На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Выбор модели

Следуя формализованным требованиям к системе защиты информации,
основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискрецион­ный механизм управления доступом, а секретных сведений -- мандатный механизм управления доступом.
Как было показано ранее, в теории защиты информации известны и иные модели управления доступом. Причем нами были рассмотрены лишь основные из них. Однако, ввиду их более теоретического, нежели прак­тического интереса, а также с учетом ярко выраженной практической
направленности книги на рассмотрении данных подходов мы останавли­ваться не станем. Мы будем рассматривать решения, реализованные на практике встроенными и добавочными средствами защиты.
При этом в данной работе рассматриваются две основных модели, на­шедших отражение в соответствующих нормативных документах в обла­сти защиты информации и реализуемых на практике современны­ми ОС и добавочными средствами защиты. Это дискреционная и мандатная модели управления доступом.
Дальнейшее описание дискреционного и мандатного механизмов управ­ления доступом представим в виде рассмотрения формализованных тре­бований к соответствующим механизмам защиты.
Дискреционная модель управления доступом
Следуя формализованным требованиям к системе защиты информации,
основой реализации разграничительной политики доступа к ресурсам при
обработке сведений конфиденциального характера является дискрецион­ный механизм управления доступом. При этом к нему предъявляются следующие требования:
* Система защиты должна контролировать доступ наименованных
субъектов (пользователей) к наименованным объектам (файлам, про­граммам, томам и т.д.).
« Для каждой пары (субъект — объект) в средстве вычислительной техни­ки (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индиви­да или группы индивидов) к данному ресурсу СВТ (объекту).
» Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
» Контроль доступа должен быть применим к каждому объекту и каж­дому субъекту (индивиду или группе равноправных индивидов).
» Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного измене­ния правил или прав разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
» Право изменять ПРД должно предоставляться выделенным субъектам
(администрации, службе безопасности и т.д.).
* Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
Мандатная модель управления доступом
Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом. Требова­ния к мандатному механизму состоят в следующем:
Каждому субъекту и объекту доступа должны сопоставляться класси­фикационные метки, отражающие их место в соответсвующей иерар­хии (метки конфиденциальности). Посредством этих меток субъектам
и объектам должны назначаться классификационные уровни (уровни
уязвимости, категории секретности и т. п.), являющиеся комбинаци­ями иерархических и неиерархических категорий. Данные метки дол­жны служить основой мандатного принципа разграничения доступа. » Система защиты при вводе новых данных в систему должна запраши­вать и получать от санкционированного пользователя классификаци­онные метки этих данных. При санкционированном занесении в спи­сок пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки
(субъектов, объектов) должны точно соответствовать внутренним мет­кам (внутри системы защиты).
» Система защиты должна реализовывать мандатный принцип контро­ля доступа применительно ко всем объектам при явном и скрытом
доступе со стороны любого из субъектов:
- субъект может читать объект, только если иерархическая класси­фикация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта. При этом иерархические категории в классификацион­ном уровне субъекта должны включать в себя все иерархические категории в классификационном уровне объекта;
- субъект осуществляет запись в объект, только если классифика­ционный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархичес­кой классификации. При этом все иерархические категории в
классификационном уровне субъекта должны включаться в иерар­хические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможность
сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
* В СВТ должен быть реализован диспетчер доступа, т.е. средство, во-
первых, осуществляющее перехват всех обращений субъектов к объек­там, а во-вторых, разграничивающее доступ в соответствии с задан­ным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандат­ными ПРД. Таким образом, должны контролироваться не только
единичный акт доступа, но и потоки информации.
Дополнительные требования к защите секретной информации в контексте использования дискреционной и мандатной моделей управления доступом
Требования непосредственно к дискреционному и мандатному механизмам
При защите секретной информации используется и дискреционная и
мандатная модели управления доступом. Требования к реализации ман­датной модели в рамках защиты секретной информации были приведе­ны в предыдущем пункте. Что касается требований к диск­реционному механизму, то при защите секретной информации следует придерживаться тех же требований, что и для защиты конфиденциаль­ной информации. Однако в дополнение к последним до­бавляется еще пара требований:
» Система защиты должна содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, недопустимого с точки зрения заданного ПРД). Под «яв­ными» подразумеваются действия, осуществляемые с использова­нием системных средств — системных макрокоманд, инструкций язы­ков высокого уровня и т.д. Под «скрытыми» — иные действия, в том числе с использованием злоумышленником собственных программ
работы с устройствами.
* Дискреционные ПРД для систем данного класса являются дополне­нием мандатных ПРД.
Кроме того, отдельно сформулированы требования к управлению досту­пом к устройствам. Эти требования рассмотрены ниже.
Защита ввода и вывода на отчуждаемый физический носитель информации
» Система защиты должна различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифициро­ванные («помеченные»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) система защиты должна обеспечивать соот­ветствие между меткой вводимого (выводимого) объекта (классификаци­онным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с «помеченным» каналом связи.
» Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем системы защиты.
Сопоставление пользователя с устройством
* Система защиты должна обеспечивать вывод информации на запрошен­ное пользователем устройство как для произвольно используемьгх уст­ройств, так для идентифицированный (при совпадении маркировки).
♦ Система защиты должна включать в себя механизм, посредством ко­торого санкционированный пользователь надежно сопоставляется с выделенным ему конкретным устройством.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика