Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава
11.
Требования, подходы и задачи управления доступом
шествующих
ОС пользователь сам может устанавливать атрибуты на со-
здаваемые ими файловые объекты и не во всех случаях данные действия
пользователя могут осуществляться в рамках задаваемых администрато-
ром разграничений прав доступа к ресурсам.
Таким образом, в рамках существующих ОС «владелец» объекта файло-
вой системы -- это лицо, которое может устанавливать права доступа
(атрибуты) к данному файловому объекту. В общем случае это может быть
либо администратор, либо пользователь, создающий файловый объект.
Однако права «владельца» в конечном счете определяются тем, кто яв-
ляется собственником информации, т.к. именно собственник информа-
ции может принимать
решение
о ее передаче другим лицам. Естествен-
но, что когда речь идет о домашнем компьютере, то собственником и
«владельцем» является непосредственный хозяин компьютера, обрабаты-
вающий на нем собственную информацию.
Другое дело -- применение вычислительных средств (соответственно
средств защиты) на предприятии. Использование защищаемого компью-
тера на предприятии, как правило, связано с защитой служебной инфор-
мации, конфиденциальных данных и т.д. Но эта информация уже не яв-
ляется собственностью пользователя, следовательно, не пользователь
должен являться ее конечным «владельцем». При этом также необходимо
учитывать, что, по статистике, большинство хищений информации на пред-
приятии (умышленно или нет) осуществляется непосредственно сотрудни-
ками, в частности, пользователями защищаемых компьютеров. Естествен-
но, то же (но в большей мере) относится к защите секретной информации,
собственником которой является государство.
Таким образом, по мнению автора, следует говорить о подходах к защите
информации, «владельцем» которой априори не является пользователь. В
частности, владельцем служебной информации является предприятие. Что
касается конфиденциальной информации, то здесь все зависит от ее типа.
В связи с этим большинство приложений систем защиты связано именно
с защитой данных, собственником которых пользователь не является.
Следует отметить, что на практике существует некоторое противоречие в
определении дискреционного управления доступом и требований, форму-
лируемых к его реализации. Так, определение дискреционного управле-
ния доступом предполагает: «Разграничение доступа между поимено-
ванными субъектами и поименованными объектами. Субъект с
определенным правом доступа может передать это право любому
другому субъекту». Другими словами, «владельцем» файлового объекта
здесь непосредственно пользователь. Именно данная концепция прини-
мается в качестве основы создания разграничительной политики доступа
,
к ресурсам в современных ОС, прежде всего, в ОС семейства Windows (само
собой подразумевается, что говоря о разграничении к файловым объектам
для ОС Windows, мы подразумеваем файловую систему NTFS).
151
Часть IV. Управление доступом к ресурсам
Вместе с тем, возвращаясь к формализованным требованиям к дискре-
ционному управлению (т.е. требований к системе защиты, предназначен-
ной для обработки конфиденциальной информации) среди этих требо-
ваний можем видеть:
* контроль доступа должен быть применим к каждому объекту и каж-
дому субъекту (индивиду или группе равноправных индивидов);
» механизм, реализующий дискреционный принцип контроля доступа,
должен предусматривать возможности санкционированного измене-
ния правил или прав разграничения доступа (ПРД), в том числе
возможность санкционированного изменения списка пользователей
СВТ и списка защищаемых объектов;
* право изменять ПРД должно предоставляться выделенным субъектам
(администрации, службе безопасности и т.д.);
* должны быть предусмотрены средства управления, ограничивающие
распространения прав на доступ.
Другими словами, рассмотренными требованиями к дискреционному
управлению доступом регламентируется, что все права по назначению и
изменению ПРД предоставляются не субъектам (пользователям), а вы-
деленному субъекту — администратору безопасности. При этом должны
быть предусмотрены средства, ограничивающие распространение прав на
доступ, т.е. препятствующие передаче прав одним субъектом другому. Из
данных требований вытекает, что в качестве «владельца» ресурса должен
рассматриваться администратор безопасности, т.к. «владелец» имеет воз-
можность назначить, изменить и распространить права на доступ.
Видим, что здесь вступают в противоречие концептуальные подходы к оп-
ределению «владельца» информации, а как следствие и подходы к постро-
ению разграничительной политики доступа к ресурсам. В одном случае, если
«владельцем» информации считать пользователя, то естественным будет пре-
доставить ему возможность передачи прав доступа к своим ресурсам («вла-
дельцем» которых он является) другим пользователям. В другом случае, если
«владельцем» информации пользователь не является (что чаще всего), то все
права по назначению и распространению (переназначению) прав доступа
должны принадлежать вьщеленным субъектам — ответственным лицам «вла-
дельца» информации, например, администраторам безопасности. На наш
взгляд, в общем случае правомерен именно второй подход. Поэтому, гово-
ря далее о дискреционном управлении доступом, будем предполагать, что
назначение и изменение ПРД в системе предоставляется вьщеленным субъек-
там — администраторам безопасности. При этом модели дискреционного
доступа будем рассматривать именно в данных предположениях. Соответс-
венно они будут отличаться от моделей, предусматривающих, что «владель-
цем» файлового объекта является пользователь.
С учетом сказанного можем сделать вывод о том, что в основу
разграничи-
тельной политики доступа должен быть положен следующий тезис:
Пользо-
152
Глава
11.
Требования, подходы и задачи управления доступом
ватель не является собственником обрабатываемой им информации, как след-
ствие, не может рассматриваться ее «владельцем», т.е. не должен иметь прав
назначать и изменять ПРД к объектам файловой системы. «Владельцем» объек-
тов файловой системы должен рассматриваться администратор безопасности,
являющийся ответственным лицом собственника, в частности, предприятия.
11.2.2. Корректность и полнота реализации
разграничительной политики доступа
Последующие исследования будем проводить с учетом того, что пользо-
ватель не является «владельцем» информации, им обрабатываемой. Для
механизмов управления доступом к ресурсам данный подход связан с
понятиями корректности и полноты реализации разграничительной по-
литики доступа к ресурсам.
Под корректностью реализации разграничительной политики доступа к ре-
сурсу будем понимать свойство механизма управления доступом полнос-
тью разделять ресурс между пользователями системы. При этом разграни-
чение доступа должно быть реализовано таким образом, чтобы различные
пользователи имели доступ к непересекающимся элементам разделяемого
ресурса, т.е. чтобы обеспечивалась невозможность несанкционированного
обмена ими информацией между собой по средством данного ресурса.
Под полнотой реализации разграничительной политики доступа к ресурсам
будем понимать свойство системы защиты обеспечивать корректную ре-
ализацию разграничительной политики доступа ко всем ресурсам систе-
мы, посредством которых возможен несанкционированный обмен инфор-
мацией пользователей между собой.
Данные определения вытекают из рассмотренных выше формализован-
ных требований к дискреционному управлению доступом к ресурсам.
Системой защиты, используемой в автоматизированных системах обработки
информации, владельцем которой не является пользователь (информация не
является собственностью пользователя), должно выполняться требование к
полноте реализации разграничительной политики доступа к ресурсам. При-
чем это требование должно выполняться по отношению к каждому защища-
емому ресурсу, что в совокупности обеспечивает невозможность несанкцио-
нированного обмена информацией субъектов доступа в системе между собой.
Очевидно, что требование к полноте разграничений доступа к ресурсам
может выполняться только в том случае, когда доверенным лицом вла-
дельца информации (предприятия, либо государства) выступает не пользо-
ватель, а некий субъект, внешний по отношению к информации, обра-
батываемой на защищаемом компьютере. Этот субъект наделяется
специальными полномочиями и обладает необходимым элементом дове-
рия со стороны владельца информации (в частности, предприятия). Та-
ким субъектом и является администратор безопасности.
153
Часть IV. Управление доступом к ресурсам
11.2.3. Классификация субъектов и объектов доступа
Общая классификация субъектов и объектов доступа
Немаловажным является вопрос классификации субъектов и объектов
доступа. Именно на основе этой классификации определяются задачи,
которые должны решаться механизмами управления доступом. При этом
разграничивается доступ каждого субъекта к каждому объекту.
Прежде всего, введем общую классификацию субъектов и объектов дос-
тупа, которые потенциально могут присутствовать в защищаемой систе-
ме. Общая классификация субъектов доступа приведена на рис.
11.1,
а
общая классификация объектов доступа — на рис. 11.2.
Горизонтальная связь на рис.
11.1
отражает, что субъекты «ПОЛЬЗОВА-
ТЕЛЬ» и «ПРОЦЕСС» не могут рассматриваться независимо, т.к. запрос
доступа к ресурсу генерирует процесс, запускаемый пользователем.
Субъекты доступа
Пользователи
h
Процессы
Рис.
11.1.
Общая классификация субъектов доступа
Рис. 11.2. Общая классификация объектов доступа
Очевидно, что представленные на рис.
11.1
и
11.2
классификации содер-
жат всю возможную совокупность субъектов и объектов доступа защища-
емого компьютера (реестр ОС относим к объектам файловой системы).
Теперь введем детальные классификации возможных в системе субъек-
тов и объектов доступа, доступ которых (к которым) должен разграни-
чивать диспетчер доступа. Здесь же определим механизмы управления
доступом, решающие задачи разграничения прав доступа.
Детальная классификация субъектов доступа
Как отмечалось, субъектами доступа к ресурсам компьютера являются
пользователи и процессы. При этом каждый из этих субъектов, в свою оче-
редь, может быть классифицирован. Классификация пользователей пред-
ставлена на рис.
11.3.
Классификация процессов представлена на рис.
11.4.
154
Глава
11.
Требования, подходы и задачи управления доступом
Детальная классификация объектов доступа
Так же как и субъекты доступа, в рамках представленной общей классифи-
кации могут быть более детально классифицированы и объекты доступа.
Классификация файловых объектов данных, с учетом разделяемых в ЛВС
представлена на рис.
11.5.
Классификация файловых объектов программ
представлена на рис. 11.6. Классификация устройств, с учетом разделяе-
мых в ЛВС представлена на рис.
11.7.
Классификация каналов связи (виртуальные) ЛВС, в предположении, что
защищаемый объект находится в составе ЛВС, представлена на рис. 1.8.
Механизмы
управления
доступом
Управление доступом
пользователей к
системному диску, к
запуску системных
процессов
Управление доступом
пользователей к ресурсам
Рис.
11.3.
Классификация пользователей
Механизмы управления
доступом
Обеспечение замкнутости
программной среды
Идентифицируемые по
имени процессы
Скрытые
(не
идентифицируемые)
процессы
(виртуальные машины)
Управление доступом
привилегированных
процессов к ресурсам
Управление доступом
виртуальных машин к
ресурсам (выделение
каталогов данных для
виртуальных машин)
Управление доступом
процессов к ресурсам
Рис. 11.4. Классификация процессов
155
Часть IV. Управление доступом к ресурсам
Файловые объекты данных
(логические диски или
тома,
каталоги, файлы)
Механизмы
управления
доступом
Прикладные
ч
—
—
—
^
г
Системные
Локальные
файловые
объекты
Сетевые файловые
объекты
разделяемые (в сети общие
папки)
Управление доступом
пользователей
и процессов
к системному диску;
Управление доступом
пользователей
и процессов
к реестру ОС.
Управление доступом к
каталогам, неразделяемым
системой
Управление доступом
пользователей и
процессов к сетевым
файловым объектам
Управление доступом
пользователей и
процессов к локальным
файловым объектам
Рис. 11.5. Классификация файловых объектов данных
Файловые объекты программ
(исполняемые файлы)
Механизмы управления
доступом
Пользовательские Системные
Управление доступом
пользователей и
процессов к системному
диску, к запуску
системных процессов
Обеспечение замкнутости
программной среды
Рис.
11.6.
Классификация файловых объектов программ
Устройства
Механизмы управления доступом
Санкционированные
(установленные в ОС)
1
,
г
Несанкционированные
(неустановленные в ОС)
• Обеспечение замкнутости
программной среды
Управление доступом пользователей
• и процессов к реестру ОС
Устройства ввода-
вывода с отчуждаемыми
носителями
Иные устройства (принтеры
и т.д.), в том числе сетевые
Управление доступом
пользователей к устройствам
Управление доступом пользователей
и процессов к сетевым файловым объектам
Управление доступом пользователей и
процессов к локальным файловым объектам
Рис.
11.7.
Классификация устройств
156
Глава
11.
Требования, подходы и задачи управления доступом
Каналы
связи (виртуальные)
ЛВС
Механизмы управления
доступом
Определяемые
информационной
технологией
Определяемой сетевой
службой(номером
порта)
Определяемые
адресами
хостов
Определяемой
приложением
Управление доступом
пользователей к хостам по
их адресам и по времени
Управление доступом
пользователей
к процессам
Управление доступом
процессов к хостам
Обеспечение замкнутости
программной среды
Управление доступом
пользователей к хостам по
номерам портов
Рис.
11.8.
Классификация каналов связи (виртуальные) ЛВС
Требования к механизмам управления доступом
С учетом сказанного можем сделать вывод о необходимости управления
доступом для каждой пары «субъект — объект». Без этого не может быть
обеспечена полнота разграничительной политики доступа к ресурсам за-
щищаемого объекта. При этом должна быть реализована следующая со-
вокупность механизмов:
1.
Механизм управления доступом пользователей (прикладных пользо-
вателей и администратора) к ресурсам.
2. Механизм управления доступом процессов (прикладных и систем-
ных) к ресурсам.
3. Механизм комбинированного доступа пользователя и процесса к
ресурсам.
В качестве ресурсов, к которым должен разграничиваться доступ, долж-
ны выступать:
1.
При автономном (не в составе сети) функционировании защищае-
мого объекта:
• логические диски (тома), каталоги, файлы данных;
• каталоги, не разделяемые ОС и приложениями (например, TEMP,
«Корзина» и др.);
• каталоги с исполняемыми файлами, исполняемые файлы (обес-
печение замкнутости программной среды);
• системный диск (где располагаются каталоги и файлы ОС);
• объекты, хранящие настройки ОС, приложений, системы защиты
(для ОС Windows — реестр ОС);
• устройства;
• отчуждаемые внешние накопители (дискеты, CD-ROM диски и т.д.).
157
Часть IV. Управление доступом к ресурсам
2. При функционировании защищаемого объекта в составе ЛВС по-
мимо вышеуказанных должны дополнительно рассматриваться сле-
дующие ресурсы:
• разделяемые в сети файловые объекты;
• разделяемые в сети устройства;
• хосты;
• сетевые информационные технологии (сетевые приложения и
службы).
С учетом формализованных требований к системе защиты при реализа-
ции системы защиты конфиденциальной информации основу данных
механизмов должен составлять дискреционный принцип разграничения
прав доступа. При реализации системы защиты секретной информации
основу данных механизмов должен составлять мандатный принцип раз-
граничения прав доступа, а дискреционный принцип в этом случае реа-
лизуется в качестве дополнения к мандатному.
11.3. Угрозы преодоления
разграничительной политики доступа
к ресурсам. Противодействие угрозам
современными ОС
11.3.1. Классификация угроз преодоления
разграничительной политики доступа к ресурсам
Классификация угроз преодоления разграничительной политики досту-
па к ресурсам в общем случае представлена на рис. 11.9. Как и ранее,
здесь могут быть выделены явные и скрытые угрозы. Явные угрозы свя-
заны с некорректностью реализации как собственно механизма защиты,
так и механизма его администрирования. Кроме того, явные угрозы мо-
гут быть связаны с неполнотой разграничений, реализуемых в системе,
что позволяет пользователю без применения каких-либо вспомогатель-
ных средств осуществить НСД к ресурсам.
Скрытые же угрозы наоборот предполагают для осуществления НСД при-
менение пользователем своего программного обеспечения (и здесь не-
возможно предположить, каким образом и с какой целью они реализу-
ются), а также знаний об ошибках и потенциально возможных закладках
в реализации механизмов управления доступом к ресурсам.
158
Глава
11.
Требования, подходы и задачи управления доступом
Угрозы преодоления разграничительной
политики доступа к ресурсам
Некорректность
механизма
1
^^
Управления
доступом
к ресурсу
Неполнота набора
механизмов
управления доступом
(присутствуют
незащищаемые
ресурсы)
^^
Использование
собственных
вредоносных
программ
пользователя
Администрирование
механизма
управления доступом к ресурсу
Рис. 11.9. Угрозы преодоления
разграничительной политики доступа к ресурсам
11.3.2. Практический анализ современных ОС
в контексте принятой классификации угроз
преодоления разграничительной политики доступа
Проиллюстрируем отмеченные классы угроз простыми примерами и
проанализируем возможность противодействия им современными уни-
версальными ОС.
Под некорректностью механизма управления доступом к ресурсам (в
отличие от ошибки в реализации механизма) будем понимать возможность
появления (или существование) канала НСД к информации, обусловлен-
ного в идеологически неверном определении его задач и функций, что
критически сказывается на реализации механизма. Например, ранее от-
мечалось, что важнейшим механизмом защиты является обеспечение зам-
кнутости программной среды. При этом должны рассматриваться возмож-
ности запуска программ из всех объектов доступа, а не только с жесткого
диска, в частности, с локальных и сетевых устройств ввода, общих па-
пок (разделяемых ресурсов файловой системы).
Разграничение доступа на запуск программ только из объектов файловой
системы, располагаемых на жестком диске, является некорректным решени-
ем задачи обеспечения замкнутости программной среды. Подобный недоста-
ток, например, присущ ОС Windows NT/2000, где невозможно установить
атрибут доступа «на исполнение» к устройствам ввода. Таким образом, важ-
нейший механизм защиты — механизм обеспечения замкнутости
программ-
159
Часть IV. Управление доступом к ресурсам
ной среды, противодействующий скрытым угрозам, — здесь не может быть
реализован без физического отключения устройств ввода в принципе. Гораз-
до хуже ситуация обстоит для ОС семейства
UNIX,
ввиду невозможности ус-
тановить атрибут «исполнение» на каталог (в том смысле, что в UNIX для
каталога этот атрибут не несет в себе необходимой функциональности).
Другой примернекорректности механизма замкнутости программной сре-
ды
--
невозможность разграничить исходящий доступ к общим папкам.
Некорректность администрирования механизма управления доступом к
ресурсу может быть проиллюстрирована следующими примерами. Право
разделять (делать доступными из сети) общие папки и устройства, на-
пример, для ОС Windows 95/98/Ме предоставляется пользователю, что в
принципе не позволяет администратору
реализовать
разграничительную
политику доступа к ресурсам при защите компьютера в составе ЛВС.
Далее, при использовании на защищаемом компьютере приложения, об-
ладающего встроенными механизмами защиты (например, СУБД), появ-
ляется несколько уровней администрирования безопасностью, при этом
не решается задача централизации подобной системы управления.
Неполнота набора механизмов управления доступом делает современные
ОС уязвимыми. В частности, без разграничений доступа для субъекта
«процесс» трудно обеспечить какую-либо серьезную защиту информации.
Так, для ОС семейства Windows существуют системные процессы, запус-
каемые под текущим пользователем. При этом невозможно разграничить
доступ для системного процесса.
Относительно скрытых угроз можем отметить, что они, в первую оче-
редь, связаны с некорректностью реализации механизма обеспечения
замкнутости программной среды, который, как отмечалось, большинством
современных универсальных ОС реализован не в полном объеме.
11.4. Структура диспетчера доступа.
Требования к механизмам управления
доступом к ресурсам
11.4.1.
Диспетчер доступа, как центральный
элемент системы защиты
Разграничение доступа осуществляется центральным элементом системы
защиты -- диспетчером доступа. Диспетчер доступа идентифицирует
субъекты, объекты и параметры запрашиваемого доступа субъектом к
объекту. Это именно диспетчер доступа предоставляет запрашиваемый
доступ или запрещает его.
160