На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Общие положения по реализации управления доступом

Все вышеприведенные рассуждения можно оформить в виде следующих
общих положений. 1. В общем случае могут быть выделены дискреционный и мандатный
механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов дис-
петчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понима­ется способ обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объек­тов доступа в соответствии с заданными правилами. Причем ман­датный механизм управления доступом корректно может реализо-вывать лишь канонические матрицы доступа.
Для реализации частных матриц доступа на основе мандатных разгра­ничений данный механизм должен функционировать в диспетчере на­ряду с дискреционным механизмом (что, кстати говоря, задается и формализованными требованиями к механизмам управления доступом).
2. Мандатный механизм управления доступом позволяет корректно реа­лизовать полномочные модели управления доступом при условии, что
всем субъектам и объектам доступа сопоставлены метки безопасности.
Для дискреционного механизма, реализующего принудительное управ­ление виртуальными каналами, это соответственно означает необходи­мость задания разграничений для всех субъектов и объектов доступа.
3. Мандатный механизм доступом позволяет корректно реализовать полномочные модели управления доступом при усло­вии, что системой защиты реализуется требование к изоляции про­граммных модулей (процессов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего при­нудительное управление виртуальными каналами взаимодействия
субъектов доступа.
Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую оче­редь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. Для ОС семейства Windows одновременно запускаются процессы двух пользователей -текущего прикладного пользователя и собственно системы (систем­ные процессы). Однако, так как системные процессы не имеют средств управления пользователем, то выполнение рассматриваемого требова­ния для ОС семейства Windows становится неактуальным.
4. Так как все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны упрощающие администрирование диспетчера доступа (за счет включения меток
безопасности), с другой стороны ограничивающие возможные ошиб­ки в администрировании за счет реализации механизмом управления
доступом требования: любой субъект и объект доступа, кото-
рому не присвоена метка безопасности автоматически ис­ключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/доступ к непомеченному объекту -При этом одно из основных требований мандатного механизма управления доступом -- управление потоками, — может быть реализовано только в рамках канонической модели, т.е. разгра­ничение диспетчером доступа должно осуществляться для всех субъек­тов ко всем объектам доступа на защищаемом объекте. 5. В общем случае, говоря о требованиях к реализации управления доступом к ресурсам, следует иметь в виду требования к реализуе­мым моделям и матрицам доступа.
Механизмы задания меток безопасности. Категорирование прав доступа
Общие положения
Ввиду максимальной интуитивной понятности наиболее используемым
на сегодняшний день механизмом задания меток безопасности является
задание меток на основе уровня конфиденциальности информации и уровня прав доступа (допуска). При этом метки безопасности принято называть метками конфиденциальности.
В основе иерархической классификации информации находится доста­точно хорошо формализованное ее категорирование, определяемое отне­сением информации к соответствующему уровню конфиденциальности.
Делается это на основании соответствующих нормативных документов и распоряжений. В рамках этих документов определены такие категории
как: «открытая», «служебная», «конфиденциальная», «строго конфиден­циальная», «секретная», «совершенно секретная» и т.д. Соответственно
и пользователь для обработки соответствующей информации должен об­ладать требуемой формой допуска к информации.
Формализованное категорирование информации и категорирование фор­мы допуска пользователей к информации без труда позволяет задать метки
конфиденциальности, что существенно может упрощать задание канони­ческой матрицы при настройке диспетчера доступа.
В общем случае категорирование прав доступа может проводиться и по другим принципам. При этом для различных принципов категорирова-ния могут различаться и соответствующие модели. Например, категори­рование может осуществляться на основе принципа «начальник—подчи­ненный». Для такого категорирования целесообразно запретить любой
доступ подчиненного к файловым объектам начальника, а начальнику разрешить доступ ко всем файловым объектам подчиненного «на чтение».
Реализуется такой подход путем использования полномочной модели
управления доступом с принудительным управлением виртуальными ка­налами взаимодействия субъектов доступа.
Нетрудно показать, что мандатный механизм управления доступом на прак­тике может быть реализован и при отсутствии иерархии обрабатываемой в системе информации. Дело в том, что в системе присутствует информация пользователя и информация системы. Информация системы, как правило, располагается на системном диске — это различные конфигурационные файлы системы, файлы настроек приложений и т.д. Естественно, что к дан­ной информации должен быть запрещен доступ пользователям «на запись» и разрешен только «на чтение», чтобы могли нормально функционировать система и приложения, запускаемые с правами текущего пользователя.
Таким образом, и в данном случае получаем схему мандатного управле­ния доступом, где файловые объекты с данными пользователя должны иметь ту же метку, что и пользователь (разрешены «запись» и «чтение»), а системный диск должен иметь метку безопасности, разрешающую к нему доступ пользователей только «на чтение». То есть получаем, что уровень
конфиденциальности пользовательской информации выше, чем системной,
а значит при назначении соответствующим образом меток безопасности
пользователь не сможет модифицировать системную информацию.
Неиерархические метки
Также на практике находит применение неиерархических меток (это мож­но рассматривать как вырожденный случай мандатного управления). На самом деле при этом реализуется дискреционный механизм, метки же слу­жат для незначительного упрощения настройки механизма управления до­ступом (для формализации задания дискреционных разграничений).
Идея назначения неиерархических меток заключается в следующем. Об­рабатываемая информация разделяется по функциональному назначению,
например, бухгалтерская, персональные данные и т.д. По числу обраба-типов информации вводятся метки Mi. Далее однотипная мет­ка присваивается типу информации и пользователю (группе пользовате­лей), которые имеют право обработки данной информации. Назначение однотипной метки предполагает полный доступ пользователя к инфор­мации, несовпадение меток — запрет доступа.
Таким образом, правило управления доступом при задании разграниче­ний неиерархическими метками задается следующим образом:
Субъект С имеет полный доступ к объекту О в случае, если выпол­няется условие: Мс = Мо. 2. Субъект С не имеет доступа к объекту О в противном случае.
Далее, говоря о мандатном механизме управления доступом, будем пред­полагать, что используются иерархические метки безопасности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика