А.Ю.Щеглов Учебное пособие
.pdf
случае. Общность определяется тем, что однотипный канал взаимодействия субъектов доступа создается одновременно для всех субъектов. В частном случае подобный канал может устанавливаться не для всех субъектов, при этом в разграничение диспетчером доступа должно осуществляться на основе частной матрицы доступа, получаемой из соответствующей канонической матрицы запрещением каналов взаимодействия. Пример частной матрицы доступа для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексным каналов представлен ниже.
|
|
С1 С2….Ck-1 |
Ck |
||
O1 |
|
Зп/Чт Д |
0 |
Д |
|
|
|||||
O2 |
|
Д |
Зп/Чт Д |
Д |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Д |
Д |
Зп/Чт Д |
|
Ok |
0 |
0 |
Д |
Зп/Чт |
|
|
|
|
|
|
|
В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом. Основой мандатного механизма является включение в схему управления доступом, так называемых, меток безопасности (иерархических, так как в системе реализуется иерархия полномочий), отображающих полномочия субъектов и объектов, при этом разграничение прав доступа в диспетчере уже может задаваться не матрицей доступа, а правилами обработки меток, на основании которых диспетчер принимает решение о предоставлении запрашиваемого доступа к ресурсу, в качестве же учетной информации субъекта и объекта доступа появляется элемент – метка безопасности.
Метки безопасности являются элементами линейно упорядоченного множества M = {M1,…, Mk} и задаются субъектам и объектам доступа. Метки безопасности назначаются субъектам и объектам (группам субъектов и объектов), служат для формализованного представления их уровня полномочий. Будем считать, что чем выше полномочия субъекта и объекта (меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}), тем меньшее значение метки безопасности Mi, i = 1, …, k им присваивается, т.е.: M1 < M2 < M3<…<Mk.
121
Таким образом, в качестве учетной информации субъектов и объектов доступа, кроме их идентификаторов – имен, в диспетчере доступа каждому субъекту и объекту задаются метки безопасности из множества M.
Разграничение доступа диспетчером реализуется на основе правил, определяющих отношение линейного порядка на множестве M, где для любой пары элементов из множества M, задается один из типов отношения : {>,<,=} (на практике реализуется выбор подмножества M, изоморфного конечному подмножеству натуральных чисел – такой выбор делает естественным арифметическое сравнение меток безопасности).
Рассмотрим правила разграничения доступа для различных полномочных моделей управления доступом. При этом введем следующие обозначения:
Ms – метка безопасности субъекта (группы субъектов) доступа;
Mo – метка безопасности объекта (группы объектов) доступа;
Метка безопасности с порядковым номером i – Mi устанавливается для субъекта доступа с порядковым номером i – Ci и для объекта доступа с
порядковым номером i – Oi.
1. Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
1.Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc = Mo.
2.Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
3.Субъект С имеет доступ к объекту О в режиме “Добавления” в случае,
если выполняется условие: Mc > Mo.
2. Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
1.Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mo.
2.Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
3.Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа.
1.Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mo.
2.Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
3.Субъект С имеет доступ к объекту О в режиме “Добавления” в случае, если выполняется условие: Mc > Mo.
122
Замечание. Данная модель, при определенных допущениях, представляет собою модель Белла-Лападулы.
Дадим мандатному механизму управления доступом определение, с учетом сказанного ранее.
Определение. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении диспетчером в соответствии с заданными правилами меток безопасности субъектов и объектов доступа.
На практике для дискреционного механизма управления доступом, как правило, используется модель произвольного управления виртуальными каналами взаимодействия субъектов доступа (хотя может быть и принудительным – все зависит от реализуемой матрицы доступа – в этом случае мандатный и дискреционный механизмы различаются только способом задания разграничительной политики в диспетчере доступа и обработки запросов на доступ). Основой же мандатного механизма является реализация принудительного управления виртуальными каналами взаимодействия субъектов доступа, при этом основным требованием к принудительному управлению является обеспечение невозможности перенесения информации из объекта более высокого уровня конфиденциальности в объект с информацией более низкого уровня конфиденциальности. Поэтому к механизмам (прежде всего, к мандатному) управления доступом, реализующим принудительное управление виртуальными каналами взаимодействия субъектов доступа, накладываются дополнительные ограничения к корректности реализации.
Утверждение. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискреционного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.
Доказательство данного утверждения очевидно - нетрудно показать, что представленные правила, реализуют разграничения доступа полностью адекватные соответствующим каноническим матрицам доступа D, отображающим полномочные модели управления доступом, в случае, если всем субъектам из множества С и объектам из множества О сопоставлены метки безопасности (несопоставление метки безопасности какому-либо субъекту или объекту означает вычеркивание соответствующей строки или столбца из матрицы доступа D). Т.е. если существует объект, который не включен в схему мандатного управления
доступом, |
то |
этот |
объект |
может |
являться |
средством |
|
|
|
|
|
|
123 |
несанкционированного взаимодействия пользователей, имеющих различные метки безопасности.
Следствие. Метки безопасности должны устанавливаться на все объекты файловой системы (логические диски (тома), каталоги, подкаталоги, файлы), а также на все иные объекты доступа - на устройства ввода/вывода и отчуждаемые носители информации, виртуальные каналы связи и т.д. – речь о требованиях к полноте разграничительной политики доступа к ресурсам пойдет ниже.
Утверждение. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процессов) различных пользователей (кстати говоря, данное требование является формализованным требованием при использовании в системе защиты мандатного механизма управления доступом). То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными каналами взаимодействия субъектов доступа.
Доказательство данного утверждения состоит в необходимости противодействовать скрытым каналам взаимодействия субъектов доступа. Если под явным каналом понимается объект, доступ к которому может быть разграничен, то под скрытым - любые иные возможности взаимодействия субъектов доступа, которые в этом случае должны исключаться, например, передача информации между субъектами доступа через буфер обмена и т.д. Очевидно, что если существует возможность передачи информации между процессами, запускаемыми с правами пользователей, которым назначены различные метки безопасности, реализуется возможность переноса информации из объекта более высокого уровня конфиденциальности в объект более низкого уровня конфиденциальности.
Замечание. Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. Для ОС семейства Windows одновременно запускаются процессы двух пользователей – текущего прикладного пользователя и собственно системы (системные процессы). Однако, так как системные процессы не имеют средств управления пользователем, то выполнение рассматриваемого требования для ОС семейства Windows становится не актуальным.
Отметим, что мандатный механизм управления доступом может применяться лишь для реализации канонических матриц доступа. Для реализации частных матриц доступа (для задания разграничений для субъектов доступа, соответственно для объектов доступа, обладающих
124
одинаковой меткой безопасности) мандатный механизм должен функционировать в диспетчере наряду с дискреционным механизмом (дискреционный механизм здесь служит для разграничения прав доступа пользователей, обладающих одинаковой меткой безопасности). Проиллюстрируем сказанное простым примером. Рассмотрим частную матрицу представленную ниже.
|
|
С1 С2….Ck-1 |
Ck |
||
O1 |
|
Зп/Чт Д |
Д |
Д |
|
|
|||||
O2 |
|
Чт |
Зп/Чт Д |
Д |
|
. |
|
……………………….…….. |
|||
D = . |
|
||||
|
……………………………… |
||||
|
|
||||
. |
|
|
|
|
|
Ok-1 |
|
Чт |
Чт |
Зп/Чт Д |
|
Ok |
0 |
Чт |
Чт |
Зп/Чт |
|
|
|
|
|
|
|
Чтобы реализовать данную матрицу доступа в дополнение к мандатному механизму управления доступом, реализующему каноническую полномочную модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа, следует запретить дискреционным механизмом управления доступа чтение субъектом С1 объекта Ok (закрыть соответствующий пассивный симплексный канал взаимодействия
субъектов доступа Ck |
C1. |
Таким образом, обобщая сказанное, отметим, что мандатный механизм управления доступом можно рассматривать как альтернативный дискреционному механизму способ реализации полномочных моделей управления доступом (с точки зрения реализуемых возможностей управления доступом данные механизмы адекватны, при условии реализации одной и той же матрицы доступа). Преимуществом данного механизма является интуитивная понятность, как следствие простота настройки диспетчера доступа в предположении, что интуитивно понятен механизм включения шкалы полномочий, соответственно назначения меток безопасности (не требуется задания в диспетчере доступа матрицы доступа как таковой, достаточно задать правила доступа, соответствующие реализуемой полномочной модели управления доступа, и метки безопасности). Недостатком механизма является необходимость в общем случае (реализуется не каноническая модель управления доступом), наряду с мандатным механизмом использовать дискреционный механизм управления доступом, т.е. реализация диспетчера доступа усложняется и остается необходимость в том или ином виде задания матрицы доступа.
Наиболее широко используемым на сегодняшний день (ввиду максимальной интуитивной понятности) механизмом задания меток
125
безопасности является задание меток на основе уровня конфиденциальности информации и уровня прав доступа (допуска) пользователя к конфиденциальной информации – в данном приложении метки безопасности принято называть метками конфиденциальности. В основе иерархической классификации информации находится достаточно хорошо формализованное ее категорирование, определяемое отнесением информации к соответствующему уровню конфиденциальности на основании соответствующих нормативных документов и распоряжений – «открытая», «служебная», «конфиденциальная», «строго конфиденциальная», «секретная», «совершенно секретная» и т.д. Соответственно и пользователь для обработки соответствующей информации должен обладать соответствующей формой допуска к информации. Формализованное категорирование информации и категорирование формы допуска пользователей к информации без труда позволяет задать метки конфиденциальности, что существенно может упрощать задание канонической матрицы при настройке диспетчера доступа.
Также на практике находит применение задание неиерархических меток (это можно рассматривать как вырожденный случай мандатного управления). На самом деле, при этом реализуется дискреционный механизм, метки же служат для незначительного упрощения настройки механизма управления доступом. Идея назначение неиерархических меток заключается в следующем. По функциональному назначению разделяется обрабатываемая информация, например, бухгалтерская, персональные данные и т.д. По числу обрабатыавемых типов информации вводятся метки Mi. Далее однотипная метка присваивается типу информации и пользователю (группе пользователей), которые имеют право обработки данной информации. Назначение однотипной метки предполагает полный доступ пользователя к информации, несовпадение меток – запрет доступа.
Таким образом, правило управление доступом при задании разграничений неиерархическими метками задается следующим образом:
1.Субъект С имеет полный доступ к объекту О в случае, если выполняется условие: Mc = Mo.
2.Субъект С не имеет доступа к объекту О в противном случае.
Далее, говоря о мандатном механизме управления доступом, будем предполагать, что используются иерархические метки безопасности.
Замечание. Выше было показано, что все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны упрощающие администрирование диспетчера доступа (за счет включения меток безопасности), с другой стороны, ограничивающие возможные ошибки в администрировании, за счет реализации механизмом
126
управления доступом требования – любой субъект и объект доступа, которому не присвоена метка безопасности автоматически исключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/ доступ к непомеченному объекту – невозможны). При этом одно из основных требований мандатного механизма управления доступом – управление потоками, может быть реализовано только в рамках канонической модели – разграничение диспетчером доступа должно осуществляться для всех субъектов ко всем объектам доступа на защищаемом объекте.
Выводы.
1.В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении диспетчером в соответствии с заданными правилами меток безопасности субъектов
иобъектов доступа, причем мандатный механизм управления доступом корректно может реализовывать лишь канонические матрицы доступа. Для реализации частных матриц доступа на основе мандатных разграничений данный механизм должен функционировать в диспетчере наряду с дискреционным механизмом.
2.Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискреционного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.
3.Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процессов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными каналами взаимодействия субъектов доступа.
4.Так как все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны
127
упрощающие администрирование диспетчера доступа (за счет включения меток безопасности), с другой стороны, ограничивающие возможные ошибки в администрировании, за счет реализации механизмом управления доступом требования – любой субъект и объект доступа, которому не присвоена метка безопасности автоматически исключается из схемы управления доступа (какойлибо доступ непомеченного субъекта/доступ к непомеченному объекту – невозможны). При этом одно из основных требований мандатного механизма управления доступом – управление потоками, может быть реализовано только в рамках канонической модели – разграничение диспетчером доступа должно осуществляться для всех субъектов ко всем объектам доступа на защищаемом объекте.
5. В общем случае, говоря о требованиях к реализации управления доступом к ресурсам, следует иметь в виду требования к реализуемым моделям и матрицам доступа.
3.3.5. Разметка иерархических объектов доступа
Ранее объект доступа нами рассматривался как элемент, имеющий неиерархическую структуру. Вместе с тем, ряд объектов, например, файловые объекты, характеризуются иерархической структурой, например, объект доступа файл, может находиться в подкаталоге, который располагается в каталоге логического диска (или тома). Возникает вопрос, каким образом назначать метки безопасности иерархическому объекту, с учетом того, что не только включаемый элемент (например, каталог для логического диска, подкаталог для каталога и т.д.) является объектом доступа, но и каждый включающий элемент иерархии (например, логический диск для каталога, каталог для подкаталога и т.д.) также априори является объектом доступа, т.е. в соответствии с требованиями к корректности реализации мандатного механизма управления доступом метки безопасности должны устанавливаться всем объектам доступа, как включаемым, так и включающим. Напомним сказанное ранее, что современными универсальными ОС мандатный механизм управления доступом не реализуется, поэтому данная задача может решаться лишь средствами добавочной защиты.
Правила назначения меток безопасности иерархическим объектам доступа.
1. Метки безопасности из множества M = {M1, …, Mk}, используемого в полномочной модели управления доступом, присваиваются объектам доступа (без учета их иерархии), к которым следует разграничивать доступ. Процедура назначение меток безопасности начинается с разметки данных объектов.
128
2.Метки безопасности должны присваиваться всем включающим элементам иерархии, вплоть до элемента, являющегося объектом доступа (к которому разграничивается доступ). Для разметки включающих элементов, не являющихся непосредственно объектами доступа, к которым следует разграничить доступ, вводится метка Mk+1, причем для элементов множества M должно выполняться условие: M1 < M2 < M3<…<Mk < Mk+1.
3.Включаемому элементу может не присваиваться метка безопасности, тогда включаемый элемент наследует метку безопасности (имеет то же значение метки) включающего его элемента.
4.Вводится группа старших (корневых) элементов иерархии, включающих объекты доступа (элемент, к которому разграничивается доступ) Ok+1, данной группе объектов должна присваиваться метка безопасности Mk+1.
5.К группе старших (корневых) элементов иерархии Ok+1 при сопоставлении ей метки Mk+1 разрешается доступ по “чтению”.
Рассмотрим правила разграничения доступа для различных полномочных моделей управления доступом к иерархическим объектам.
1.Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
1.Для Объектов O1, …, Ok:
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Добавления” в случае,
если выполняется условие: Mc > Mo.
2. Любой субъект С имеет доступ к объекту Оk+1 в режиме “Чтения”
2.Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
1. |
Для Объектов O1, …, Ok: |
|
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если |
|
выполняется условие: Mc <, = Mo. |
|
Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если |
|
выполняется условие: Mc = Mo. |
2. |
Любой субъект С имеет доступ к объекту Оk+1 в режиме “Чтения” |
3.Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа.
1. Для Объектов O1, …, Ok:
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mo.
129
Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Добавления” в случае,
если выполняется условие: Mc > Mo.
2. Любой субъект С имеет доступ к объекту Оk+1 в режиме “Чтения” При использовании приведенных правил назначения меток
безопасности в матрице доступа, описывающей полномочную модель управления доступом, появляется дополнительная строка, соответствующая группе объектов Ok+1, элементами которой будут «Чт»
– операция «чтение».
Пример матрицы доступа D для полномочной модели управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа представлена ниже.
O1
O2
.
D = .
.
Ok-1
Ok
Ok+1
С1 |
С2….Ck-1 |
Ck |
|
Зп/Чт |
Д |
Д |
Д |
Чт |
Зп/Чт Д |
Д |
|
……………………….……..
………………………………
Чт |
Чт |
Зп/Чт Д |
|
Чт |
Чт |
Чт |
Зп/Чт |
Чт |
Чт |
Чт |
Чт |
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт, если k+1 > i > j, соотвественно Dij = Д, если i < j < k+1, и Dij = Чт, если i = k+1 где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Утверждение. Диспетчер доступа, осуществляющий разграничение доступа на основе представленных правил, реализует механизм мандатного управления доступом к иерархическим объектам доступа корректно.
Доказательство утверждения достаточно очевидно. Матрица доступа D дополняется строкой Ok+1, для которой создается виртуальный пассивный симплексный канал взаимодействия субъектов доступа – все элементы строки «Чт». Поэтому в объекты группы Ok+1 ни один субъект не может записать информацию, следовательно данный канал взаимодействия субъектов доступа не позволяет получить несанкционированного доступа к информации (несанкционированно переместить информацию), он необходим только для чтения структуры включающих элементов иерархии.
130