Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 14. Субъект доступа «Процесс» и
его
учет при разграничении доступа
Включение в субъекты доступа субъекта «ПРОЦЕСС», позволяет принци-
пиально иным образом решать данную задачу при построении СУБД, т.к. в
этом случае настройками диспетчера доступа можно организовать доступ к
файлам, содержащим таблицы, только приложением, имеющим встроенные
средства разграничения доступа к таблицам. Иным же приложениям (в ча-
стности проводникам, работающим с файлами) доступ к файлам, содержа-
щим таблицы, должен быть запрещен. Таким образом, применение рассмат-
риваемой возможности управления доступом позволяет кардинально
изменить подход к интеграции механизмов защиты ОС и приложений.
Аналогичным образом может быть локализован доступ к ресурсам и дру-
гим стандартным приложениям со встроенными механизмами защиты
информации. При этом рассматриваемая возможность управления дос-
тупом может в значительной мере упростить подходы к реализации при-
ложений со встроенными механизмами защиты, в смысле их интеграции
со средствами защиты, реализуемыми на уровне ОС.
14.7. Управление доступом, посредством
назначения меток безопасности субъектам
доступа «ПРОЦЕСС». Мандатный механизм
управления доступом процессов к
ресурсам защищаемого объекта
14.7.1.
Метки безопасности процессов
Ранее рассматривалось назначение меток безопасности субъекту доступа
«ПОЛЬЗОВАТЕЛЬ». В этом случае основой для назначения метки безо-
пасности служили уровень конфиденциальности информации и уровень
доступа пользователя.
Теперь необходимо определиться исходя из чего следует назначать мет-
ки процессам (приложениям). В качестве критерия в этом случае может
рассматриваться уровень защиты обрабатываемой информации, обеспе-
чиваемой самим приложением (его внутренними механизмами). При этом
могут быть сопоставлены метка безопасности объекта (категории инфор-
мации) и метка безопасности приложения (процесса). Делается это в
соответствии с требованиями к механизмам защиты по обработке инфор-
мации соответствующей категории.
Итак, под меткой безопасности процесса (приложения) будем понимать
классификационную метку, назначаемую в соответствии с уровнем защищен-
ности, обеспечиваемым механизмами защиты приложения.
221
Часть IV. Управление доступом к ресурсам
При этом условиями корректной настройки механизма мандатного
упг
равления доступом процессов являются следующие положения:
1. Метка безопасности, назначаемая процессу (сетевой службе), опре-
деляется меткой безопасности информации, обрабатываемой этой
службой (должна совпадать с ней).
2. Метка безопасности, устанавливаемая на исполняемый файл про-
цесса для задания полномочий на его запуск, должна совпадать с
меткой безопасности, назначаемой пользователю.
14.7.2. Управление доступом
с использованием меток процессов
Возможности управления доступом на основе меток безопасности, на-
значаемых приложениям (процессам), рассмотрим на примере мандатного
управления доступом к виртуальным каналам внешней сети. Под вирту-
альным каналом будем понимать сетевую
службу,
определяющую инфор-
мационную технологию обработки данных во внешней сети. Примером
такой службы могут служить служба открытой почты, служба конфиден-
циальной почты и т.д.
С учетом сказанного ранее, метка безопасности присваивается сетевой службе
(процессу). При этом мандатные разграничения для процесса действуют вне
мандатных разграничений для пользователя. В соответствии со своей мет-
кой безопасности помеченный процесс может обращаться к объектам дос-
тупа. При этом механизмом разграничения доступа к сети заносятся допол-
нительные дискреционные разграничения для помеченной службы. В
частности с какими компьютерами разрешено взаимодействие и т.д.
Рассмотрим пример организации простого взаимодействия по внешней
сети. Пусть система содержит два почтовых приложения для передачи
почтовых сообщений, соответственно, в открытом и в защищенном виде
(например, почтовые сообщения шифруются при передаче). Назначим
почтовым приложениям (процессам) следующие метки безопасности:
» метку
Мп-1
процессу конфиденциальной почтовой службы;
• метку
Мп
процессу открытой почтовой службы.
Данные настройки реализуют следующую возможность взаимодействия
в рамках помеченной сетевой службы (почтового взаимодействия). В
рамках конфиденциальной почтовой службы любым пользователем (от-
метим, что метки безопасности пользователям не назначались) по защи-
щенному почтовому каналу могут передаваться объекты, которым сопо-
ставлены метки Мп-1 и Мп. То есть только эти объекты служба сможет
читать из файловой системы. Любое получаемое по защищенной почте
сообщение любой пользователь сможет записать только в объект (напри-
мер, каталог), которому сопоставлена метка Мп-1. Таким образом
исклю-
222
Глава
14.
Субъект доступа «Процесс» и его учет при разграничении доступа
чается возможность записи полученных конфиденциальных данных в
объект с большей меткой (с меньшим уровнем конфиденциальности).
Что касается открытого почтового канала, то по нему любой пользователь
может передавать только объекты, которым сопоставлена метка Мп (только
эти объекты служба сможет читать из файловой системы). Любое получа-
емое по открытой почте сообщение любой пользователь сможет записать
только в объект (например, каталог), которому сопоставлена метка Мп.
Таким образом, при вводе (выводе) объекта с «помеченного» виртуаль-
ного канала, использующего помеченную сетевую службу, диспетчер до-
ступа обеспечивает соответствие между меткой вводимого (выводимого)
объекта и меткой виртуального канала (сетевой службы).
В общем случае модель мандатного управления доступом может быть рас-
ширена (по аналогии с дискреционным механизмом). Метки безопаснос-
ти могут назначаться объекту доступа и обоим видам субъекта доступа -
пользователю и процессу (приложению). При этом обработка запроса про-
цесса может осуществляться как эксклюзивно (привилегированный про-
цесс — см. рис. 11.10), так и вместе с правами пользователя. Т.е. в схеме
управления доступом одновременно можно учитывать:
* категорию пользователя, то есть его допуск к информации, в соответ-
ствии с которым назначается метка безопасности;
* уровень защищенности информации, обеспечиваемый приложением
(метка безопасности процесса).
14.7.3. Задачи мандатного управления доступом
к виртуальным каналам связи
Рассмотрим мандатный механизм управления доступом к виртуальным
каналам
сети
связи в общем случае. При этом под виртуальным каналом
связи будем понимать канал связи между двумя оконечными устройствами
сети (защищаемыми компьютерами). Канал этот характеризуется:
» уровнем конфиденциальности передаваемой по каналу информации;
» информационной технологией, использующей канал, то есть какой
процесс (сетевая служба) его использует;
» характеристиками оконечных устройств (компьютеров), взаимодей-
ствующих по сети: IP-адрес, TCP-порт.
Назначение меток безопасности процессам рассматривается в предполо-
жении, что компьютерами, подключенными к виртуальному каналу свя-
зи, обрабатывается информация, различных уровней конфиденциально-
сти. Таким образом, в схему управления доступом к файловым объектам
может быть включены иерархические метки безопасности.
223
Часть IV. Управление доступом к ресурсам
Рассмотрим задачи мандатного управления доступом к виртуальным ка-
налам связи.
Задача 1. Подключение защищаемого компьютера к сети Internet
Итак, требуется подключить к сети Internet защищаемый компьютер,
характеризуемый обработкой информации различных уровней конфиден-
циальности. При этом сеть Internet воспринимается как открытый вир-
туальный канал связи.
Пусть в системе обрабатывается следующая информация:
» секретная;
»
конфиденциальная;
» служебная;
* открытая.
Соответственно введем 4 иерархические метки безопасности для данных —
Ml, М2, МЗ, М4.
Пусть доступ к информации имеют четыре пользователя, которым, в
соответствии с их допуском к информации, также назначим метки безо-
пасности — Ml, М2, МЗ, М4.
Подключим компьютер к сети Internet. Поскольку при этом создается
открытый виртуальный канал связи, то по нему следует разрешить пе-
редачу только открытой информации. Используя классический ман-
датный механизм, организовать доступ к открытому виртуальному ка-
налу можно только следующим образом — разрешить запускать процесс
(сетевую службу) только пользователю с меткой М4. Таким образом,
взаимодействовать с сетью будет дозволено только пользователям, име-
ющим полный доступ к открытой информации и не имеющим досту-
па к информации иных уровней. Именно за счет этого исключается
возможность попадания в открытый виртуальный канал конфиденци-
альных данных.
Недостаток данного
решения
заключается в том, что пользователи с мет-
ками
М1...МЗ
отключены от сети Internet.
Теперь рассмотрим возможности, которые можно реализовать назначая
метки процессам. При этом процесс с меткой будет обслуживаться эксклю-
зивно, то есть без учета прав доступа пользователей (меток безопасности).
Назначим метки безопасности пользователям и данным также, как пред-
ставлено выше. Присвоим процессу (сетевой службе) Internet метку безо-
пасности М4 (соответствующую метке открытых данных). Кроме того, обес-
печим, чтобы все пользователи могли запустить данный процесс. Для этого
назначим исполняемому файлу соответствующей сетевой службы метку М4.
224
Глава 14. Субъект доступа «Процесс» и его учет при разграничении доступа
Получаем:
* любой пользователь может запустить процесс доступа к сети Internet;
« запущенный процесс имеет права вне прав пользователей, т.е. этот
процесс имеет полный доступ к открытым данным и не имеет досту-
па к иным данным на компьютере;
» любой пользователь имеет доступ к сети Internet, при этом выдавать-
ся в сеть могут только открытые данные, т.е. процесс с меткой М4
может «читать» данные только с меткой
М4.
Открытые данные, полу-
чаемые из сети, могут записываться только в объекты, предназначен-
ные для открытых данных, т.е. процесс с меткой М4 может «записы-
вать» данные только в объекты с меткой
М4;
* механизм управления доступом обеспечивает следующие разграниче-
ния для пользователей с учетом их меток безопасности. Пользователь с
меткой М4 (допущенный к открытым данным) может выдавать в сеть
и читать из сети информацию. Остальные пользователи (с меньшей
меткой) могут только читать данные из сети, т.к. они имеют доступ к
объекту, в который процесс с меткой М4 может записать данные толь-
ко «на чтение». Поэтому для отправки данных пользователем с мень-
шей меткой должны быть реализованы организационные мероприятия.
На практике это может выглядеть следующим образом:
* все пользователи имеют возможность работы с Web-сервисами и иными
службами сети Internet, предполагающими получение информации из
сети. Информация сохраняется в объекте с меткой М4, из которого
любой пользователь с меньшей меткой по правилам мандатного разгра-
ничения может его скопировать в собственный файловый объект, либо
в его объект данную информацию может записать (дополнить) пользо-
ватель с меткой М4. С электронной почтой все пользователи с меткой
меньше М4 могут работать только на прием сообщений из сети;
« только пользователь с меткой М4 получает право на отправку элект-
ронных почтовых сообщений, что определяется меткой виртуаль-
ного канала;
* для отправки сообщений пользователями с меньшей, чем М4 меткой
(что возможно только через пользователя с меткой М4, и не может
быть осуществлено автоматически - - не позволит мандатный меха-
низм управления доступа пользователей к файловым объектам) долж-
ны быть реализованы организационные мероприятия с привлечением
ответственного лица, либо службы безопасности.
Достоинства данного подхода очевидны. Все пользователи могут рабо-
тать с открытым виртуальным каналом связи, причем каждый в рамках
своих полномочий, задаваемых иерархической меткой безопасности. При
этом в полном объеме выполняются исходные требования мандатного
механизма управления доступом к файловым объектам.
8
Зак.
369 225
Часть IV. Управление доступом к ресурсам
Задача 2. Подключение защищаемого компьютера к сети Intranet
Допустим теперь, что защищаемый компьютер требуется
подключать
к
сети Intranet (корпоративный виртуальный канал связи). При этом, как
и в предыдущей задаче, на компьютере осуществляется обработка инфор-
мации
различных уровней конфиденциальности.
Пусть в системе обрабатывается следующая информация:
* секретная;
« конфиденциальная;
« служебная;
»
открытая.
Соответственно, введем 4 иерархические метки безопасности для дан-
ных-
Ml, М2, МЗ, М4.
Пусть доступ к информации имеют четыре пользователя, которым, в
соответствии с их допуском к информации также назначим метки безо-
пасности — Ml, М2, МЗ, М4.
Подключим компьютер к сети Intranet. Т.к. при этом создается корпора-
тивный виртуальный канал связи, то по нему следует разрешить переда-
чу только служебной и открытой информации. При этом доступ к вир-
туальному каналу не должен иметь пользователь, допущенный к открытой
информации, т.е. пользователь с меткой М4.
Для создания служебного виртуального канала может применяться фильтра-
ция доступа к сети (по IP адресам и TCP портам). Соответствующий процесс
должен обеспечивать защиту передаваемой по каналу связи информации
криптографическими методами.
Используя классический мандатный механизм управления доступом, орга-
низовать доступ к служебному виртуальному каналу можно только сле-
дующим образом — разрешить запускать процесс (сетевую службу) толь-
ко пользователю с меткой МЗ. Таким образом, взаимодействовать с сетью
будет разрешено только пользователю, имеющему полный доступ к слу-
жебной информации и не имеющему доступа к информации иных уров-
ней. В противном случае в открытый виртуальный канал могут попасть
данные, не предназначенные для передачи по нему.
Недостаток данного решения заключается в том, что пользователи с мет-
ками
Ml,
М2, М4 будут отключены от сети Intranet. К тому же по слу-
жебному каналу не может передаваться открытая информация.
Теперь рассмотрим возможности, которые можно реализовать назначая
метки процессам. При этом процесс с меткой будет обслуживаться эксклю-
зивно, то есть без учета прав доступа пользователей (меток безопасности).
226
Глава 14. Субъект доступа «Процесс» и его учет при разграничении доступа
Назначим метки безопасности пользователям и данным так же, как пред-
ставлено выше. Присвоим процессу (сетевой службе) Intranet метку бе-
зопасности МЗ, соответствующую метке служебных данных. Далее назна-
чим исполняемому файлу соответствующей сетевой службы метку МЗ. Тем
самым мы обеспечим, чтобы пользователи
М1...МЗ
имели возможность
запустить данный процесс, а пользователь М4 нет.
Получаем:
» запустить процесс доступа к сети Intranet может любой пользователь,
имеющий доступ не ниже, чем к служебной информации — обладаю-
щие метками
М1...МЗ;
* запущенный процесс имеет права вне прав пользователей, т.е. этот
процесс имеет полный доступ к служебным данным, доступ «на чте-
ние» к открытым данным и не имеет доступа к иным данным на
компьютере;
»
любой пользователь с уровнем доступа не ниже доступа к служебным
данным имеет доступ к сети Intranet. При этом в сеть могут выдавать-
ся как служебные, так и открытые данные (процесс с меткой МЗ
может «читать» данные с метками МЗ и М4). Любые данные, получа-
емые из сети, могут записываться только в объекты, предназначен-
ные для служебных данных (процесс с меткой МЗ может «записы-
вать» данные только в объекты с меткой МЗ), что предотвращает
доступ к этим данным пользователя с меткой М4;
» механизм управления доступом обеспечивает следующие разграни-
чения для пользователей с учетом их меток безопасности. Пользова-
тель с меткой М4 (допущенный к открытым данным) не может
выдавать в сеть и читать из сети информацию. Пользователь с мет-
кой МЗ (допущенный к служебным данным) может выдавать в сеть
и читать из сети информацию. Остальные пользователи
(с меньшей меткой) могут только читать данные из сети, т.к. они
имеют доступ к объекту, в который процесс с меткой МЗ может
записать данные, только «на чтение». Для отправки данных пользо-
вателем с меньшей меткой должны быть реализованы организаци-
онные мероприятия.
Пример практического использования:
« все пользователи, кроме пользователя с меткой М4, имеют возмож-
ность работы с Web-сервисами и иными службами сети Intranet, пред-
полагающими получение информации из сети. Информация сохраня-
ется в объекта (каталоге) с меткой МЗ, из которого любой пользователь
с меньшей меткой по правилам мандатного разграничения может его
скопировать в собственный файловый объект, либо в
его
объект дан-
ную информацию может записать (дополнить) пользователь с меткой
МЗ. С электронной почтой все пользователи с меткой больше МЗ
могут работать только на прием сообщений из сети;
227
Часть IV. Управление доступом к ресурсам
» только пользователь с меткой
МЗ
получает право на отправку элек-
тронных почтовых сообщений, что определяется меткой виртуаль-
ного канала;
* для отправки сообщений пользователями с меньшей, чем МЗ, меткой
(что возможно только через пользователя с меткой МЗ, и не может
быть осуществлено автоматически
--не
позволит мандатный меха-
низм управления доступа пользователей к файловым объектам) долж-
ны быть реализованы организационные мероприятия с привлечением
ответственного лица либо службы безопасности.
Таким образом все пользователи, имеющие допуск не ниже, чем допуск
к служебной информации, могут работать со служебным виртуальным
каналом связи, каждый в рамках своих полномочий, задаваемых иерар-
хической меткой безопасности. При этом в полном объеме выполняют-
ся исходные требования мандатного механизма управления доступом к
файловым объектам.
Задача 3 (общий случай).
Подключение защищаемого компьютера к сети Internet и Intranet
Пусть требуется подключить к сети Internet (открытый виртуальный ка-
нал связи) и к сети Intranet (корпоративный виртуальный канал связи)
защищаемый компьютер, характеризуемый обработкой информации раз-
личных уровней конфиденциальности. Таким образом, задача 3 является
комбинацией задач 1 и 2).
При тех же предположениях, что и для предыдущих
задач,
включим в
систему два процесса: один для передачи по сети Intranet служебной ин-
формации -- процесс 1 с меткой МЗ (метка исполняемого файла про-
цесса 1 — МЗ), ограничим доступ данного процесса к сетевым ресурсам
Intranet
no
IP адресам и TCP портам; и процесс 2 для передачи по сети
Internet открытой информации — с меткой М4 (метка исполняемого файла
процесса 1 -- М4).
Получаем совокупность свойств, представленную при решении задач 1 и 2.
Достоинства:
* один компьютер, в котором обрабатывается информация различных уров-
ней конфиденциальности, одновременно может быть подключен к вирту-
альным каналам, предназначенным для передачи информации различных
уровней конфиденциальности (в частности, к сети Internet и Intranet);
*
за счет назначения меток безопасности процессам (сетевым службам),
характеризующим виртуальный канал, в системе может быть реализо-
вано мандатное управления доступом к виртуальным каналам связи;
* все пользователи могут работать с открытым виртуальным каналом
связи, каждый в рамках своих полномочий, задаваемых иерархичес-
228
Глава
14.
Субъект доступа «Процесс» и
его
учет при разграничении доступа
кой меткой безопасности. При этом в полном объеме выполняются
исходные требования мандатного механизма управления доступом к
файловым объектам;
» все пользователи, имеющие допуск не ниже, чем допуск к служебной
информации, могут работать со служебным виртуальным каналом
связи, каждый в рамках своих полномочий, задаваемых иерархичес-
кой меткой безопасности. При этом в полном объеме выполняются
исходные требования мандатного механизма управления доступом к
файловым объектам.
Соответственно, если требуется реализовать мандатное разграничение
доступа
к виртуальному каналу связи, предназначенному для передачи
конфиденциальной информации, то необходимо осуществить следующие
настройки мандатного механизма управления доступом процессов к вир-
туальному каналу связи:
1.
Назначить метку безопасности процессу. Эта метка задается меткой
безопасности той информации, для передачи которой он предназ-
начен (такая же).
2. Назначить метку безопасности исполняемому файлу процесса для
его запуска пользователем. Эта метка задается меткой безопаснос-
ти, назначенной процессу (такая же).
3. При необходимости, следует разграничить права доступа процесса
к сетевым ресурсам (в рамках реализации виртуального канала) -
по IP адресам и TCP портам.
14.7.4. Требование к изоляции процессов
Следует отметить, что в случае назначения метки безопасности процес-
сам возникает проблема, которая отсутствует для ОС семейства Windows
(в силу своих особенностей). Связана эта проблема с тем, что в системе
одновременно могут быть запущены несколько процессов с различными
правами доступа к ресурсам (с различными метками безопасности). Это
значит, что в системе могут быть одновременно запущены несколько
процессов, которые могут осуществлять запись информации в объекты
различных уровней иерархии. Поэтому назначение меток безопасности
в общем случае возможно только при реализации в системе требования
к изоляции модулей [1], т.е. требования, состоящего в том, что процес-
сы с различными метками безопасности должны быть изолированы друг
от друга — между ними не может осуществляться копирование данных
(например, через буфер обмена).
В противном случае невозможна корректная реализация мандатного управ-
ления доступом в принципе, т.к. посредством взаимодействия процессов (ко-
пирования между ними данных) данные из объекта более высокого уровня
иерархии могут быть скопированы в объект с меньшим уровнем иерархии.
229
Часть IV. Управление доступом к ресурсам
14.7.5. Сводные положения по назначению и
использованию меток процессов
Ранее мы показали возможность назначения метки безопасности для
субъекта доступа «ПРОЦЕСС», что кардинально меняет возможности
применения мандатного механизма управления доступом. Здесь сформу-
лируем некоторые общие положения по назначению и использованию
меток безопасности для субъекта доступа «ПРОЦЕСС».
1. Метка безопасности может быть присвоена приложению (процес-
су). В качестве критерия назначения метки может рассматриваться
уровень защиты обрабатываемой информации, обеспечиваемой са-
мим приложением (встроенными в него механизмами защиты). В
этом случае могут быть сопоставлены метка безопасности объекта
(категории информации) и метка безопасности приложения (про-
цесса). Делается это в соответствии с требованиями к механизмам
защиты по обработке информации соответствующей категории.
2. При назначении меток безопасности одновременно пользователю и
процессу в схеме управления доступом одновременно можно учиты-
вать и категорию пользователя — его допуск к информации, в соответ-
ствии с которым назначается метка безопасности, и уровень защищен-
ности информации, обеспечиваемый приложением (метка безопасности
процесса). Данный подход позволяет принципиально расширять воз-
можности мандатного управления доступом к ресурсам.
3. Назначение меток безопасности в общем случае возможно только
при реализации в системе требования к изоляции модулей. В рамках
этого требования процессы с различными метками безопасности дол-
жны быть изолированы друг от друга - - между ними не должно
осуществляться копирование данных (например, через буфер обме-
на). В противном случае невозможна корректная реализация мандат-
ного управления доступом в принципе, т.к. посредством взаимодей-
ствия процессов (копирования между ними данных) данные из
объекта более высокого уровня конфиденциальности могут быть ско-
пированы в объект с меньшим уровнем конфиденциальности.
14.8. Разграничение доступа к объекту
«ПРОЦЕСС» (исполняемым файлам)
Особое место среди файловых объектов занимают исполняемые фай-
лы (программы), доступ субъектов к которым также может разграни-
чиваться. Именно исполняемые файлы изначально порождают про-
цессы. Поэтому в качестве разграничения доступа к процессам (как к
объектам доступа) прежде всего следует разграничить доступ к испол-
няемым файлам.
230