На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Требования, подходы и задачи управления доступом

Общие положения
Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защи­щаемым информационным и техническим ресурсам объектам. В качестве субъектов в простейшем случае понимается пользователь. Од­нако в дальнейшем это понятие будет нами расширено.
На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заве­ден пользователь с правами администратора, который настраивает пара­метры системы защиты и права доступа к ресурсам защищаемого объек­та. При этом у администратора принципиально иные права, чем у прикладного пользователя. Обо всем этом мы говорили в предыдущих главах книги.
Абстрактные модели доступа
Механизм управления доступом реализует на практике некоторую абст­рактную (или формальную) модель, определяющую правила за­дания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.
Модель Биба
Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно этой модели все субъекты и объекты предварительно разделяются по нескольким уровням доступа. Затем на их взаимодействия накладываются следующие ограничения:
« субъект не может вызывать на исполнение субъекты с более низким уровнем доступа;
» субъект не может модифицировать объекты с более высоким уровнем доступа.
Эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий.
Модель Гогена-Мезигера
Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система мо­жет при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защи­ты разбиваются на группы — домены.
Переход системы из одного состояния в другое выполняется только в
соответствии с так называемой таблицей разрешений, в которой указа­но, какие операции может выполнять субъект, например, из домена С над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что
обеспечивает общую целостность системы.
Сазерлендская модель
Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986
году, основана на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со
множеством разрешенных комбинаций состояний и некоторым набором
начальных позиций. В данной модели исследуется поведение множествен­ных композиций функций перехода из одного состояния в другое.
Модель Кларка-Вильсона
Важную роль в теории защиты информации играет модель защиты Клар­ка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифициро­ванная в 1989. Основана данная модель на повсеместном использовании транзакций и- тщательном оформлении прав доступа субъектов к объек­там. В данной модели впервые исследована защищенность третьей сто­роны • - стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор.
Кроме того, в модели Кларка-Вильсона транзакции впервые были пост­роены по методу верификации, то есть идентификация субъекта произ­водилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены субъекта в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.
Дискреционная (матричная) модель
Рассмотрим так называемую матричную модель защиты (ее еще называ­ют дискреционной моделью), получившую на сегодняшний день наиболь­шее распространение на практике. В терминах матричной модели, состо­яние системы защиты описывается следующей тройкой:
(S, О, М),
где S — множество субъектов, являющихся активными структурными элементами модели; О — множество объектов доступа, являющихся пассивными защи­щаемыми элементами модели. Каждый объект однозначно иден­тифицируется с помощью имени объекта;
М -- матрица доступа. Значение элемента матрицы М [S, 0} опреде­ляет права доступа субъекта S к объекту О.
Права доступа регламентируют способы обращения субъекта S к различ­ным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение (Я), запись {W) и выполнение (Е).
Основу реализации управления доступом составляет анализ строки мат­рицы доступа при обращении субъекта к объекту. При этом проверяется строка матрицы, соответствующая объекту, и анализируется есть ли в ней разрешенные прав доступа для субъекта или нет. На основе этого при­нимается решение о предоставлении доступа.
При всей наглядности и гибкости возможных настроек разграничитель­ной политики доступа к ресурсам, матричным моделям присущи серьез­ные недостатки. Основной из них -- это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого услож­няется процедура администрирования системы защиты. Причем это про­исходит как при задании настроек, так и при поддержании их в актуаль­ном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок.
Более подробно дискреционная модель управления доступом рассмотре­на в п. 11.1.2.
Многоуровневые (мандатные) модели
С целью устранения недостатков матричных моделей были разработаны
так называемые многоуровневые модели защиты, классическими приме­рами которых являются модель конечных состояний Белла и Ла-Паду-лы, а также решетчатая модель Д. Деннинг. Многоуровневые модели пред­полагают формализацию процедуры назначения прав доступа посредством использования так называемых меток конфиденциальности или манда­тов, назначаемых субъектам и объектам доступа.
Так, для субъекта доступа метки, например, могут определяться в соот-
ветствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) -- признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта.
В связи с использованием терминов «мандат», «метка», «полномочия» много-\-М уровневую защиту часто называют соответственно либо мандатной защитой, либо защитой с метками конфиденциальности, либо полномочной защитой.
Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиден­циальности и набора категорий конфиденциальности. Уровень конфиден­циальности может принимать одно из строго упорядоченного ряда фик­сированных значений, например: конфиденциально, секретно, для служебного пользования, несекретно и т.п.
Основу реализации управления доступом составляют:
1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.
2. Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уров­ня конфиденциальности защищаемой информации.
Таким образом, многоуровневая модель предупреждает возможность пред­намеренного или случайного снижения уровня конфиденциальности за­щищаемой информации за счет ее утечки (умышленного переноса). То
есть эта модель препятствует переходу информации из объектов с высо­ким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.
Практика показывает, что многоуровневые модели защиты находятся
гораздо ближе к потребностям реальной жизни, нежели матричные мо­дели, и представляют собой хорошую основу для построения автомати­зированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить
наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели.
С помощью многоуровневых моделей возможно существенное упроще­ние задачи администрирования (настройки). Причем это касается как ис­ходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объек­тов и субъектов доступа.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика