На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Правила назначения меток безопасности иерархическим объектам доступа

Ранее объект доступа нами рассматривался как элемент, имеющий не­иерархическую структуру. Вместе с тем, ряд объектов, например, файло­вые объекты, характеризуются иерархической структурой. Например,
объект доступа файл может находиться в подкаталоге, который в свою очередь располагается в каталоге логического диска (или тома).
Возникает вопрос: каким образом назначать метки безопасности иерар­хическому объекту, с учетом того, что не только включаемый элемент (например, каталог для логического диска, подкаталог для каталога и т.д.)
является объектом доступа, но и каждый включающий элемент иерар­хии (например, логический диск для каталога, каталог для подкаталога и т.д.) также априори является объектом доступа? То есть в соответствии с требованиями к корректности реализации мандатного механизма уп­равления доступом метки безопасности должны устанавливаться всем объектам доступа, как включаемым, так и включающим.
Напомним, что современными универсальными ОС мандатный механизм управления доступом не реализуется, поэтому данная задача может ре­шаться лишь средствами добавочной защиты.
Общие правила назначения меток
безопасности иерархическим объектам доступа
Основу назначения меток безопасности иерархическим объектам досту­па составляет использование следующего подхода. Пусть некоторому
включаемому объекту (например, файлу) необходимо назначить метку
безопасности. Это означает, что пользователю с соответствующей меткой будет дано право на чтение данного объекта и на запись в него. Соот­ветственно включающим элементам должна присваиваться метка, не позволяющая рассматриваемому пользователю осуществить в них запись, но позволяющая осуществить чтение (чтобы просмотреть структуру вклю­чающего элемента) — т.е. метка ниже, чем метка включаемого элемента.
Реализация данного подхода позволяет сформулировать следующие общие
правила назначения меток безопасности иерархическим объектам доступа.
1. Метки безопасности из множества М = используемого
в полномочной модели управления доступом, присваиваются объек­там доступа (без учета их иерархии), к которым следует разграни­чивать доступ. Процедура назначение меток безопасности начина­ется с разметки данных объектов.
2. Метки безопасности должны присваиваться всем включающим элементам иерархии, вплоть до элемента, являющегося объектом доступа (к которому разграничивается доступ). Для разметки включающих элементов, не являющихся непосредственно объек­тами доступа, но к которым следует разграничить доступ, вво­дится метка Мк+1. Причем для элементов множества М должно выполняться условие: Ml < М2 < М3< ... <Мк < Мк+1.
3. Включаемому элементу может не присваиваться метка безопаснос­ти, тогда включаемый элемент наследует метку безопасности (име­ет то же значение метки) включающего его элемента.
4. Вводится группа старших (корневых) элементов иерархии Ок+1, включающих объекты доступа. Данной группе объектов должна присваиваться метка безопасности Мк+1.
5. К группе старших (корневых) элементов иерархии Ok+1 при сопо­ставлении ей метки Mk+1 разрешается доступ по «чтению».
Правила разграничения доступа для различных полномочных моделей управления доступом к иерархическим объектам
Рассмотрим правила разграничения доступадля различных полномочных моделей управления доступом. Сделаем это применительно к иерархи­ческим объектам, с учетом сформулированных выше правил назначения меток безопасности иерархическим объектам доступа. Правила для не-ирархических объектов приведены ранее, в п.13.2.
Полномочная модельуправления доступом с произвольным управлением виртуальными каналами взаимодействия субъектовдоступа
Правила разграничения доступа, реализуемые диспетчером доступа име­ют следующий вид.
1. Для объектов Ol,...,Ok:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа
Правила разграничения доступа, реализуемые диспетчером доступа име­ют следующий вид.
1. Для объектов Ol,...,Ok:
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <, = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа
Правила разграничения доступа, реализуемые диспетчером доступа име­ют следующий вид.
1. Для объектов
• субъект С имеет доступ к объекту О в режиме «Чтения» в случае, если выполняется условие: Мс <, = Мо;
• субъект С имеет доступ к объекту О в режиме «Записи» в случае, если выполняется условие: Мс = Мо;
• субъект С имеет доступ к объекту О в режиме «Добавления» в случае, если выполняется условие: Мс > Мо.
2. Любой субъект С имеет доступ к объекту Ok+1 в режиме «Чтения».
Обоснование корректности механизма мандатного управления доступом к иерархическим объектам
При использовании приведенных правил назначения меток безопаснос­ти в матрице доступа, описывающей полномочную модель управления доступом, появляется дополнительная строка, соответствующая группе объектов Ok+1, элементами которой будут «Чт» - операция «чтение».
Пример матрицы доступа D для полномочной модели управления досту­пом с комбинированным управлением виртуальными каналами взаимо­действия субъектов доступа представлена ниже.
Модель управления доступом формально может быть описана следую­щим образом. Элемент (Dij) матрицы Dij = Зп/Чт, если i = j; Dij - Чт, если k+l > i > j. Соотвественно Dij = Д, если i < j < k+l, и Dij = Чт, если i = k+1, где i — порядковый номер объекта (номер строки в мат­рице доступа), a j — порядковый номер субъекта (номер столбца в мат­рице доступа).
Диспетчер доступа, осуществляющий разграничение доступа на основе пред-
ставленных правил, реализует корректно механизм мандатного управления
' доступом к иерархическим объектам доступа.
Доказательство утверждения достаточно очевидно. Матрица доступа D дополняется строкой Ok+l, для которой создается виртуальный пассив­ный симплексный канал взаимодействия субъектов доступа - все элементы строки «Чт». Поэтому в объекты группы Ok+1 ни один субъект не может записать информацию. Следовательно, данный канал взаимодействия
субъектов доступа не позволяет получить несанкционированный доступ к
информации (несанкционированно переместить информацию). Он необ­ходим только для чтения структуры включающих элементов иерархии.
Введение рассмотренных правил назначения меток безопасности иерар­хическим объектам доступа обусловливает необходимость противодействия
доступу пользователей к остаточной информации. Ранее мы отмечали, что
основой данного противодействия является реализация механизма обес-.
печения замкнутости программной среды, в дополнение к которой мо­жет осуществляться гарантированная очистка остаточной информации.
Поясним необходимость сказанного. Пусть в объекте Ok+l (таким обра­зом разметили логический диск) находятся два файла: объекты Ok-m и Ok—1. И пусть данным объектам присвоены различные метки безопасно­сти. Тогда при удалении одного из объектов на диске сохраняется оста­точная информация, к которой штатными средствами доступ пользова­тели получить не могут. Однако при определенных условиях (средствами прямого доступа к диску) они могут получить доступ вне рамок мандат-
ного механизма, поскольку остаточная информация не имеет признаков объекта и к ней не может разграничиваться доступ.
Примечание
Ради справедливости стоит отметить что подобными средствами (если раз­решить их запуск на компьютере) пользователь может получить доступ не только к остаточной, но и к актуальной информации, т.к. они обращаются не к объекту, а напрямую к диску, минуя механизм управления доступом.
Примеры назначения меток безопасности
Рассмотрим примеры применения введенных правил.
Пример 1. Пусть на логическом диске D: вводится три каталога, соответ­ственно, D:\2,D:\3,D:\4 (реализуется мандатный механизм управления доступа к этим каталогам) и пусть соответствующим образом назначаются метки безопасности каталогам — 2, 3, 4. В этом случае корневым включа­ющим элементом является диск D (объект Ok+l). Ему должна быть при­своена метка Мк+1 =5. Иллюстрация назначаемых меток безопасности объектам доступа для рассматриваемого примера приведена в табл. 13.1.
Пример назначения меток безопасности иерархическим объектам доступа Таблица 13.1


Метка безопасности

Субъекты доступа

Объекты доступа

2

 

D:\2

3

 

D:\3

4

 

D:\4

5

 

D:

Пример 2. Рассмотрим более сложную иерархическую структуру. Пусть
на логическом диске D: вводится два каталога, соответственно, D:\2, D:\3, в каталоге D:\2 расположен объект доступа - файл User 1, который должен иметь метку 2, и пусть в каталоге D : \3 присутствуют два объекта доступа — файлы User 2 и User 3, соответствующим образом размеча­емые — имеют метки 3 и 4. В этом случае включающим корневым эле­ментом является диск D (объект Ok+l) -- ему присваивается метка Мк+1 = 5. Иллюстрация назначаемых меток безопасности для рассмат­риваемого примера приведена в табл. 13.2.
Пример назначения меток безопасности иерархическим объектам доступа Таблица 13.2


Метка безопасности

Субъекты доступа

Объекты доступа

 

 

D:\2

3

 

D: \3 \User 2

4

 

D: \3 \User 3

5

 

D:

В качестве замечания необходимо отметить, что в примере разметки, изложенном в табл. 13.2, элемент \з наследует метку включающего эле­мента Для файла User достаточно назначить метку включающему его каталогу которую он наследует.
Настройка мандатного механизма доступа к иерархическим объектам
Настройка мандатного механизма управления доступом с иерархической структурой объектов доступа отличается от настройки мандатного меха­низма управления доступом с неиерархической структурой объектов до­ступа следующим:
* Вводится дополнительная группа объектов которую образуют
корневые включающие объекты доступа элементы.
♦ Вводится дополнительная метка безопасности Мк+1 (причем Ml < М2 <':'■■'' < Mk+1), которая присваивается корневым включающим объекты доступа элементам (для файловой системы -логическим дискам или томам), образующим группу дополнительно
вводимую группу объектов Ok+1.
• Метка Mk+1 наследуется всеми включаемыми элементами иерархии, вплоть до первого размеченного объекта в иерархии (которые уже, в свою очередь, должны размечаться метками безопасности из исходного множества
При реализации в диспетчере доступа рассмотренных выше правил на­значения и обработки меток безопасности иерархических объектов дос­тупа, можем говорить об общности мандатного механизма управления доступом применительно к структуре объекта доступа.
Рассмотренная реализация мандатного механизма управления доступом
является универсальной в том смысле, что объектом доступа (ресурсом,
к которому разграничивается доступ посредством назначения меток бе­зопасности) может являться любой элемент иерархии (например, для фай­ловой системы — логический диск, каталог, подкаталог, файл).
Процедура создания группы объектов Ok+1 и назначение ей метки безо­пасности Mk+1 легко формализуется и может быть реализована диспетче­ром доступа автоматически. При такой реализации диспетчера доступа настройка мандатного механизма (задание правил разграничения доступа в диспетчере доступа) с иерархическими объектами доступа не сложнее, чем с неиерархическими объектами доступа.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика