На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Правила разграничения доступа

Рассмотрение правил оформим в виде списка:
Полномочная модель управления доступом с произвольным управ­лением виртуальными каналами взаимодействия субъектов доступа.
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
2. Полномочная модель управления доступом с принудительным управ­лением виртуальными каналами взаимодействия субъектов доступа:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <= Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо.
3. Полномочная модель управления доступом с комбинированным управ­лением виртуальными каналами взаимодействия субъектов доступа:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <= Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
Данная модель, при определенных допущениях, представляет собою модель Белла-Ла-Падулы [4].
Дадим мандатному механизму управления доступом определение с уче­том сказанного ранее.
Под мандатным механизмом управления доступом, реализующим канони­ческие полномочные модели управления доступом, понимается способ
обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объектов доступа в соответ­ствии с заданными правилами.
Основой же мандатного механизма является реализация принудительно­го управления виртуальными каналами взаимодействия субъектов досту­па. При этом основным требованием к принудительному управлению яв­ляется обеспечение невозможности перенесения информации из объекта более высокого уровня конфиденциальности в объект с информацией более низкого уровня конфиденциальности. Поэтому к механизмам упранлепия доступом, реализующим принудительное управление виртуаль­ными каналами взаимодействия субъектов доступа, накладываются до­полнительные ограничения к корректности реализации.
На практике для дискреционного механизма управления доступом, как правило, используется модель произвольного управления виртуальными каналами взаимодействия субъектов доступа. Однако управление кана­лами может быть и принудительным — все зависит от реализуемой мат­рицы доступа. В этом случае мандатный и дискреционный механизмы
различаются только способом задания разграничительной политики в
диспетчере доступа и обработки запросов на доступ.
Мандатный механизм управления доступом позволяет корректно реализо­вать полномочные модели управления доступом при условии, что всем субъек­там и объектам доступа сопоставлены метки безопасности. Для дискрецион­ного механизма, реализующего принудительное управление виртуальными
каналами, это соответственно означает необходимость задания разграниче­ний для всех субъектов и объектов доступа.
Доказательство данного утверждения очевидно. Нетрудно показать, что представленные правила реализуют разграничения доступа полностью адекватные соответствующим каноническим матрицам доступа D, отобра­жающим полномочные модели управления доступом, в случае, если всем субъектам из множества С и объектам из множества О сопоставлены метки безопасности. При этом несопоставление метки безопасности какому-либо
субъекту или объекту означает вычеркивание соответствующей строки или
столбца из матрицы доступа D.
Таким образом, если существует объект, который не включен в схему мандатного управления доступом, то этот объект может являться сред­ством несанкционированного взаимодействия пользователей, имеющих
различные метки безопасности.
Таким образом, метки безопасности должны устанавливаться на все
объекты файловой системы (логические диски (тома), каталоги, подка­талоги, файлы), а также на все иные объекты доступа — на устройства ввода/вывода и отчуждаемые носители информации, виртуальные кана­лы связи и т.д. Речь о требованиях к полноте разграничительной поли­тики доступа к ресурсам пойдет ниже.
Мандатный механизм управления доступом позволяет корректно реализо-| вать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процес­сов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными кана­лами взаимодействия субъектов доступа.
Доказательство данного утверждения состоит в необходимости противо­действовать скрытым каналам взаимодействия субъектов доступа. Если под явным каналом понимается объект, доступ к которому может быть разграничен, то под скрытым — любые иные возможности взаимодей­ствия субъектов доступа, которые в этом случае должны исключаться,
например, передача информации между субъектами доступа через буфер
обмена и т.д. Очевидно, что если существует возможность передачи ин­формации между процессами, запускаемыми с правами пользователей, которым назначены различные метки безопасности, то реализуется воз­можность переноса информации из объекта более высокого уровня кон­фиденциальности в объект более низкого уровня конфиденциальности.
Данное требование относится к процессам прикладных пользователей (ко­торым назначаются метки безопасности). Поэтому, в первую очередь, дан­ное требование выдвигается при реализации системы защиты для ОС се­мейства UNIX, где одновременно в системе могут быть запущены
' процессы различных пользователей. Для ОС семейства Windows одновре­менно запускаются процессы двух пользователей — текущего приклад­ного пользователя и виртуального пользователя «СИСТЕМА» (системные процессы). Однако, так как системные процессы не имеют средств уп­равления пользователем, то выполнение рассматриваемого требования для
ОС семейства Windows становится неактуальным.
Отметим, что мандатный механизм управления доступом может применять­ся лишь для реализации канонических матриц доступа. Для реализации
частных матриц доступа мандатный механизм должен функционировать в
диспетчере наряду с дискреционным механизмом. Дискреционный меха­низм здесь служит для разграничения прав доступа пользователей, обла­дающих одинаковой меткой безопасности.
Проиллюстрируем сказанное простым примером. Рассмотрим частную
матрицу, представленную ниже.
Чтобы реализовать данную матрицу доступа в дополнение к мандатному механизму управления доступом, реализующему каноническую полномоч­ную модель управления доступом с комбинированным управлением вир­туальными каналами взаимодействия субъектов доступа, следует запре­тить дискреционным механизмом управления доступом чтение субъектом С1 объекта Ok (закрыть соответствующий пассивный симплексный ка­нал взаимодействия субъектов доступа Ck -» С1).
Таким образом, обобщая сказанное, отметим, что мандатный механизм управления доступом можно рассматривать как альтернативный дискреци­онному механизму способ реализации полномочных моделей управления доступом. Более того, с точки зрения реализуемых возможностей управле­ния доступом данные механизмы адекватны при условии реализации одной и той же матрицы доступа.
Преимуществом мандатного механизма является интуитивная понятность, а как следствие, и простота настройки диспетчера доступа в предполо­жении, что интуитивно понятен механизм включения шкалы полномо­чий и назначения меток безопасности. При этом не требуется задания в
диспетчере доступа матрицы доступа как таковой. Достаточно задать пра­вила доступа, соответствующие реализуемой полномочной модели управ­ления доступа, и метки безопасности.
Недостатком механизма является необходимость в общем случае наряду
с мандатным механизмом использовать дискреционный механизм управ­ления доступом. То есть реализация диспетчера доступа усложняется и остается необходимость в том или ином виде задания матрицы доступа.
Выше было показано, что все функции управления доступом (все мат­рицы доступа и соответствующие модели) могут быть реализованы диск­реционным механизмом. При этом мандатный механизм является част­ным случаем дискреционного и задает лишь некоторые правила. Эти правила с одной стороны упрощают администрирование диспетчера до­ступа (за счет включения меток безопасности), а с другой стороны огра­ничивают возможные ошибки в администрировании.
Реализуется это за счет выполнения мандатным механизмом следующе­го требования: любой субъект и объект доступа, которому не присвоена
метка безопасности, автоматически исключается из схемы управления
доступа (какой-либо доступ непомеченного субъекта/доступ к непомечен­ному объекту — невозможны). При этом одно из основных требований
мандатного механизма управления доступом -- управление потоками -может быть реализовано только в рамках канонической модели, а раз­граничение диспетчером доступа должно осуществляться для всех субъек­тов ко всем объектам доступа на защищаемом объекте.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика