477. be set by the report's owner such that it was readable and writable
  478. by the report's owner, readable by the Personnel group, but neither
  479. writable nor readable by the rest of the organization's users.
  480.  
  481. In a system employing permission bits, access to a file is at the
  482. discretion of the file's owner.  This method of access control can
  483. be quite useful in a project-oriented environment and one in which
  484. there are relatively few organizationwide restrictions for
  485. information-sharing.  There are some aspects of access restriction,
  486. however, that cannot be represented using permission bits, such as
  487. explicitly denying access to an individual that is a member of the
  488. file's group.  Additionally, as is the case with Access Control
  489. Lists (discussed in the next section), permission bits can not
  490. guarantee that the contents of a file will not be disclosed or
  491. modified by an unauthorized user.  For example, a member of a
  492. file's group could copy the file and then set the copy's permission
  493. bits to allow world read access.
  494.  
  495. 6.3  Access Control Lists
  496.  
  497. Access Control Lists (ACLs) are similar to permission bits in that
  498. they provide a form of logical access control that is at the
  499. discretion of the information's owner.  They do, however, provide
  500. finer precision in control.  An ACL is associated with each file
  501. and specifies by name each user or group who can access the object
  502. and the type of access they are permitted.  By way of example,
  503. consider a medical research experiment.  The file containing
  504. experimental results could have an ACL that permitted read and
  505. write access by all the members of the research group.  There could
  506. then be an additional ACL that prohibited any access by one member
  507. of the group who was responsible for conducting another experiment
  508. whose results should not be influenced by the results of the first. 
  509. While the independence of the two experiments relies primarily on
  510. the researchers refraining from exchanging information via
  511. discussion, the ACL reduces the chance that independence will be
  512. compromised by snooping or inadvertent browsing of files.  ACLs,
  513. however, like permission bits, can be defeated if an authorized
  514. individual copies sensitive information to another object whose ACL
  515. provides fewer access restrictions.
  516.  
  517. ACLs provide a fine grained form of logical access control that can
  518. be useful for complex information sharing situations.  The
  519. flexibility provided by ACLs also makes them more of a challenge to
  520. manage.  The rules for determining access in the face of apparently
  521. conflicting ACL entries are not uniform across all implementations
  522. and can be confusing to users.  If such a system is introduced, it
  523. should be coupled with training to ensure that it is used
  524. correctly.
  525.  
  526. 6.4  Labels
  527.  
  528. For IT systems with stringent security requirements, such as those
  529. associated with national security, labels are often used as the
  530. basis for logical access control.  Systems employing labels
  531. associate an unchangeable label with each file that indicates its
  532. sensitivity.  Similarly, user sessions are assigned labels that
  533. designate the degree to which access to information at different
  534. sensitivities is granted.  In addition, users are authorized to
  535. initiate sessions with specific labels only.  For example, a file
  536. bearing the label Organization Proprietary Information would not be
  537. accessible (readable) except during user sessions with the
  538. corresponding label.  Moreover, only a restricted set of users
  539. would be able to initiate such sessions; other users would be
  540. allowed to initiate sessions at lower sensitivity levels only, and
  541. would consequently have access only to less sensitive information. 
  542.  
  543. Labels are a robust form of logical access control.  Unlike
  544. permission bits or access control lists, labels cannot ordinarily
  545. (e.g., accidentally) be changed, and labels for new files are
  546. automatically determined by the access control mechanism.  By
  547. removing users' ability to arbitrarily designate the accessibility
  548. of files they own, opportunities for certain kinds of human errors
  549. and malicious software problems are eliminated.  In the example
  550. above, it would not be possible routinely to copy Organization
  551. Proprietary Information into a file with a less sensitive label. 
  552. This prevents inappropriate "leakage," but it may also interfere
  553. with legitimate extraction of less sensitive information. 
  554. Label-based access controls may also be used to prevent low
  555. integrity information from leaking into and contaminating high
  556. integrity information.
  557.  
  558. Labels are well-suited for consistently and uniformly enforcing
  559. organization-wide access restrictions, sometimes called system
  560. security policies.  For this reason, label-based controls can
  561. provide a level of protection not found in other approaches. 
  562. Presently, labels are in relatively limited use.  As more operating
  563. systems that provide labels become available, though, access
  564. controls based on labels may become more familiar and attractive to
  565. larger user populations.
  566.  
  567. 6.5  Roles
  568.  
  569. A role is a job assignment or function.  Examples of roles include
  570. data entry clerk, purchase officer, project leader, programmer,
  571. technical editor, etc.  Logical access controls can support user
  572. roles on the IT resource.  This means allowing access rights to be
  573. grouped by role name, and restricting use of those access rights to
  574. individuals authorized to assume the associated role.  An
  575. individual may be authorized for more than one role, but may be
  576. required to act in a single role at a time. Changing roles may
  577. require logging out and then in again, or entry of a special
  578. role-changing command.
  579.  
  580. Many IT systems already support a small number of special purpose
  581. roles, such as System Administrator or Operator.  An individual who
  582. is logged on in the role of a System Administrator can, for
  583. example, perform operations that would be denied to the same
  584. individual acting in the role of an ordinary user.  Recently, the
  585. use of roles has been expanded beyond system tasks to application
  586. oriented activities.  For example, in a company there could be an
  587. Order Taking Role.  A user with this role would be able to collect
  588. and enter customer billing information, check on availability of
  589. particular items, request shipment of items, and issue invoices. 
  590. In addition, there could be an Accounts Receivable Role which would
  591. receive payments and credit them to particular invoices.  A third,
  592. Shipping Role, could then be responsible for shipping products and
  593. updating the inventory.  To provide additional security,
  594. constraints could be imposed such that a single individual user
  595. would never be simultaneously authorized to assume all three roles. 
  596. Constraints of this kind are sometimes referred to as separation of
  597. duty constraints.
  598.  
  599. The use of roles and the corresponding concept of a business
  600. transaction can be a very effective way of providing logical access
  601. control.  The process of defining roles and their relationships
  602. should be based on a thorough analysis of the way in which an
  603. organization operates and should include input from a wide spectrum
  604. of users in an organization.  Standardization of role-based access
  605. control systems, as is being done for some database management
  606. systems, will make the adoption of role-based logical access
  607. control easier.  The user group mechanism described in the
  608. discussion of permission bits can in some cases support roles, but
  609. at present, more explicit support for application oriented roles in
  610. commercial operating systems is limited.
  611.  
  612. 6.6  Constrained User Interfaces
  613.  
  614. The principle underlying constrained user interfaces is that a user
  615. should be able to access system functions for which he/she is
  616. specifically authorized.  Menu driven systems are a common paradigm
  617. for constrained user interfaces, the implementation being that
  618. different users are provided different menus for the same system. 
  619. A user is not given menu options for unauthorized operations and so
  620. has no means by which to invoke them.  A common example of a
  621. constrained user interface is an Automated Teller Machine (ATM). 
  622. An ATM presents a user with a limited list of permitted operations. 
  623. The user is prevented from escaping to any other system interface
  624. and so is prevented from bypassing the logical access controls.
  625.  
  626. With an ATM machine the menu options permit a user to undertake a
  627. number of transactions, e.g., deposit, withdrawal, transfer.  There
  628. is a hierarchy of menus that support these transactions.  In other
  629. IT systems, a menu-based constrained user interface can similarly
  630. provide a hierarchy of menus to support arbitrarily complex
  631. transactions.
  632.  
  633. As is the case with roles, constrained user interfaces can provide
  634. a form of logical access control that closely models the way in
  635. which an organization operates.  The use of menus also makes this
  636. an approach that will be easy for non-technical users to
  637. understand.  The primary drawback to this approach is the cost
  638. associated with tailoring such a system to an organization.
  639.  
  640. 7  Interdependencies
  641.  
  642. 7.1  Policy
  643.  
  644. The most fundamental interdependency of logical access control is
  645. with policy.  Control is performed by the system, but the decisions
  646. as to accesses are made and enforced at the discretion of
  647. individuals who must act in concert with the organization's IT
  648. security policy.  Policy should specify who authorizes access to
  649. what kinds of information and provide the criteria for making
  650. access control decisions.
  651.  
  652. 7.2  Audit
  653.  
  654. It is sometimes not possible to make logical access control as
  655. precise, or fine-grained, as would be ideal for an organization. 
  656. Given the difficulty of configuring logical access controls in a
  657. complex IT system, there are may be occasions when a user is
  658. inadvertently allowed access to resources he should not have.  In
  659. some cases, users will be granted access in case they need to act
  660. in someone's place.  In addition, the policy or rules governing
  661. access may change over time, and there is a window of time between
  662. when the policy changes and when the logical access control system
  663. is updated.  The net result in these cases is that it is possible
  664. for users to abuse access permissions they have.  Automated
  665. auditing provides a source of information that can be used to
  666. identify users who have abused their access permissions.  Audit
  667. analysis can perform such functions as checking accesses to very
  668. sensitive or critical resources, the membership of very powerful
  669. groups, verifying the consistency of rights with roles, and
  670. generating access violation reports.
  671.  
  672. 7.3  Identification & Authentication
  673.  
  674. In most logical access control scenarios, the identity of the user
  675. must be established before an access control decision can be made.
  676. This is especially true with the permission bit and ACL methods. 
  677. Establishing the identity of users is a necessary prerequisite for
  678. enforcing logical access control.
  679.  
  680. 7.4  Data Categorization
  681.  
  682. Just as the identity of users plays a role in determining access,
  683. so does a characterization of the information being protected.  At
  684. one end of the spectrum, labels are a direct representation of a
  685. data categorization and are the basis of a logical access control
  686. method.  Even in the other access control methods discussed above,
  687. data categorization plays a role.  For example,  recall the medical
  688. experiment in which the results had a specific categorization that
  689. required additional access protection.
  690.  
  691. 7.5  Assurance
  692.  
  693. By its very nature, logical access control is normally a critical
  694. component of the security provided by a system.  If an IT system's
  695. logical access control does not function correctly, is not
  696. configured properly, or is not effective for the application,
  697. serious harm to the organization could result.  Even in situations
  698. in which there are limited resources to provide assurance for a
  699. system, it is important to that they be directed in part towards
  700. assuring the proper functioning of the logical access control
  701. system.
  702.  
  703.  
  704. 8    Costs
  705.  
  706. Incorporating logical access control into an IT system involves
  707. both the purchase or utilization of access control mechanisms as
  708. well as a change in behavior on the part of users.
  709.  
  710. 8.1  Direct Costs
  711.  
  712. Among the direct costs associated with the use of logical access
  713. control methods are the purchase and support of hardware, operating
  714. systems and applications that provide the controls, and any add-on
  715. security packages necessary or desirable.  The most significant
  716. personnel cost in relation to logical access control is usually for
  717. administration.  Most multi-user operating systems provide some
  718. protection mechanism such as permission bits or ACLs, so there is
  719. less acquisition cost associated with these.  Support for
  720. label-based access control is available in a limited number of
  721. commercial products, but at greater cost and with less selection
  722. than for permission bits or ACLs.  Role-based systems are becoming
  723. more available with time, but there is the cost of customizing
  724. these systems for particular organizational purposes.  Training
  725. users to understand and use a logical access control system is a
  726. very necessary cost.  If users are not comfortable in using an
  727. access control system they will attempt to configure it so that it
  728. places few or no restrictions.  This may provide the organization
  729. with false confidence in the security ofits IT resources, resulting
  730. in a security situation worse than if the protection mechanisms had
  731. not been provided in the first place.
  732.  
  733. 8.2  Indirect Costs
  734.  
  735. The primary indirect cost associated with introducing logical
  736. access controls into an IT system is the effect on user
  737. productivity.  There are two primary dimensions to this situation. 
  738. The first is the additional overhead individual users have in
  739. properly determining (when it is under their control) the
  740. protection attributes of information.  This determination requires
  741. both an understanding of the relevant policy governing the
  742. treatment of the information and an understanding of the technology
  743. supporting the logical access control.  The other dimension centers
  744. on the situation of users not being able to access information
  745. necessary to their jobs because the permissions were incorrectly
  746. assigned.  While infrequent, this situation is familiar to most
  747. organizations that put strong emphasis on logical access control.
  748.  
  749. It is important to understand, though, that through the
  750. proliferation of PCs, the decreased costs of computers, and
  751. increased use of networking, the amount and variety of information
  752. processed on shared IT systems is increasing at a rapid rate. 
  753. Without the assurance provided by logical access control that
  754. information will be protected appropriately, there will be a
  755. reluctance to share that information in the most effective manner. 
  756. The result would then be a decrease in the usefulness of an IT
  757. system. SIDEBAR NOTES:
  758.  
  759. (1)  Sec 1 para 3:  Logical Access Controls are a means of
  760. controlling the types of information different users of the same
  761. system may access.
  762.  
  763. (2)  Sec 2.1.1 para 1:  Logical Access Controls manage interactions
  764. among different users, different types of information, and
  765. different types of access modes. 
  766.  
  767. (3)  Sec 2.2:  Identification & Authentication, covered in Chapter
  768. 16, forms the basis for logical access control. 
  769.  
  770. (4)  Sec 2.3 para 2:  Logical access control can augment physical
  771. access control.
  772.  
  773. (5)  Sec 3 para 1:  Administration is one of the most challenging
  774. aspects of logical access control.
  775.  
  776. (6)  Sec 3.1 para 1:  Central administration means that one element
  777. in the organization is responsible for configuring all user access
  778. controls.
  779.  
  780. (7)  Sec 3.2:  Decentralized administration means that accesses are
  781. controlled by the owners or creators of files.
  782.  
  783. (8)  Sec 3.4:  "Super users" can change or supersede all user and
  784. administrator activities, when necessary, but such privileges must
  785. be monitored stringently.
  786.  
  787. (9)  Sec. 5, para 2:  In some environments, although logical access
  788. controls would be beneficial, the costs might be prohibitive.
  789.  
  790. (10)  Sec. 6:  A variety of logical access control mechanisms are
  791. available, and they vary in terms of precision, sophistication, and
  792. cost. 
  793.  
  794. (11)  Sec. 6.3, para 1:  Permission bits and Access Control Lists
  795. provide logical access control that is at the discretion of the
  796. information's owner, but ACLSs provide finer precision.
  797.  
  798. (12)  Sec. 6.5, para 1:  Logical access control through roles means
  799. that rights are grouped by role name and access rights are
  800. restricted to persons authorized to assume the associated role.  REFERENCES:
  801.  
  802. Caelli, William, et al.  Information Security Handbook. Stockton
  803. Press, 1991, New York, NY.
  804.  
  805. Abrams, M.D., et al.  A Generalized Framework for Access Control: 
  806. an Informal Description.  Mitre Corporation:  McLean, VA, 1990.
  807.  
  808. Baldwin, R.W.  "Naming and Grouping Privileges to Simplify Security
  809. Management in Large Databases." In Proc. 1990 IEEE Symposium on
  810. Security and Privacy, pages 116-132, Oakland, CA, May 1990.
  811.  
  812. Dinkel, Charles.  Secure Data Network System Access Control
  813. Documents.  National Institute of Standards and Technology: 
  814. Gaithersberg, MD, 1990.
  815.  
  816. Thomsen,  D.J.  "Role-based Application Design and Enforcement." 
  817. In Proc. of the Fourth IFIP Workshop on Database Security, 
  818. Halifax, England, September 1990.
  819.  
  820. Pfleeger, Charles P.  Security In Computing.  Prentice-Hall, Inc.: 
  821. Englewood Cliffs, NJ, 1989.
  822.  
  823. Gasser, Morrie.  Building a Secure Computer System.  Van Nostrand
  824. Reinhold Company, Inc.: New York, NY, 1988.
  825.  
  826. Sandhu,  R.  "Transaction Control Expressions for Separation of
  827. Duty." In Fourth Annual Computer Security Applications Conference,
  828. pages 282-286, Orlando, FL, December 1988.
  829.  
  830. Clark,D. and D. Wilson.  "A Comparison of Commercial and Military
  831. Computer Security Policies." In Proc. 1987 IEEE Symposium on
  832. Security and Privacy, pages 184-194, Oakland, CA, April 1987.
  833.  
  834. Bach, M.J. The Design of the Unix Operating System. Prentice-Hall,
  835. Englewood Cliffs, NJ, 1986.
  836.  
  837. Boebert, W. E. and R. Y. Kain.  "A Practical Alternative to
  838. Hierarchical Integrity Policies." In Proc. 8th National Computer
  839. Security Conference, pages 18-27, Gaithersburg, MD, September 1985.
  840.  
  841. Landwehr, C., C. Heitmeyer and J. McLean.  "A Security Model for
  842. Military Message Systems." In ACM Transactions on Computer Systems,
  843. Vol 2, No.3, August 1984.
  844.  
  845. "Guideline on User Authentication Techniques for Computer Network
  846. Access Control," U.S. Department of Commerce (NIST), FIPS
  847. Publication 83, September 1980.
  848.  
  849. "Guidelines for Security of Computer Applications," U.S. Department
  850. of Commerce (NIST), FIPS Publication 73, June 1980.22
  851.  
  852.