На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Определение и классификация задач, решаемых механизмами управления доступом к ресурсам

Понятия «владелец» и «собственник» информации
Принципиальным моментом при исследовании проблем управления дос­тупом к ресурсам является трактовка понятия «владельца» информации (в терминологии, применяемой при реализации механизмов управления до­ступом в ОС) или соответственно «собственника» информации (как уви­дим далее, это не одно и то же). Сформулируем эти понятия, исходя из
приведенных выше формализованных требований к механизмам защиты
, а также из принципов реализации встроенной защиты в современ­ных универсальных ОС. При этом будем читывать, что «владелец» фай­лового объекта во встроенных в ОС механизмах защиты может устанавли­вать и изменять атрибуты доступа, т.е. назначать и распространять ПРД.
На сегодняшний -день в качестве «владельца» информации рассматрива­ется либо пользователь, либо некое ответственное лицо. В качестве пос­леднего как правило выступает сотрудник подразделения безопасности, в частности, администратор безопасности. Здесь же отметим, что в су-
ществуюших ОС пользователь сам может устанавливать атрибуты на со­здаваемые ими файловые объекты и не во всех случаях данные действия
пользователя могут осуществляться в рамках задаваемых администрато­ром разграничений прав доступа к ресурсам.
Таким образом, в рамках существующих ОС «владелец» объекта файло­вой системы -- это лицо, которое может устанавливать права доступа (атрибуты) к данному файловому объекту. В общем случае это может быть
либо администратор, либо пользователь, создающий файловый объект.
Однако права «владельца» в конечном счете определяются тем, кто яв­ляется собственником информации, т.к. именно собственник информа­ции может принимать решение о ее передаче другим лицам. Естествен­но, что когда речь идет о домашнем компьютере, то собственником и
«владельцем» является непосредственный хозяин компьютера, обрабаты­вающий на нем собственную информацию.
Другое дело -- применение вычислительных средств (соответственно средств защиты) на предприятии. Использование защищаемого компью­тера на предприятии, как правило, связано с защитой служебной инфор­мации, конфиденциальных данных и т.д. Но эта информация уже не яв­ляется собственностью пользователя, следовательно, не пользователь должен являться ее конечным «владельцем». При этом также необходимо
учитывать, что, по статистике, большинство хищений информации на пред­приятии (умышленно или нет) осуществляется непосредственно сотрудни­ками, в частности, пользователями защищаемых компьютеров. Естествен­но, то же (но в большей мере) относится к защите секретной информации, собственником которой является государство.
Таким образом, по мнению автора, следует говорить о подходах к защите информации, «владельцем» которой априори не является пользователь. В частности, владельцем служебной информации является предприятие. Что
касается конфиденциальной информации, то здесь все зависит от ее типа.
В связи с этим большинство приложений систем защиты связано именно с защитой данных, собственником которых пользователь не является.
Следует отметить, что на практике существует некоторое противоречие в определении дискреционного управления доступом и требований, форму­лируемых к его реализации. Так, определение дискреционного управле­ния доступом предполагает: «Разграничение доступа между поимено­ванными субъектами и поименованными объектами. Субъект с
определенным правом доступа может передать это право любому
другому субъекту». Другими словами, «владельцем» файлового объекта
здесь непосредственно пользователь. Именно данная концепция прини­мается в качестве основы создания разграничительной политики доступа ( к ресурсам в современных ОС, прежде всего, в ОС семейства Windows (само собой подразумевается, что говоря о разграничении к файловым объектам для ОС Windows, мы подразумеваем файловую систему NTFS).
Вместе с тем, возвращаясь к формализованным требованиям к дискре­ционному управлению (т.е. требований к системе защиты, предназначен­ной для обработки конфиденциальной информации) среди этих требо­ваний можем видеть:
* контроль доступа должен быть применим к каждому объекту и каж­дому субъекту (индивиду или группе равноправных индивидов);
» механизм, реализующий дискреционный принцип контроля доступа,
должен предусматривать возможности санкционированного измене­ния правил или прав разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов;
* право изменять ПРД должно предоставляться выделенным субъектам
(администрации, службе безопасности и т.д.);
* должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
Другими словами, рассмотренными требованиями к дискреционному управлению доступом регламентируется, что все права по назначению и
изменению ПРД предоставляются не субъектам (пользователям), а вы­деленному субъекту — администратору безопасности. При этом должны быть предусмотрены средства, ограничивающие распространение прав на доступ, т.е. препятствующие передаче прав одним субъектом другому. Из данных требований вытекает, что в качестве «владельца» ресурса должен рассматриваться администратор безопасности, т.к. «владелец» имеет воз­можность назначить, изменить и распространить права на доступ.
Видим, что здесь вступают в противоречие концептуальные подходы к оп­ределению «владельца» информации, а как следствие и подходы к постро­ению разграничительной политики доступа к ресурсам. В одном случае, если «владельцем» информации считать пользователя, то естественным будет пре­доставить ему возможность передачи прав доступа к своим ресурсам («вла­дельцем» которых он является) другим пользователям. В другом случае, если «владельцем» информации пользователь не является (что чаще всего), то все права по назначению и распространению (переназначению) прав доступа должны принадлежать вьщеленным субъектам — ответственным лицам «вла­дельца» информации, например, администраторам безопасности. На наш взгляд, в общем случае правомерен именно второй подход. Поэтому, гово­ря далее о дискреционном управлении доступом, будем предполагать, что назначение и изменение ПРД в системе предоставляется вьщеленным субъек­там — администраторам безопасности. При этом модели дискреционного доступа будем рассматривать именно в данных предположениях. Соответс-венно они будут отличаться от моделей, предусматривающих, что «владель­цем» файлового объекта является пользователь.
С учетом сказанного можем сделать вывод о том, что в основу тельной политики доступа должен быть положен следующий тезис:
ватель не является собственником обрабатываемой им информации, как след­ствие, не может рассматриваться ее «владельцем», т.е. не должен иметь прав назначать и изменять ПРД к объектам файловой системы. «Владельцем» объек­тов файловой системы должен рассматриваться администратор безопасности, являющийся ответственным лицом собственника, в частности, предприятия.
Корректность и полнота реализации разграничительной политики доступа
Последующие исследования будем проводить с учетом того, что пользо­ватель не является «владельцем» информации, им обрабатываемой. Для механизмов управления доступом к ресурсам данный подход связан с понятиями корректности и полноты реализации разграничительной по­литики доступа к ресурсам.
Под корректностью реализации разграничительной политики доступа к ре­сурсу будем понимать свойство механизма управления доступом полнос­тью разделять ресурс между пользователями системы. При этом разграни­чение доступа должно быть реализовано таким образом, чтобы различные пользователи имели доступ к непересекающимся элементам разделяемого ресурса, т.е. чтобы обеспечивалась невозможность несанкционированного
обмена ими информацией между собой по средством данного ресурса.
Под полнотой реализации разграничительной политики доступа к ресурсам будем понимать свойство системы защиты обеспечивать корректную ре­ализацию разграничительной политики доступа ко всем ресурсам систе­мы, посредством которых возможен несанкционированный обмен инфор­мацией пользователей между собой.
Данные определения вытекают из рассмотренных выше формализован­ных требований к дискреционному управлению доступом к ресурсам.
Системой защиты, используемой в автоматизированных системах обработки
информации, владельцем которой не является пользователь (информация не является собственностью пользователя), должно выполняться требование к
полноте реализации разграничительной политики доступа к ресурсам. При­чем это требование должно выполняться по отношению к каждому защища­емому ресурсу, что в совокупности обеспечивает невозможность несанкцио­нированного обмена информацией субъектов доступа в системе между собой.
Очевидно, что требование к полноте разграничений доступа к ресурсам может выполняться только в том случае, когда доверенным лицом вла­дельца информации (предприятия, либо государства) выступает не пользо­ватель, а некий субъект, внешний по отношению к информации, обра­батываемой на защищаемом компьютере. Этот субъект наделяется специальными полномочиями и обладает необходимым элементом дове­рия со стороны владельца информации (в частности, предприятия). Та­ким субъектом и является администратор безопасности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика