Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 14. Субъект доступа «Процесс» и его учет при разграничении
доступа
Если запрос от системного процесса, то он транслируется с первого вы-
хода блока
2.1
в блок 2.5, которым далее выдается в блок 3 (запрос по-
ступает в обход блока 2.2). Если выявлен запрос от пользовательского про-
цесса, то он транслируется в блок 2.2 (со второго выхода блока 2.1),
где
для каждого пользователя (по его имени) содержится матрица
его
прав
доступа (полные пути к каталогам и файлам, к которым пользователь
может обращаться, и команды (например, только чтение), которые
пользователь может производить над файлами).
Матрица прав доступа задается администратором безопасности (после его
авторизации в блоке 1) со входа 6 через вход 2.8. В случае, если запрос
пользователя удовлетворяет разфаничениям, хранящимся для него в блоке
2.2, то блоком 2.2 этот запрос транслируется в блок 2.3. Блок 2.3 анали-
зирует расширение файла, к которому обращается пользователь, с целью
определения, является ли этот файл исполняемым (программой), если
имеет расширения, например,
.com,
.exe, либо данными, например, рас-
ширения
.doc,
.rtf,
.txt.
Если пользователь обращается к данным, то его запрос блоком 2.3 транс-
лируется в блок 3. Если запрос не удовлетворяет требованиям разграни-
чений в блоке 2.2, запрос блоком 2.2 не пропускается — игнорируется си-
стемой. Если блоком 2.3 выявляется, что пользователь обращается в
программе в рамках общих разграничений к каталогам и файлам в блоке
2.2, то запрос им транслируется в блок 2.4 (в блок 2.5 не поступает).
В блоке 2.4 каждого пользователя (по его имени) содержится матрица его
прав доступа к запускаемым программам (полные пути к каталогам и фай-
лам к которым пользователь может обращаться и команды (например, толь-
ко чтение), которые пользователь может производить над исполняемыми
файлами). Например, здесь задаются разграничения доступа к каталогам,
из которых пользователь может запускать
профаммы
(обращаться «на чте-
ние» к исполняемым файлам). В частности, пользователю может быть за-
дан режим запуска профамм только из системного диска, тогда все зап-
росы, поступающие в блок 2.4 будут им игнорированы. Может быть
запрещена запись программ (исполняемых файлов) в пользовательские
каталоги и т.д. Матрица прав доступа к запуску профамм также задается
администратором безопасности (после его авторизации в блоке 1) со вхо-
да 6 через вход 2.8.
Если запрос пользователя удовлетворяет разграничениям в блоке 2.4, то
его запрос через блок 2.5 в блок 3. Если запрос не удовлетворяет требо-
ваниям разграничений в блоке 2.4, запрос блоком 2.4 не пропускается -
игнорируется системой.
При всех достоинствах данного подхода он не может быть использован
в том случае, если приложение при инсталляции должно размещать ис-
полняемые и конфигурационные файлы (куда необходимо разрешить
запись) в одном каталоге. В этом случае невозможно на данный каталог
241
Часть IV. Управление доступом к ресурсам
установить атрибут «исполнение», не установив атрибута «запись», что
противоречит самой концепции реализации механизма защиты.
14.9.3. Расширение возможностей механизма
обеспечения замкнутости программной среды
Расширение возможностей механизма защиты обеспечения замкнутости
программной среды состоит в том, чтобы и в качестве субъекта доступа, и
в качестве объекта доступа рассматривать «ПРОЦЕСС». В этом случае можно
разграничивать права доступа для процессов на запуск процессов, т.е. мож-
но
обепечивать
замкнутость программной среды не на уровне списков сан-
кционированных процессов (разрешения запуска пользователем отдельных
программ), а уже на уровне последовательностей запуска процессов (техно-
логий обработки
данных).
Другими словами, можно задавать последователь-
ности обработки — каким процессом какой процесс может быть запущен.
14.10. Управление доступом к каталогам,
не разделяемым системой
и приложениями
14.Ю.1.
Наличие в системе каталогов,
не разделяемых между пользователями,
и связанные с этим сложности
При работе ОС семейства Windows (прежде всего, Windows 9x/Me) и
приложений существует ряд каталогов, в общем случае не разделяемых
системой или приложениями между пользователями. К таким каталогам
можно отнести «корзину» (каталог RECYCLED), переменные окружения
(каталоги TEMP, TMP), каталог «Мои документы», различные каталоги
приложений для хранения временной информации и др. При этом для
некоторых приложений, предполагающих автосохранение информации,
нельзя запретить доступ какому-либо пользователю в данные каталоги.
Причем информация в них записывается автоматически приложением.
Таким образом, существуют каталоги, для которых невозможно разгра-
ничить доступ пользователям. При этом либо пользователи, которым
запрещен доступ к рассматриваемым каталогам, не смогут работать с
приложением, либо им не сможет предоставляться необходимый сервис,
например, работа с «Корзиной».
Наличие подобных объектов в системе не позволяет говорить о коррек-
тности решения задачи управления доступа в целом. В результате они
должны быть реализованы добавочными средствами управления.
242
Глава 14. Субъект доступа «Процесс» и его учет при разграничении доступа
Если обозначить группу объектов файловой системы (каталогов), не раз-
деляемых системой между пользователями, как Он, то матрица доступа
D принимает вид, представленный ниже.
о,
0
о
o
В матрице D использовано обозначение «ПД» -- права доступа, на-
значаемые в зависимости от реализуемого канала взаимодействия
субъектов доступа. Как следует из представленной матрицы, коррект-
но реализовать управление доступом (особенно мандатный механизм)
в данном случае невозможно -- все пользователи имеют полный дос-
туп к группе каталогов Он.
~Зп/Чт
пд
Зп/Чт
ПД
. пд
пд
Зп/Чт
Зп/Чт
ПД
ПД
ПД
ПД
Зп/Чт
Зп/Чт
Зп/Чт
ПД
ПД
'
ПД
Зп/Чт
ПД
Зп/Чт
14.Ю.2.
Технология переадресации запросов
Возможный подход к решению рассматриваемой проблемы заключается
в технологии переадресации запросов доступа к объектам файловой сис-
темы (каталогам), не разделяемым системой между пользователями. При
этом предлагается следующее решение. Для каждого пользователя сред-
ствами диспетчера доступа для неразделяемого объекта реализуется со-
ответствующий собственный объект. Например, для каталога «Корзина»
заводятся каталоги «Корзина 1» для первого пользователя, «Корзина 2»
для второго пользователя и т.д.
При записи информации системой или приложением в неразделяемый
каталог (соответственно, чтении из каталога) диспетчер доступа перенап-
равляет информацию в (из) соответствующий каталог текущего пользо-
вателя. Например, если текущим пользователем является первый пользо-
ватель, то при сохранении информации в каталог «Корзина» данная
информация будет перенаправлена диспетчером доступа и сохранена в
каталоге «Корзина 1».
При этом механизм перенаправления запросов к неразделяемым систе-
мой объектам должен обрабатывать запрос перед механизмом управле-
ния доступом. Средствами механизма управления доступом
к
файловой
системе разграничиваются права доступа к каталогам, в которые пере-
направляется информация. Например, доступ к каталогу «Корзина 1» сле-
дует разрешить только первому пользователю, а остальным — запретить.
243
Часть IV. Управление доступом к ресурсам
Таким образом данный механизм позволяет обеспечить отсутствие общих
ресурсов файловой системы для пользователей.
В результате непосредственно в исходных неразделяемых системой ка-
талогах ТМР, TEMP, «Корзина», «Мои документы» и т.д., запрос досту-
па к которым
переадресуется,
информация сохраняться не будет, т.е.
данные каталоги становятся в системе виртуальными и к ним нет необ-
ходимости разграничивать доступ.
Матрица доступа D при реализации данной технологии переадресации
запросов, примет следующий вид.
с,
Oi
0
2
о„
0
1Л
o,
lk
о„
o
k
'Зп/Чт
ПД
-
Зп/Чт
0
0
ПД
. ПД
пд
Зп/Чт
-
0
Зп/Чт
0
ПД
пд
пд
пд
о
о
пд
пд
о
о
О
Зп/Чт
Зп/Чт
ПД
ПД Зп/Чт
В данной матрице введены дополнительные объекты доступа: множество
объектов
(Он1,...,
Onk}
— это объекты (группы объектов), созданные для
субъектов
Cl,...,
Ck для переадресации в них запросов, осуществляемых
пользователями к неразделяемому системой объекту (группе объектов).
Знак
«—»
обозначает, что это виртуальный объект, в котором не произ-
водится сохранение данных и к которому не может быть доступа субъекта.
Как видим из данной матрицы (реализована каноническая модель), тех-
нология перенаправления запросов к неразделяемым системой объектам
позволяет выполнять требования к корректности управления доступом.
14.Ю.З.
Практическая реализация
На рис. 14.4 приведена схема обработки запроса доступа к неразделяе-
мому системой объекту, реализованная автором в КСЗИ «Панцирь» [31].
Работает система следующим образом. Для каждого каталога, создавае-
мого ОС или приложениями, доступ к которому не может быть разгра-
244
Глава 14. Субъект доступа «Процесс» и
его
учет при разграничении доступа
Информация о пользователе (имя)
т
Рис. 14.4. Схема обработки запроса
доступа
к неразделяемому
системой
объекту
ничей
для пользователей, например,
С:
\RECYCLED, создаются соответству-
ющие каталоги, к которым осуществляется переадресация запроса дос-
тупа, например, каталог
C:\user
1 для первого пользователя,
C:\user
2 для второго пользователя и т.д. В результате каталог доступ к которо-
му не может быть разграничен для пользователей становится виртуаль-
ным (физически в него не может быть записан и, соответственно, из него
не может быть считан ни один файл).
В блоке 5 прописываются разграничения доступа для данных каталогов.
В частности к каталогу
C:\user
1 разрешается доступ только первому
пользователю (остальным запрещается), к каталогу
C:\user
2 разреша-
ется доступ только второму пользователю (остальным запрещается) и т.д.
При обращении приложением (например, программой Word) к файло-
вым объектам, приложение выдает на вход 7 запрос доступа, в котором
указывается, к какому файловому объекту запрашивается доступ и какую
операцию необходимо выполнить над файловым объектом.
При входе пользователя в систему (со входа 6) блоком 1 осуществляется
его авторизация (проверяется имя и пароль). Имя текущего пользовате-
ля блоком 1 передается в блок 5, который содержит данные о разграни-
чительной политике доступа каждого пользователя к файловым объек-
там (логическим дискам, каталогам, файлам) -- к каким файловым
объектам доступ разрешен пользователю и какие права доступа к файло-
вому объекту ему разрешены. Кроме того, имя текущего пользователя пе-
редается в блок 3, который формирует переадресацию запроса доступа
для текущего пользователя.
Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к
которому не производится переадресации, то блок 2 транслирует исход-
ный запрос через блок 4 в блок 5. В противном случае — передает зап-
рос в блок 3. В блоке 3 для каждого каталога, доступ к которому переад-
ресуется, содержится список переадресуемых каталогов — для каждого
245
Часть IV. Управление доступом к ресурсам
пользователя задан переадресуемый каталог, например, для каталога
C:\RECYCLED задан следующий список: каталог C:\user 1 для первого
пользователя, C:\user 2 для второго пользователя, и т.д.
Блоком 3 в исходный запрос вместо имени запрашиваемого каталога
подставляется имя переадресуемого каталога для текущего пользователя
(имя текущего пользователя поступает в блок 3 из блока 1) и сформиро-
ванный таким образом запрос через блок 4 поступает в блок 5, который
сравнивает параметры запроса с правами доступа текущего пользовате-
ля. Если запрашиваемый приложением доступ текущему пользователю
разрешен,
запрос выдается на выход 8, в противном случае, на выход 9
блоком 5 формируется отказ приложению в запрашиваемом доступе.
Рассмотренный механизм может использоваться и для разделения объек-
тов средствами защиты информации с целью решения различных функ-
циональных задач защиты. Например, может быть осуществлено пере-
направление к файлу
Normal.dot
каталога «Шаблоны» для пользователей.
В этом файле располагаются макросы Microsoft Office.
Перенаправление
позволит задавать для каждого пользователя свой набор макросов.
В совокупности с механизмом контроля целостности данных перенаправ-
ленных файлов (этот механизм будет рассмотрен ниже) можно, с одной
стороны, противодействовать атакам большой группы вирусов, а с другой
стороны — фиксировать эталонный набор макросов не для защищаемого
компьютера в целом, а для каждого пользователя в отдельности.
глава
15
Диспетчер доступа
15.1.
Состав диспетчера доступа.
Требования к полноте разграничительной
политики доступа к ресурсам
15.1.1. Общие положения и принятые обозначения
Как отмечали ранее, диспетчер доступа содержит в своем составе набор
механизмов управления доступом к ресурсам защищаемого объекта. Воз-
никает проблема построения детальной модели диспетчера доступа в
предположении, что корректно реализованы механизмы управления до-
ступом, входящие в состав диспетчера.
Очевидно, что полнота модели диспетчера доступа определяется тем, для
всех ли субъектов и объектов доступа реализованы разграничения. То есть,
присутствуют ли в системе явные каналы несанкционированного взаи-
модействия субъектов доступа или нет.
Состав диспетчера доступа может быть определен на основании класси-
фикации возможных субъектов и объектов доступа, представленной ранее.
Сформулируем требование к полноте разграничительной политики дос-
тупа к ресурсам, реализуемой диспетчером доступа. Реализация данного
требования, как отмечалось ранее, необходима, в первую очередь, для
корректности мандатного управления доступом к ресурсам и обеспече-
ния замкнутости программной среды на защищаемом объекте, т.е. важ-
нейших механизмов защиты.
Введем следующие обозначения:
1. Множества субъектов доступа.
» Пользователи. Обозначим через Р множество возможных пользовате-
лей в системе. Выделим три класса пользователей — возможных эле-
ментов множества Р:
Ра
администратор;
Рп пользователь, решающий прикладные задачи, соответ-
ственно, Рпп — n-й пользователь;
Рс пользователь «система» — виртуальный пользователь ОС.
247
Часть IV. Управление доступом к ресурсам
» Процессы. Обозначим через Q множество возможных процессов в
системе. Выделим четыре класса процессов — возможных элементов
множества Q:
Qc системные (привилегированные) процессы;
Qn
прикладные процессы;
QCK скрытые или неидентифицируемые (процессы виртуаль-
ных машин).
2. Множество объектов доступа.
* Файловые объекты данных. Обозначим через F множество возможных
файловых объектов данных в системе. Выделим три класса объек-
тов — возможных элементов множества F:
Fc системные каталоги и файлы, каталоги и файлы настро-
ек ОС;
Fn
пользовательские каталоги и файлы данных, включая
сетевые (в сети Microsoft — разделяемые сетевые ресур-
сы по протоколу Net Bios);
Fo неразделяемые системой и приложениями для пользо-
вателей каталоги и файлы (TEMP и т.д. для ОС семей-
ства Windows).
* Файловые объекты программ (исполняемые файлы). Обозначим через S
множество возможных файловых объектов программ. Выделим два
класса объектов — возможных элементов множества S:
Sc системные исполняемые файлы привилегированных про-
цессов — системных процессов ОС и процессов защиты;
Sn
пользовательские
исполняемые файлы (исполняемые
файлы пользовательских приложений).
* Установленные в ОС (санкционированные) устройства. Обозначим:
U устройства (дисковод, CD-ROM, принтер и т.д.), как
локальные, так и сетевые (разделяемые в сети);
Nu
отчуждаемые физические носители информации для уст-
ройств ввода/вывода (дисковод,
CD-ROM
и т.д.);
Nuf
файловые объекты (каталоги и файлы) на отчуждаемых
физических носителях информации для устройств вво-
да/вывода (дисковод, CD-ROM и т.д.).
« Неустановленные в системе (несанкционированные) устройства ввода/
вывода (коммуникационные порты). Обозначим:
Е коммуникационные порты компьютера, к которым мо-
гут быть подключены устройства.
»
Каналы связи (виртуальные) ЛВС. Обозначим:
К множество возможных виртуальных каналов ЛВС (оп-
ределяются адресами в сети);
248
Глава 15. Диспетчер доступа
Кст
множество возможных сетевых технологий (определяет-
ся номерами портов и приложений), обеспечивающих
взаимодействие в ЛВС.
3. Множество действий (устанавливаемые разграничения)
субъектами доступа над объектами.
Множество действий (устанавливаемые разграничения) субъектами дос-
тупа над объектами обозначим через R. При этом выделим следующие
категории доступа:
Кз
категория доступа «запись» (установка категории досту-
па «запись» означает разрешение полного доступа —
запись и чтение, т.к. не имеет смысла разрешать запись,
не разрешая чтение);
Кч
категория доступа «чтение»;
Кд
категория доступа «добавление» (установка категории
доступа «добавление» означает разрешение записи с
предотвращением возможности затирания и модифика-
ции информации, располагаемой в объекте доступа, и
запрет чтения);
Ки
категория доступа «исполнение»
(«запуск»).
R
=
Кз
и
Кч*и
Кд
и
RH;
Кз
п
Кч
=
Кч.
Введем также категорию R — любой доступ запрещен. При этом уста-
новление категории R подразумевает, что в рамках реализации механиз-
ма управления доступом могут применяться комбинации соответствую-
щих категорий:
Кз,
Кч,
Кд,
Ки.
4. Модель диспетчера доступа.
Обозначим:
»
Wn
— модель доступа n-го пользователя к объектам (индекс п будем
использовать для выделения тех субъектов и тех объектов, на которые
устанавливаются разграничения для n-го пользователя, если индекс
не установлен
--
разграничения не устанавливаются);
» для указания действия при доступе к объекту будем использовать
запись —
[действие][объект],
например, RF - - обозначает полный
доступ ко всем классам объектов F,
КчРп
-- обозначает доступ по
чтению к разрешенным для чтения пользователю п объектам F,
RnFn
— обозначает разграничение по действию над объектами Fn для
пользователя п;
» если существуют разграничения А и В, то для указания в модели
необходимости задания обоих ограничений одновременно будем ис-
пользовать знак
«*»
(А*В); для указания того, что может использовать-
ся любое из ограничений (А или В), используем знак
«+»
(А+В).
249
Часть IV. Управление доступом к ресурсам
Диспетчер доступа системы защиты в любой момент времени его функцио-
нирования предполагает реализацию двух видов разграничения прав доступа:
» прикладное разграничение доступа (разграничение доступа собствен-
но для пользователей и прикладных процессов), обозначим модель
доступа через
Wpn
для n-го пользователя;
* системное разграничение доступа (разграничение доступа для сис-
темных процессов и процессов системы защиты — привилегирован-
ных процессов), соответственно, обозначим модель доступа для него
через
We.
15.1.2. Формулировка и доказательство
требований к полноте разграничительной
политики диспетчера доступа
С учетом сказанного (привилегированные процессы всегда присутству-
ют в системе), т.е. для модели
Wn
имеем:
Wn = Wpn •
We.
Утверждение. Модель диспетчера доступа функционально полна (коррект-
на) в том случае, когда для нее выполняются следующие условия:
1. Для двух любых пользователей системы
nl
и п2, решающих при-
кладные задачи, доступ ко всем объектам может быть полностью
разграничен. При этом модели доступа имеют следующий вид:
Wnl =
Wpnl
•
We,
Wn2 = Wpn2 •
We,
причем выполняется условие: Wpnl
n
Wpn2 = 0, соответственно:
Wnl n Wn2 =
We.
2. Для всех субъектов и объектов доступа реализованы разграничения,
т.е. в системе отсутствуют каналы (включая скрытые) несанкциони-
рованного взаимодействия субъектов доступа, что формально мо-
жет быть представлено в следующем виде:
Р = Ра
и
Рп
и
PC; Pa n Рп n Рс = 0
Q = Qc
и
Qn
и
QCK;
Qc n
Qn
n
QCK
= 0
F = FH
и
Fn
и
Fo; FH n
Fn
n Fo = 0
S = Sc
и
Sn;
Sc n
Sn
= 0
Up =
U
(Nup = Nu, Nufp =
Nuf)
Ep = E
Kp = К (Кстр =
Кет),
где индекс
«р»
у объекта означает, что к нему разграничен доступ.
250