Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Методы и абстрактные модели контроля доступа к создаваемым объектам

Статичные и создаваемые объекты.

Рассмотрим принципиально важную применительно к вопросам реализации контроля доступа классификацию объектов доступа, которые можно подразделить на статичные и создаваемые в процессе работы системы [18].

  • • Под статичными объектами доступа будем понимать объекты, присутствующие в системе на момент создания администратором разграничительной политики доступа субъектов к объектам.
  • • Под создаваемыми объектами доступа будем понимать объекты, отсутствующие в системе на момент создания администратором разграничительной политики доступа субъектов к объектам, и создаваемые пользователями впоследствии, уже в процессе функционирования системы.

С точки зрения реализации ЗИ между объектами доступа данных классов существует колоссальная разница. Рассмотрим их различия на примере файловых объектов. Статичные файловые объекты — это, прежде всего, системные объекты (исполняемые файлы и файлы настроек ОС и приложений). Создаваемые же файловые объекты — это объекты, создаваемые пользователями непосредственно во время их работы на компьютере и предназначенные в первую очередь для хранения в виде соответствующих данных обрабатываемой информации, в том числе конфиденциальной.

Как следствие, в защите прежде всего нуждаются именно создаваемые объекты, предназначенные для хранения обрабатываемых в ИС данных, для них в первую очередь и должна реализовываться разграничительная политика доступа. Однако на момент создания администратором разграничительной политики доступа этих объектов в системе еще попросту нет.

Принципы контроля доступа к создаваемым объектам. Рассмотрим возможность реализации контроля доступа к создаваемым объектам, опять же, на примере файловых объектов, методами контроля доступа к статичным объектам, которые были изложены ранее. Эти методы предполагают наличие двух сущностей при создании администратором разграничительной политики доступа — субъекта и объекта доступа.

Поскольку на момент создания администратором разграничительной политики доступа создаваемых далее пользователями файлов еще не существует в системе, с целью обеспечения контроля доступа к создаваемым объектам администратором в системе создаются папки (своего рода «контейнеры») для последующего сохранения в них файлов пользователями.

Доступ к созданным администратором папкам, в том числе на создание в них пользователями файлов, разграничивается. Объект доступа «файл» в общем случае при этом вообще исчезает из разграничительной политики доступа. Созданные файлы наследуют разграничения, установленные администратором для папок.

Таким образом, контроль доступа к создаваемым объектам реализуется посредством разграничения прав доступа но их созданию субъектами в соответствующих объектах-контейнерах, с последующим разграничением прав доступа субъектов уже к соответствующим объектам-контейнерам.

Принципиальным отличием задачи реализации контроля доступа к создаваемым объектам является то, что на момент создания администратором разграничительной политики доступа в системе присутствует только сущность «субъект доступа», а объект еще не создан.

Замечание. Одним из возможных способов разрешения данного противоречия является использование в системе сущности «Владения», когда пользователь, создавший файл, как его «владелец» может назначать права доступа к этому файлу иным пользователям. Однако в современных условиях, когда легальный пользователь рассматривается в качестве одного из основных источников угрозы безопасности, пользователь должен исключаться из схемы администрирования, должно реализовываться принудительное управление информационными потоками.

• Под контролем доступа к создаваемым объектам понимается контроль доступа, основанный на исключении сущности «объект доступа» из разграничительной политики доступа — объект доступа не используется при задании правил доступа благодаря реализации в системе автоматической разметки создаваемых объектов посредством наследования ими учетных данных создавшего их субъекта доступа.

Принципы контроля доступа к создаваемым объектам состоят в следующем [18].

  • 1. Сущность «объект доступа» исключается из схемы контроля доступа при создании администратором разграничительной политики доступа - при создании правил доступа используются две сущности: идентификатор субъекта, создавшего объект, и идентификатор субъекта, доступ которого контролируется к созданному объекту.
  • 2. Правила доступа устанавливаются между сущностями «субъект доступа, запрашивающий доступ к объекту» и «субъект доступа, создавший этот объект».
  • 3. При создании субъектом нового объекта этот объект диспетчером доступа автоматически размечается — он наследует учетные данные субъекта доступа, создавшего этот объект.
  • 4. При запросе доступа к любому объекту диспетчер доступа анализирует наличие и (при наличии) содержимое унаследованных объектом учетных данных создавшего его субъекта доступа. При наличии таких данных он анализирует заданные правила доступа, в результате чего предоставляет запрошенный субъектом доступ либо отказывает в нем. При отсутствии — анализирует правило контроля доступа к неразмеченным (не унаследовавшим учетные данные субъекта) объектам.

Замечания. 1. В общем случае изложенные принципы контроля доступа, предполагающие автоматическую разметку объектов при их создании, т.с наследование объектом учетных данных создавшего его субъекта доступа, могут реализовываться не только в отношении создаваемых объектов. Автоматически размечаться по определенным правилам могут и статичные объекты, например исполняемые файлы при их запуске, с предотвращением задаваемыми правилами доступа возможности их удаления или модификации. Это значит, что данные принципы контроля доступа в том или ином виде могут использоваться и при контроле доступа к статичным объектам.

2. В общем случае разметка объектов с целью наследования ими учетных данных субъекта, создавшего объект, может осуществляться не только автоматически, но и вручную администратором, что также позволяет использовать принципы контроля доступа к создаваемым объектам для реализации контроля доступа к статичным объектам.

Принципиальной особенностью контроля доступа к создаваемым объектам является его малая избирательность при задании разграничительной политики доступа — можно разграничивать права доступа не к конкретным, а одновременно ко всем создаваемым каким-то субъектом объектам. При этом права доступа ко всем объектам, создаваемым одним и тем же субъектом, будут совпадать.

Вывод. Основным назначением методов контроля доступа к создаваемым объектам является реализация изолированной обработки информации между различными субъектами.

Несмотря на свое основное назначение, реализацией контроля доступа к создаваемым объектам может эффективно решаться и достаточно много иных задач защиты, например можно запретить исполнять, в том числе и с системными правами, все создаваемые интерактивными пользователями в процессе работы файлы, причем вне зависимости от их типов, в том числе расширений, чем реализовать эффективную защиту от запуска вредоносных программ.

Два же принципиальных отличительных свойства методов контроля доступа к создаваемым объектам от соответствующих методов контроля доступа к статичным объектам состоят в следующем.

  • 1. Простота администрирования реализующего метод средства ЗИ, так как в данном случае не требуется разграничивать нрава доступа к объектам — все разграничения прав доступа устанавливаются между субъектами. Что, в свою очередь, обеспечивает корректную реализацию разграничительной политики доступа в общем случае.
  • 2. Отсутствие проблемы разделения неразделяемых файловых объектов, что обусловливается автоматической разметкой именно создаваемых файлов, в том числе и соответствующих временных файлов.

В порядке замечания отметим, что реализация контроля доступа к создаваемым объектам позволяет реализовать распределенный контроль доступа в ИС в том случае, когда учетные данные создавшего объект субъекта помещаются не в альтернативный поток [18|, а непосредственно в объект — в файл. В этом случае при любом способе переноса файла на другой компьютер (по сети, на внешнем накопителе) вместе с данными в файле будут передаваться учетные данные создавшего файл субъекта.

Метод дискреционного контроля доступа к создаваемым объектам. Данный метод контроля доступа, как и соответствующий метод контроля доступа к статичным объектам, реализуется на основе матрицы контроля доступа, которая в данном случае приобретает совершенно иной вид.

Если считать, что множество С = {Ср ..., С,} — это линейно упорядоченное множество субъектов доступа, a R — конечное множество прав доступа (чтение (г), запись (w), удаление (б/), исполнение (х) и т.д., О — отсутствие прав доступа) субъекта С, к объекту, созданному субъектом С;; i= 1, ..., /, 7=1,..., /, то матрица контроля доступа М имеет следующий вид (условимся в строках матрицы указывать учетные данные субъектов, запрашивающих доступ к объектам, а в столбцах — учетные данные субъектов, унаследованные созданными объектами):

В любой момент времени система описывается своим текущим состоянием Q = (С, С, М), М[С, С] — ячейка матрицы, содержит набор нрав доступа. Будем обозначать С?R)Cj разрешение права доступа субъекту Су к объекту, созданному субъектом Cjf i = 1, ..., /; j = 1, /, где 7? = {х, да, г,

исполнение (х), запись (да), чтение (г), удаление (с/).

Для данной системы состояние Qo =0, С0, М0) следует считать безопасным относительно некоторого права /?, если не существует последовательности действий (это не относится к действиям администратора, назначающего данные правила), в результате выполнения которых субъектом С0 приобретается право R доступа к объекту, созданному иным субъектом, исходно отсутствующее в ячейке матрицы М00, С0]. Если же право R, отсутствующее в ячейке матрицы М00, С0], приобретается субъектом С0, то следует говорить, что произошла утечка права R, а система небезопасна относительно права R.

Оценим уровень абстракции данной модели. Он относительно низок, поскольку в качестве создаваемых объектов в первую очередь следует рассматривать создаваемые в системе файлы и данные, помещаемые в буфер обмена. Однако рассмотренный метод крайне эффективен и может рассматриваться в качестве основного метода контроля доступа для решения задачи изолирования обработки данных субъектами доступа, которую рассмотрим далее.

Метод мандатного контроля доступа к создаваемым объектам. Особенностью реализации метода мандатного контроля доступа к создаваемым объектам является то, что метки безопасности (мандаты) назначаются только субъектам доступа Мг. При создании субъектом нового файла этот файл наследует учетные данные субъекта доступа — в рассматриваемом случае его метка безопасности Мс (обозначим унаследованную метку Мс0, при этом Мсо = Мс).

При запросе доступа к любому объекту диспетчер доступа анализирует наличие метки, а при наличии — значение метки безопасности Мсо, унаследованной этим объектом. Диспетчер сравнивает значения этой метки и метки Мс субъекта, запросившего доступ к этому объекту, т.е. анализирует выполнение заданных правил контроля доступа для рассматриваемого запроса доступа. В результате данного сравнения диспетчер либо разрешает запрошенный субъектом доступ к файлу, либо отказывает в нем.

Правила контроля доступа, направленные на защиту от понижения категории обрабатываемой информации, в данном случае имеют тот же вид, что и для метода контроля доступа к статичным файловым объектам:

  • 1) субъект С имеет доступ к объекту О в режиме «Чтения», если выполняется условие Мс < Мсо;
  • 2) субъект С имеет доступ к объекту О в режиме «Записи», если выполняется условие Мс = Мсо.

А вот иллюстрирующая базовые правила метода мандатного контроля доступа к создаваемым файлам матрица доступа Мт уже имеет совершенно иной вид:

Как видим, в разграничительной политике доступа присутствуют только субъекты и их метки безопасности.

Отметим, что уровень абстракции здесь такой же, как и у метода дискреционного контроля доступа к создаваемым объектам, — метод предназначен для разграничения прав доступа к файлам и к данным, временно помещаемым в буфер обмена.

В рамках основного назначения методов контроля доступа к создаваемым объектам, состоящего в реализации изолированной обработки информации (в данном случае — различных уровней конфиденциальности), метод мандатного контроля доступа к создаваемым объектам имеет неоспоримые преимущества перед методом мандатного контроля доступа к статичным объектам. Главное из них — простота администрирования реализующего метод средства ЗИ, так как в данном случае требуется назначать метки безопасности исключительно субъектам. Кроме того, не требуется решать задачи разделения не разделяемых системой и приложениями папок.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>