Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Глава

11.

Требования, подходы и задачи управления доступом

Идентифицирующую информацию субъектов и объектов доступа приня-

то называть учетной информацией. Правила, на основании которых дис-

петчер доступа принимает решение о предоставлении (либо отказе)

субъекту доступа к объекту, называют правилами (или политикой) раз-

граничения доступа.

Обобщенная схема управления доступом представлена на рис. 11.10.

Учетная информация

субъектов и объектов

доступа

Правила

(политика)

разграничения доступа

Рис. 11.10. Обобщенная схема управления доступом

11.4.2. Требования, предъявляемые

к диспетчеру доступа

Следуя формализованным требованиям к механизмам управления дос-

тупом к ресурсам, могут быть сформулированы требования к диспетчеру

доступа, которые состоят в следующем:

» диспетчер доступа должен обеспечивать корректность и однозначность

реализации разграничительной политики доступа к ресурсам. Для каж-

дой пары

«субъект»—«объект»

в диспетчере доступа должно быть задано

явное и недвусмысленное перечисление допустимых типов доступа (чи-

тать, писать и т. д.), т.е. тех типов доступа, которые являются санкцио-

нированными для данного субъекта к данному ресурсу (объекту);

« диспетчер доступа должен выполнять требования к полноте реализа-

ции разграничительной политики доступа, то есть управление досту-

пом должно быть применимо к каждому объекту и каждому субъекту;

* диспетчер доступа должен обнаруживать как явные, так и скрытые

действия субъекта при доступе к объекту, т.е. противодействовать как

явным, так и скрытым угрозам НСД к ресурсам. Под «явными» под-

разумеваются действия, осуществляемые с использованием санкцио-

нированных системных средств, а под «скрытыми» — иные действия,

в том числе с использованием собственных программ субъекта;

Зак.

369

161

Часть IV. Управление

доступом

к ресурсам

* диспетчер доступа должен обеспечивать реализацию централизован-

ной схемы

администрирования

(задания и изменения разграничи-

тельной политики доступа к ресурсам). Кроме того, он должен пре-

дусматривать возможность санкционированного изменения учетной

информации субъектов и объектов доступа, а также и правил разгра-

ничения доступа. В том числе, должна быть предусмотрена возмож-

ность санкционированного изменения списка субъектов доступа- и

списка защищаемых объектов. Право изменять учетную информацию

субъектов и объектов доступа и правил разграничения доступа долж-

но предоставляться только выделенным субъектам (администрации,

службе безопасности и т.д.);

« диспетчер доступа должен содержать в своем составе средства управ-

ления, ограничивающие распространение прав на доступ.

При практической реализации схемы управления доступом важнейшими воп-

росами, решению которых должно быть уделено особое внимание, являются:

1. Обоснование корректности реализуемого диспетчером доступа ме-

ханизма управления доступом и полноты механизмов, реализуемых

диспетчером доступа. Без возможности обоснования корректности

механизма управления доступом к ресурсам невозможно говорить

об эффективности системы защиты.

2. Разработка подходов к противодействию «скрытым» каналам не-

санкционированного доступа к ресурсам (в обход диспетчера досту-

па, при условии корректной реализации им механизма управления

доступом к ресурсам). Особенно эта задача актуальна при реализа-

ции добавочного средства защиты, используемого для ОС и прило-

жений, в которых могут присутствовать ошибки в реализации, а

также системные условия, требующие

решения

дополнительных

задач для корректного разграничения доступа к ресурсам.

162

глава 12

Модели

управления доступом

В данном разделе введем и теоретически обоснуем основополагающие

принципы решения задачи управления доступом к ресурсам, в предпо-

ложении, что пользователь не является «владельцем» информации. Со-

ответственно, должно выполняться требование к корректности реализа-

ции разграничительной политики доступа к ресурсу.

В данных предположениях получим и исследуем модели дискреционно-

го и мандатного управления доступом к ресурсам. Рассмотрим, в чем со-

стоит их принципиальное различие, сформулируем требования к соот-

ветствующим механизмам защиты и подходы к их реализации. Рассмотрим

возможности реализации разрабатываемых моделей встроенными в ОС

механизмами защиты.

Сразу отметим, что общим для всех моделей являет то, что администра-

тор безопасности является «владельцем» любого объекта файловой сис-

темы. То есть только он обладает правом назначить (изменить) атрибу-

ты доступа. Поэтому механизмы изменения прав доступа в моделях не

рассматриваются.

12.1.

Каноническая модель управления

доступом. Условие корректности

механизма управления доступом

Введем следующие обозначения. Пусть множества С =

{С1,...,Ск}

{01,...,Ok}

— соответственно линейно упорядоченные множества субъек-

тов и объектов доступа. В качестве субъекта доступа Ci, i = l,...,k рассмат-

ривается как отдельный субъект, так и группа субъектов, обладающих оди-

наковыми правами доступа. Соответственно, в качестве объекта доступа

01,

= l,...,k может также рассматриваться как отдельный объект, так и группа

объектов, характеризуемых одинаковыми правами доступа к ним.

163

Часть IV. Управление доступом к ресурсам

Пусть S =

{О,

— множество прав доступа, где «О» обозначает запреще-

ние доступа субъекта к объекту, а «1» -- разрешение полного доступа.

Тогда каноническую модель управления доступом можно представить мат-

рицей доступа D, имеющей следующий вид:

О,

о,

о.

k-\

с,

0 .

1 .

0 .

k-\

. 0

. 1

. 0

Под канонической моделью управления доступом для линейно упорядочен-

ных множеств субъектов (групп субъектов) и объектов (групп объектов) до-

ступа понимается модель, описываемая матрицей доступа, элементы глав-

ной диагонали которой «1» разрешают полный доступ субъектов к объектам,

остальные элементы «О» запрещают доступ субъектов к объектам.

Говоря о доступе, нами в этот атрибут не включается право назначения

(изменения) «владельца» и право назначения (изменения) атрибутов до-

ступа к объекту. Как отмечали ранее, данные права выведены из схемы

рассмотрения, поскольку они принадлежат администратору безопаснос-

ти, который является «владельцем» любого объекта файловой системы.

Данная модель управления доступом формально может быть описана сле-

дующим образом:

» Dij = 1, если i = j,

иначе Dij = 0.

Диспетчер доступа реализует механизм управления доступом корректно толь-

ко в том случае, если его настройками (заданием учетных записей субъектов

и объектов доступа и правил разграничения доступа) можно реализовать

каноническую модель управления доступом.

Доказывается утверждение от обратного. Если каноническую модель управ-

ления доступом реализовать невозможно (т.е. присутствуют элементы «1» вне

главной диагонали матрицы доступа), то в системе присутствует, по крайней

мере, один объект, доступ к которому невозможно разграничить в полном

объеме. При этом объект включается одновременно в несколько групп объек-

тов, априори характеризуемых различными правами доступа к ним.

Следствие

Любой механизм управления доступом должен позволять настройками диспетче-

ра доступа сводить реализуемую им модель доступа к каноническому виду.

164

Глава 12. Модели управления доступом

Объекты доступа могут по своей сути существенно различаться: файловые

объекты, ветви и ключи реестра ОС (для ОС Windows), принтеры, разде-

ляемые сетевые ресурсы, устройства, ресурсы внешней сети (хосты) и т.д.

К ним могут различаться типы доступа (например, файловые объекты и

принтеры). Кроме того, на практике может быть ограничение на число

ресурсов (например, принтеров в системе, к которым разграничивается

доступ, может быть существенно меньше, чем субъектов доступа к ним).

Однако все это не противоречит общности сформулированного утверж-

дения, требования которого должны выполняться механизмом управле-

ния доступом при соответствующих настройках системы и диспетчера

доступа к объекту любого вида. Например, диспетчер доступа к принте-

рам должен при включении в систему принтеров по числу субъектов

доступа (в частности, пользователей) обеспечивать реализацию канони-

ческой модели управления доступом,

где

элементами матрицы доступа

D будут «1» — доступ субъекту к принтеру разрешен, «О» — доступ субъек-

ту к принтеру запрещен.

Следствие

К каждому защищаемому ресурсу системы, требующему разграничения дос-

тупа, должен быть реализован диспетчер доступа, позволяющий соответству-

ющими настройками сводить реализуемую им модель доступа к каноническо-

му виду. Таким образом, механизм управления доступом к ресурсу реализован

корректно только в том случае, если настройками диспетчера доступа реали-

зуемая им модель доступа может быть приведена к каноническому виду.

12.2. Понятие и классификация каналов

взаимодействия субъектов доступа

Рассмотренная выше каноническая модель управления доступом харак-

теризуется полным разграничением доступа субъектов к объектам, при

котором субъекты не имеют каналов взаимодействия

—•

каналов обмена

информацией. Однако такая возможность должна предусматриваться. Если

в системе может находиться несколько субъектов (например, пользова-

телей), то появляется задача предоставления субъектам возможности об-

мена информацией.

Введем несколько определений:

» Под каналом взаимодействия субъектов доступа понимается реализуе-

мая диспетчером доступа возможность обмена субъектами доступа

информацией в рамках канонической модели управления доступом.

Под симплексным каналом взаимодействия субъектов доступа понимается

канал, обеспечивающий возможность одностороннего обмена субъекта-

ми доступа информацией. Будем

его

обозначать Ci

—»

Cj (информация

может передаваться в одну сторону — от субъекта Ci к субъекту Cj).

165

Часть IV. Управление доступом к ресурсам

» Под дуплексным каналом взаимодействия субъектов доступа понимает-

ся канал, обеспечивающий возможность двухстороннего обмена

субъектами доступа информацией. Будем его обозначать Ci

<->

Cj.

Дуплексный канал взаимодействия субъектов доступа представляет

собою два встречно-направленных симплексных канала.

» Под активным симплексным каналом взаимодействия субъектов доступа

Ci a Cj понимается канал взаимодействия, в котором активным явля-

ется отправитель информации (отправитель, в данном случае субъект

Ci выдает информацию получателю).

Активный симплексный канал взаимодействия субъектов доступа мо-

жет быть реализован с использованием операций «запись», «модифи-

кация» или «добавление». Операция «модификация» отличается от

операции «запись» тем, что не позволяет читать объект перед занесе-

нием в него информации.

Операция «добавление» отличается от операций «запись» и «модифи-

кация» тем, что ее выполнение не позволяет ни читать, ни модифи-

цировать информацию, располагаемую в объекте, в который добавля-

ется информация по каналу взаимодействия - - данная операция

позволяет лишь добавить информацию, предотвращая возможность

изменить существующую в объекте информацию.

* Под пассивным симплексным каналом взаимодействия субъектов досту-

па Ci a Cj понимается канал взаимодействия, в котором активным

является получатель информации (получатель, в данном случае субъект

Cj) забирает информацию у отправителя. Пассивный симплексный

канал взаимодействия субъектов доступа реализуется с использовани-

ем операции «чтение».

Отметим, что в задачу управления доступом в общем случае входит не

только защита данных субъектов (в данном случае пользователей) от

несанкционированного их прочтения другими субъектами, но и защита

данных субъектов от возможности их искажения другими субъектами.

Этим, кстати говоря, защита данных средствами защиты от

НСД

прин-

ципиально отличается от защиты данных (управления доступом) с исполь-

зованием средств криптографической защиты.

Для иллюстрации сказанного, рассмотрим каноническую матрицу доступа D,

реализуемую с использованием средств криптографической защиты.

D =

0*-,

Зп/Чт Зп ... Зп Зп

Зп Зп/Чт ... Зп Зп

Зп Зп ... Зп/Чт Зп

Зп Зп ... Зп Зп/Чт

166

Глава 12. Модели управления доступом

где элемент

«Зп»

обозначает разрешение доступа с использованием опе-

рации «запись» (прочитать информацию пользователь может, но не име-

ет возможности ее преобразовать к читаемому виду, т.к. информация

зашифрована, поэтому обозначаем подобное право доступа, как «Зп»),

«Зп/Чт»

— соответственно, операции «запись» и «чтение».

С учетом введенных выше понятий и определений данную матрицу доступа

можно охарактеризовать, как каноническую матрицу доступа, расширенную

дуплексными каналами взаимодействия между собою всех субъектов. При этом

дуплексные каналы реализованы на основе активных симплексных каналов

взаимодействия субъектов доступа с использованием операции «запись». Дру-

гими словами, это частный случай управления доступом, не обеспечивающий

защиту данных от их несанкционированной модификации (удаления).

12.3. Модель управления доступом

с взаимодействием субъектов доступа

посредством выделенного канала

Особенностью данной модели является включение в систему дополни-

тельного объекта доступа (группы объектов), используемого субъекта-

ми доступа в качестве выделенного канала взаимодействия. Отметим,

что в качестве канала взаимодействия здесь должны использоваться дуп-

лексные каналы. Причем в обе стороны взаимодействия должны быть

реализованы как активный, так и пассивный симплексные каналы.

Ниже представлена каноническая матрица доступа D с выделенным ка-

налом взаимодействия субъектов доступа. При этом полный доступ оче-

видно задается операциями «запись» и «чтение». Для организации выде-

ленного канала взаимодействия в систему включен объект доступа

Ок+1.

0*ч

~Зп/Чт

Зп/Чт

Q-i

...

... Зп/Чт

Зп/Чт

Недостатком данной модели, ограничивающим возможность ее практичес-

кого использования, является доступность находящейся в канале инфор-

мации одновременно всем субъектам доступа. Данный недостаток может

преодолеваться созданием группы каналов взаимодействия (включением

группы дополнительных объектов доступа, в пределе, свой объект доступа

для каждого канала взаимодействия субъектов доступа) с соответствующим

разграничением к ним доступа субъектов. Однако это приводит к неэф-

фективному использованию ресурсов защищаемого объекта.

167

Часть IV. Управление доступом к ресурсам

12.4. Модели управления доступом с

взаимодействием субъектов доступа

посредством виртуальных каналов

Под виртуальным каналом взаимодействия субъектов доступа будем пони-

мать канал взаимодействия, реализованный с использованием только

существующих объектов доступа без включения в систему дополнитель-

ных объектов.

Естественно, что в соответствии с классификацией (см. п. 12.2) вирту-

альные каналы для рассматриваемых моделей должны быть дуплексны-

ми. При этом они должны строиться на основе реализации либо пассив-

ных симплексных каналов, либо активных симплексных каналов,

реализованных с использованием операции «добавления». Использование

операции «запись» здесь недопустимо ввиду необходимости защиты ин-

формации субъектов от возможности ее модификации.

Модель управления доступом с дуплексными виртуальными каналами

взаимодействия на основе пассивных симплексных каналов

Рассмотрим матрицу доступа D для модели управления доступом с дуп-

лексными виртуальными каналами взаимодействия на основе пассивных

симплексных каналов.

О,

'k-\

С,

Зп/Чт

Чт

Зп/Чт

Чт

Зп/Чт Чт

Чт Зп/Чт

Модель управления доступом формально может быть описана следующим

образом:

Dij = Зп/Чт, если i = j,

* иначе Dij = Чт.

К недостаткам данной модели можно отнести то, что она предотвращает

лишь возможность несанкционированной модификации информации

объектов, при этом не разграничивая субъектам доступ к объектам «по

чтению». Очевидно, что в таком виде виртуальный канал взаимодействия

субъектов не применим. Он может использоваться лишь при введении

дополнительных разграничений или условий для канала взаимодействия

субъектов доступа.

168

Глава 12. Модели управления доступом

Модель управления доступом с дуплексными виртуальными

каналами взаимодействия на основе активных симплексных каналов

При организации канала взаимодействия субъектов доступа целесообразно

рассматривать множество прав доступа

(Чт,

Д},

используемое для реали-

зации канала взаимодействия субъектов доступа. Здесь элемент «Д» обо-

значает добавление, то есть возможность пользователя добавить инфор-

мацию в объект без возможности чтения объекта и без возможности

модификации существующей в объекте информации. Право доступа

«Зп/Чт» обозначает право пользователя на чтение и запись информации.

Рассмотрим матрицу доступа D для модели управления доступом с дуп-

лексными виртуальными каналами взаимодействия на основе активных

симплексных каналов.

ее

с г

1 2 ••• k-\ k

Зп/Чт Д Д Д

Д Зп/Чт Д Д

Д Д ... Зп/Чт Д

Д Д Д Зп/Чт

Модель управления доступом формально может быть описана следующим

образом:

» Dij = Зп/Чт, если i = j,

иначе Dij = Д.

Данная модель практически лишена недостатков, присущих ранее рас-

смотренным моделям. Здесь в полном объеме реализуется каноническая

модель управления доступом. При этом обеспечивается возможность пол-

ноценного корректного взаимодействия субъектов доступа: каждый

субъект доступа может взаимодействовать со всеми другими субъектами

доступа системы без снижения уровня защищенности от НСД.

Будем считать данную модель, наиболее приемлемой для использования

в рассматриваемых приложениях. Именно эту модель будем считать ка-

нонической моделью управления доступом с взаимодействием субъектов.

Далее дадим ее определение.

Определение.

Под

канонической моделью управления доступом с взаимодействием

субъектов (групп субъектов) и объектов (групп объектов) доступа пони-

мается модель, описываемая матрицей доступа, элементы главной диагонали

которой «Зп/Чт» задают полный доступ субъектов к объектам, остальные эле-

менты «Д» задают активные симплексные каналы взаимодействия с использо-

ванием операции «добавление».

Часть IV. Управление доступом к ресурсам

12.5. Различия и общность

альтернативных моделей

Выше были рассмотрены различные модели управления доступом. С

учетом сказанного, можем сделать следующие выводы относительно раз-

личия и общности альтернативных моделей:

1. Модели управления доступом различаются реализуемым в них кана-

лом (каналами) взаимодействия субъектов доступа. При этом канал вза-

имодействия может быть выделенным, либо виртуальным; пассивным,

либо активным; симплексным, либо дуплексным.

2. Общим для рассматриваемых моделей управления доступом является

то, что для корректной реализации канала взаимодействия субъектов

доступа следует рассматривать не право доступа

«Зп»

— «запись», а пра-

во доступа

«Д»

-- «добавление». Право

«Д»

предоставляет возможность

пользователю добавить информацию в объект без возможности чтения

объекта и без возможности модификации существующей в объекте ин-

формации при добавлении новой информации.

12.6. Методы управления

виртуальными каналами взаимодействия

и соответсвующие канонические модели

управления доступом

Методы произвольного и принудительного управления

виртуальными каналами взаимодействия субъектов доступа

Выше рассматривались способы организации виртуального канала взаи-

модействия субъектов доступа. Рассмотрим методы управления ими.

Методы управления виртуальными каналами взаимодействия субъектов

доступа могут быть классифицированы, как методы произвольного и при-

нудительного управления. Соответственно метод, комбинирующий дан-

ные подходы -- метод произвольно-принудительного управления.

Под методом произвольного управления виртуальными каналами взаимодей-

ствия субъектов доступа понимается управление по усмотрению субъекта

(владельца информации). При этом решение о предоставлении другому

субъекту информации из объекта по виртуальному каналу принимается не-

посредственно субъектом, имеющим полный доступ к этой информации.

Под методом принудительного управления виртуальными каналами взаи-

модействия субъектов доступа понимается управление, реализуемое не по

усмотрению субъекта, а на основании некоторой параметрической шка-

лы оценки субъектов и объектов доступа.

170