Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Глава

13.

Реализация моделей доступа механизмами добавочной и встроенной защиты

равления

доступом, реализующим принудительное управление виртуаль-

ными каналами взаимодействия субъектов доступа, накладываются до-

полнительные ограничения к корректности реализации.

На практике для дискреционного механизма управления доступом, как

правило, используется модель произвольного управления виртуальными

каналами взаимодействия субъектов доступа. Однако управление кана-

лами может быть и принудительным — все зависит от реализуемой мат-

рицы доступа. В этом случае мандатный и дискреционный механизмы

различаются только способом задания разграничительной политики в

диспетчере доступа и обработки запросов на доступ.

Мандатный механизм управления доступом позволяет корректно реализо-

вать полномочные модели управления доступом при условии, что всем субъек-

там и объектам доступа сопоставлены метки безопасности. Для дискрецион-

ного механизма, реализующего принудительное управление виртуальными

каналами, это соответственно означает необходимость задания разграниче-

ний для всех субъектов и объектов доступа.

Доказательство данного утверждения очевидно. Нетрудно показать, что

представленные правила реализуют разграничения доступа полностью

адекватные соответствующим каноническим матрицам доступа D, отобра-

жающим полномочные модели управления доступом, в случае, если всем

субъектам из множества С и объектам из множества О сопоставлены метки

безопасности. При этом несопоставление метки безопасности какому-либо

субъекту или объекту означает вычеркивание соответствующей строки или

столбца из матрицы доступа D.

Таким образом, если существует объект, который не включен в схему

мандатного управления доступом, то этот объект может являться сред-

ством несанкционированного

взаимодействия

пользователей, имеющих

различные метки безопасности.

Таким образом, метки безопасности должны устанавливаться на все

объекты файловой системы (логические диски (тома), каталоги, подка-

талоги, файлы), а также на все иные объекты доступа — на устройства

ввода/вывода и отчуждаемые носители информации, виртуальные кана-

лы связи и т.д. Речь о требованиях к полноте разграничительной поли-

тики доступа к ресурсам пойдет ниже.

Мандатный механизм управления доступом позволяет корректно реализо-

| вать полномочные модели управления доступом при условии, что системой

защиты реализуется требование к изоляции программных модулей (процес-

сов) различных пользователей. То же справедливо и для дискреционного

механизма, реализующего принудительное управление виртуальными кана-

лами взаимодействия субъектов доступа.

181

Часть IV. Управление доступом к ресурсам

Доказательство данного утверждения состоит в необходимости противо-

действовать скрытым каналам взаимодействия субъектов доступа. Если

под явным каналом понимается объект, доступ к которому может быть

разграничен, то под скрытым — любые иные возможности взаимодей-

ствия субъектов доступа, которые в этом случае должны исключаться,

например, передача информации между субъектами доступа через буфер

обмена и т.д. Очевидно, что если

существует

возможность передачи ин-

формации между процессами, запускаемыми с правами пользователей,

которым назначены различные метки безопасности, то реализуется воз-

можность переноса информации из объекта более высокого уровня кон-

фиденциальности в объект более низкого уровня конфиденциальности.

Данное требование относится к процессам прикладных пользователей (ко-

торым назначаются метки безопасности). Поэтому, в первую очередь, дан-

ное требование выдвигается при реализации системы защиты для ОС се-

мейства UNIX, где одновременно в системе могут быть запущены

' процессы различных пользователей. Для ОС семейства Windows одновре-

менно запускаются процессы двух пользователей — текущего приклад-

ного пользователя и виртуального пользователя «СИСТЕМА» (системные

процессы). Однако, так как системные процессы не имеют средств уп-

равления пользователем, то выполнение рассматриваемого требования для

ОС семейства Windows становится неактуальным.

Отметим, что мандатный механизм управления доступом может применять-

ся лишь для реализации канонических матриц доступа. Для реализации

частных матриц доступа мандатный механизм должен функционировать в

диспетчере наряду с дискреционным механизмом. Дискреционный меха-

низм здесь служит для разграничения прав доступа пользователей, обла-

дающих одинаковой меткой безопасности.

Проиллюстрируем сказанное простым примером. Рассмотрим частную

матрицу, представленную ниже.

D =

ГС

'-k

Зп/Чт Д Д Д

Чт Зп/Чт Д Д

Чт

Чт Зп/Чт Д

О Чт ...

Чт

Зп/Чт

Чтобы реализовать данную матрицу доступа в дополнение к мандатному

механизму управления доступом, реализующему каноническую полномоч-

ную модель управления доступом с комбинированным управлением вир-

туальными каналами взаимодействия субъектов доступа, следует запре-

тить дискреционным механизмом управления доступом чтение субъектом

С1 объекта Ok (закрыть соответствующий пассивный симплексный ка-

нал взаимодействия субъектов доступа Ck

-»

С1).

182

Глава

13.

Реализация моделей доступа механизмами добавочной и встроенной защиты

Таким образом, обобщая сказанное, отметим, что мандатный механизм

управления доступом можно рассматривать как альтернативный дискреци-

онному механизму способ реализации полномочных моделей управления

доступом. Более того, с точки зрения реализуемых возможностей управле-

ния доступом данные механизмы адекватны при условии реализации одной

и той же матрицы доступа.

Преимуществом мандатного механизма является интуитивная понятность,

а как следствие, и простота настройки диспетчера доступа в предполо-

жении, что интуитивно понятен механизм включения шкалы полномо-

чий и назначения меток безопасности. При этом не требуется задания в

диспетчере доступа матрицы доступа как таковой. Достаточно задать пра-

вила доступа, соответствующие реализуемой полномочной модели управ-

ления доступа, и метки безопасности.

Недостатком механизма является необходимость в общем случае наряду

с мандатным механизмом использовать дискреционный механизм управ-

ления доступом. То есть реализация диспетчера доступа усложняется и

остается необходимость в том или ином виде задания матрицы доступа.

Выше было показано, что все функции управления доступом (все мат-

рицы доступа и соответствующие модели) могут быть реализованы диск-

реционным механизмом. При этом мандатный механизм является част-

ным случаем дискреционного и задает лишь некоторые правила. Эти

правила с одной стороны упрощают администрирование диспетчера до-

ступа (за счет включения меток безопасности), а с другой стороны огра-

ничивают возможные ошибки в администрировании.

Реализуется это за счет выполнения мандатным механизмом следующе-

го требования: любой субъект и объект доступа, которому не присвоена

метка безопасности, автоматически исключается из схемы управления

доступа (какой-либо доступ непомеченного субъекта/доступ к непомечен-

ному объекту — невозможны). При этом одно из основных требований

мандатного механизма управления доступом -- управление потоками -

может быть реализовано только в рамках канонической модели, а раз-

граничение диспетчером доступа должно осуществляться для всех субъек-

тов ко всем объектам доступа на защищаемом объекте.

13.1.3. Общие положения по реализации

управления доступом

Все вышеприведенные рассуждения можно оформить в виде следующих

общих положений.

1. В общем случае могут быть выделены дискреционный и мандатный

механизмы управления доступом. Под дискреционным механизмом

управления доступом понимается способ обработки запросов дис-

183

Часть IV. Управление доступом к ресурсам

петчером доступа, основанный на задании правил разграничения

доступа в диспетчере непосредственно матрицей доступа D.

Под мандатным механизмом управления доступом, реализующим

канонические полномочные модели управления доступом, понима-

ется способ обработки запросов диспетчером доступа, основанный

на формальном сравнении меток безопасности субъектов и объек-

тов доступа в соответствии с заданными правилами. Причем ман-

датный механизм управления доступом корректно может реализо-

вывать лишь канонические матрицы доступа.

Для реализации частных матриц доступа на основе мандатных разгра-

ничений данный механизм должен функционировать в диспетчере на-

ряду с дискреционным механизмом (что, кстати говоря, задается и

формализованными требованиями к механизмам управления доступом).

2. Мандатный механизм управления доступом позволяет корректно реа-

лизовать полномочные модели управления доступом при условии, что

всем субъектам и объектам доступа сопоставлены метки безопасности.

Для дискреционного механизма, реализующего принудительное управ-

ление виртуальными каналами, это соответственно означает необходи-

мость задания разграничений для всех субъектов и объектов доступа.

3. Мандатный механизм

управления

доступом позволяет корректно

реализовать полномочные модели управления доступом при усло-

вии, что системой защиты реализуется требование к изоляции про-

граммных модулей (процессов) различных пользователей. То же

справедливо и для дискреционного механизма, реализующего при-

нудительное управление виртуальными каналами взаимодействия

субъектов доступа.

Данное требование относится к процессам прикладных пользователей

(которым назначаются метки безопасности). Поэтому, в первую оче-

редь, данное требование выдвигается при реализации системы защиты

для ОС семейства UNIX, где одновременно в системе могут быть

запущены процессы различных пользователей. Для ОС семейства

Windows одновременно запускаются процессы двух пользователей -

текущего прикладного пользователя и собственно системы (систем-

ные процессы). Однако, так как системные процессы не имеют средств

управления пользователем, то выполнение рассматриваемого требова-

ния для ОС семейства Windows становится неактуальным.

4. Так как все функции управления доступом (все матрицы доступа и

соответствующие модели) могут быть реализованы дискреционным

механизмом, мандатный является частным случаем дискреционного

и задает лишь некоторые правила, с одной стороны упрощающие

администрирование диспетчера доступа (за счет включения меток

безопасности), с другой стороны ограничивающие возможные ошиб-

ки в администрировании за счет реализации механизмом управления

доступом требования: любой субъект и объект доступа, кото-

184

Глава 13. Реализация моделей доступа механизмами добавочной и встроенной защиты

рому не присвоена метка безопасности автоматически ис-

ключается из схемы управления доступа (какой-либо доступ

непомеченного субъекта/доступ к непомеченному объекту —

невозможны).

При этом одно из основных требований мандатного

механизма управления доступом -- управление потоками, — может

быть реализовано только в рамках канонической модели, т.е. разгра-

ничение диспетчером доступа должно осуществляться для всех субъек-

тов ко всем объектам доступа на защищаемом объекте.

5. В общем случае, говоря о требованиях к реализации управления

доступом к ресурсам, следует иметь в виду требования к реализуе-

мым моделям и матрицам доступа.

13.2. Механизмы задания меток

безопасности. Категорирование прав доступа

Общие положения

Ввиду максимальной интуитивной понятности наиболее используемым

на сегодняшний день механизмом задания меток безопасности является

задание меток на основе уровня конфиденциальности информации и

уровня прав доступа (допуска). При этом метки безопасности принято

называть метками конфиденциальности.

В основе иерархической классификации информации находится доста-

точно хорошо формализованное ее категорирование, определяемое отне-

сением информации к соответствующему уровню конфиденциальности.

Делается это на основании соответствующих нормативных документов и

распоряжений. В рамках этих документов определены такие категории

как: «открытая», «служебная», «конфиденциальная», «строго конфиден-

циальная», «секретная», «совершенно секретная» и т.д. Соответственно

и пользователь для обработки соответствующей информации должен об-

ладать требуемой формой допуска к информации.

Формализованное категорирование информации и категорирование фор-

мы допуска пользователей к информации без труда позволяет задать метки

конфиденциальности, что существенно может упрощать задание канони-

ческой матрицы при настройке диспетчера доступа.

В общем случае категорирование прав доступа может проводиться и по

другим принципам. При этом для различных принципов категорирова-

ния могут различаться и соответствующие модели. Например, категори-

рование может осуществляться на основе принципа

«начальник—подчи-

ненный». Для такого категорирования целесообразно запретить любой

доступ подчиненного к файловым объектам начальника, а начальнику

разрешить доступ ко всем файловым объектам подчиненного «на чтение».

Реализуется такой подход путем использования полномочной модели

185

Часть IV. Управление доступом к ресурсам

управления доступом с принудительным управлением виртуальными ка-

налами взаимодействия субъектов доступа.

Нетрудно показать, что мандатный механизм управления доступом на прак-

тике может быть реализован и при отсутствии иерархии обрабатываемой в

системе информации. Дело в том, что в системе присутствует информация

пользователя и информация системы. Информация системы, как правило,

располагается на системном диске — это различные конфигурационные

файлы системы, файлы настроек приложений и т.д. Естественно, что к дан-

ной информации должен быть запрещен доступ пользователям «на запись»

и разрешен только «на чтение», чтобы могли нормально функционировать

система и приложения, запускаемые с правами текущего пользователя.

Таким образом, и в данном случае получаем схему мандатного управле-

ния доступом, где файловые объекты с данными пользователя должны

иметь ту же метку, что и пользователь (разрешены «запись» и «чтение»), а

системный диск должен иметь метку безопасности, разрешающую к нему

доступ пользователей только «на чтение». То есть получаем, что уровень

конфиденциальности пользовательской информации выше, чем системной,

а значит при назначении соответствующим образом меток безопасности

пользователь не сможет модифицировать системную информацию.

Неиерархические метки

Также на практике находит применение неиерархических меток (это мож-

но рассматривать как вырожденный случай мандатного управления). На

самом деле при этом реализуется дискреционный механизм, метки же слу-

жат для незначительного упрощения настройки механизма управления до-

ступом (для формализации задания дискреционных разграничений).

Идея назначения неиерархических меток заключается в следующем. Об-

рабатываемая информация разделяется по функциональному назначению,

например, бухгалтерская, персональные данные и т.д. По числу обраба-

тывемых

типов информации вводятся метки Mi. Далее однотипная мет-

ка присваивается типу информации и пользователю (группе пользовате-

лей), которые имеют право обработки данной информации. Назначение

однотипной метки предполагает полный доступ пользователя к инфор-

мации, несовпадение меток — запрет доступа.

Таким образом, правило управления доступом при задании разграниче-

ний неиерархическими метками задается следующим образом:

Субъект С имеет полный доступ к объекту О в случае, если выпол-

няется условие: Мс = Мо.

2. Субъект С не имеет доступа к объекту О в противном случае.

Далее, говоря о мандатном механизме управления доступом, будем пред-

полагать, что используются иерархические метки безопасности.

186

Глава

13.

Реализация моделей доступа механизмами добавочной и встроенной защиты

13.3. Правила назначения меток

безопасности иерархическим

объектам доступа

Ранее объект доступа нами рассматривался как элемент, имеющий не-

иерархическую структуру. Вместе с тем, ряд объектов, например, файло-

вые объекты, характеризуются иерархической структурой. Например,

объект доступа файл может находиться в подкаталоге, который в свою

очередь располагается в каталоге логического диска (или тома).

Возникает вопрос: каким образом назначать метки безопасности иерар-

хическому объекту, с учетом того, что не только включаемый элемент

(например, каталог для логического диска, подкаталог для каталога и т.д.)

является объектом доступа, но и каждый включающий элемент иерар-

хии (например, логический диск для каталога, каталог для подкаталога

и т.д.) также априори является объектом доступа? То есть в соответствии

с требованиями к корректности реализации мандатного механизма уп-

равления доступом метки безопасности должны устанавливаться всем

объектам доступа, как включаемым, так и включающим.

Напомним, что современными универсальными ОС мандатный механизм

управления доступом не реализуется, поэтому данная задача может ре-

шаться лишь средствами добавочной защиты.

13.3.1. Общие правила назначения меток

безопасности иерархическим объектам доступа

Основу назначения меток безопасности иерархическим объектам досту-

па составляет использование следующего подхода. Пусть некоторому

включаемому объекту (например, файлу) необходимо назначить метку

безопасности. Это означает, что пользователю с соответствующей меткой

будет дано право на чтение данного объекта и на запись в него. Соот-

ветственно включающим элементам должна присваиваться метка, не

позволяющая рассматриваемому пользователю осуществить в них запись,

но позволяющая осуществить чтение (чтобы просмотреть структуру вклю-

чающего элемента) — т.е. метка ниже, чем метка включаемого элемента.

Реализация данного подхода позволяет сформулировать следующие общие

правила назначения меток безопасности иерархическим объектам доступа.

1. Метки безопасности из множества М =

{Ml,...,Mk},

используемого

в полномочной модели управления доступом, присваиваются объек-

там доступа (без учета их иерархии), к которым следует разграни-

чивать доступ. Процедура назначение меток безопасности начина-

ется с разметки данных объектов.

187

Часть IV. Управление доступом к ресурсам

2. Метки безопасности должны присваиваться всем включающим

элементам иерархии, вплоть до элемента, являющегося объектом

доступа (к которому разграничивается доступ). Для разметки

включающих элементов, не являющихся непосредственно объек-

тами доступа, но

которым следует разграничить доступ, вво-

дится метка

Mk+1.

Причем для элементов множества М должно

выполняться условие:

< М2 < М3< ... <Mk < Mk+1.

3. Включаемому элементу может не присваиваться метка безопаснос-

ти, тогда включаемый элемент наследует метку безопасности (име-

ет то же значение метки) включающего его элемента.

4. Вводится группа старших (корневых) элементов иерархии

Ok+1,

включающих объекты доступа. Данной группе объектов должна

присваиваться метка безопасности

Mk+1.

5. К группе старших (корневых) элементов иерархии Ok+1 при сопо-

ставлении ей метки Mk+1 разрешается доступ по «чтению».

13.3.2. Правила разграничения доступа для

различных полномочных моделей управления

доступом к иерархическим объектам

Рассмотрим правила разграничения доступа для различных полномочных

моделей управления доступом. Сделаем это применительно к иерархи-

ческим объектам, с учетом сформулированных выше правил назначения

меток безопасности иерархическим объектам доступа. Правила для не-

ирархических объектов приведены ранее, в

п.13.2.

Полномочная модель управления доступом

с произвольным управлением виртуальными каналами

взаимодействия субъектов доступа

Правила разграничения доступа, реализуемые диспетчером доступа име-

ют следующий вид.

1. Для объектов Ol,...,Ok:

• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,

если выполняется условие: Мс = Мо;

• субъект С имеет доступ к объекту О в режиме «Записи» в случае,

если выполняется условие: Мс = Мо;

• субъект С имеет доступ к объекту О в режиме «Добавления» в

случае, если выполняется условие: Мс > Мо.

2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».

188

Глава

13.

Реализация моделей доступа механизмами добавочной и встроенной защиты

Полномочная модель управления доступом

с принудительным управлением виртуальными каналами

взаимодействия субъектов доступа

Правила разграничения доступа, реализуемые диспетчером доступа име-

ют следующий вид.

1. Для объектов Ol,...,Ok:

• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,

если выполняется условие: Мс <, = Мо;

• субъект С имеет доступ к объекту О в режиме «Записи» в случае,

если выполняется условие: Мс = Мо.

2. Любой субъект С имеет доступ к объекту

Ok+1

в режиме «Чтения».

Полномочная модель управления доступом

с комбинированным управлением виртуальными каналами

взаимодействия субъектов доступа

Правила разграничения доступа, реализуемые диспетчером доступа име-

ют следующий вид.

1. Для объектов

Ol,...,Ok:

• субъект С имеет доступ к объекту О в режиме «Чтения» в случае,

если выполняется условие: Мс <, = Мо;

• субъект С имеет доступ к объекту О в режиме «Записи» в случае,

если выполняется условие: Мс = Мо;

• субъект С имеет доступ к объекту О в режиме «Добавления» в

случае, если выполняется условие: Мс > Мо.

2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».

13.3.3. Обоснование корректности механизма

мандатного управления доступом

к иерархическим объектам

При использовании приведенных правил назначения меток безопаснос-

ти в матрице доступа, описывающей полномочную модель управления

доступом, появляется дополнительная строка, соответствующая группе

объектов Ok+1, элементами которой будут

«Чт»

— операция «чтение».

Пример матрицы доступа D для полномочной модели управления досту-

пом с комбинированным управлением виртуальными каналами взаимо-

действия субъектов доступа представлена ниже.

189

Часть IV. Управление доступом к ресурсам

с,

о,

D= ...

0*-,

k+l

'Зп/Чт

Чт

Зп/Чт

Чт

Зп/Чт

Чт

с*

Зп/Чт

Чт

Модель управления доступом формально может быть описана следую-

щим образом. Элемент (Dij) матрицы Dij = Зп/Чт, если i = j; Dij

Чт,

если

k+1

> i > j. Соотвественно Dij = Д, если i < j <

k+1,

и Dij = Чт,

если i = k+1, где i — порядковый номер объекта (номер строки в мат-

рице доступа), a j — порядковый номер субъекта (номер столбца в мат-

рице доступа).

Диспетчер доступа, осуществляющий разграничение доступа на основе пред-

ставленных правил, реализует корректно механизм мандатного управления

доступом к иерархическим объектам доступа.

Доказательство утверждения достаточно очевидно. Матрица доступа D

дополняется строкой Ok+l, для которой создается виртуальный пассив-

ный симплексный канал взаимодействия субъектов доступа — все элементы

строки «Чт». Поэтому в объекты группы

Ok+l

ни один субъект не может

записать информацию. Следовательно, данный канал взаимодействия

субъектов доступа не позволяет получить несанкционированный доступ к

информации (несанкционированно переместить информацию). Он необ-

ходим только для чтения структуры включающих элементов иерархии.

Введение рассмотренных правил назначения меток безопасности иерар-

хическим объектам доступа обусловливает необходимость противодействия

доступу пользователей к остаточной информации. Ранее мы отмечали, что

основой данного противодействия является реализация механизма обес-.

печения замкнутости программной среды, в дополнение к которой мо-

жет осуществляться гарантированная очистка остаточной информации.

Поясним необходимость сказанного. Пусть в объекте Ok+l (таким обра-

зом разметили логический диск) находятся два файла: объекты Ok-m и

Ok—1.

И пусть данным объектам присвоены различные метки безопасно-

сти. Тогда при удалении одного из объектов на диске сохраняется оста-

точная информация, к которой штатными средствами доступ пользова-

тели получить не могут. Однако при определенных условиях (средствами

прямого доступа к диску) они могут получить

доступ

вне рамок мандат-

190