На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Механизм исключения субъектов и объектов из схемы управления доступом

Особенность реализации мандатного механизма управления доступом состоит в том, что все субъекты и объекты доступа должны быть поме­ченными (им должна быть назначена метка безопасности). Вместе с тем,
не все субъекты и объекты доступа могут подпадать под разграничитель­ную политику, реализуемую мандатным механизмом управления досту­пом. Таким образом, возникает ряд противоречий, не позволяющих кор­ректно реализовать мандатный механизм управления доступом в полном объеме. Например, пользователю «Администратор» явно недостаточно прав доступа с использованием операции «запись» только к собственно­му объекту, не говоря уже о виртуальном пользователе ОС Windows «Си­стема». То же самое можно сказать и об объектах доступа, например, об объекте «Корзина» для ОС Windows и др.
С целью разрешения данных противоречий в схему мандатного управ­ления доступом могут быть включены группы субъектов и объектов с
номером «О»: СО, ОО. Для разметки данных субъектов и объектов бу­дем говорить о включении в схему управления доступом нулевой мет­ки МО (признака «О»). Присвоение данной метки позволяет исключить субъект, либо объект доступа из схемы мандатного управления досту­пом. Соответственно, доступ субъекта, обладающего меткой МО, не подпадает под типовые мандатные разграничения, а доступ к объекту,
обладающему меткой МО, не разграничивается (запрос диспетчером доступа не обрабатывается).
Обратите внимание, что речь идет только об исключении из схемы ман­датного управления доступом. При этом исключаемые из мандатной схе­мы субъекты и (или) объекты доступа остаются элементами схемы диск­реционного управления доступом, реализуемого в дополнение к мандатному.
Пример матрицы доступа D с возможностью исключения субъектов и объектов из схемы мандатного управления доступом, приведен ниже.
но   Но '
д д д д
Зп/Чп. Д Чт Зп/Чт Чт Чт
Здесь исходное множество прав доступа, используемое для реализации канала взаимодействия субъектов доступа, дополняется элементом «НО» {Зп/Чт, Чт, Д, НО}, где элемент «НО» означает, что запрос не обрабаты­вается мандатным механизмом управления доступа.
Приведенная модель управления доступом формально может быть опи­сана следующим образом:
* Dij = Зп/Чт, если i =
* Dij = Чт, если k+l > i > j; ij > 0; » Dij = Д, если i < j < k+1; ij > 0; » Dij = Чт, если i = k+l; ij > 0;
* Dij = НО, если i = 0 или j = 0,
где i     порядковый номер объекта (номер строки в матрице доступа); j - порядковый номер субъекта (номер столбца в матрице доступа).
Таким образом, включение в схему мандатного управления метки МО (и соответствующих ей правил доступа) разрешает отмеченное выше про­тиворечие. Теперь всем субъектам и объектам доступа могут и должны
назначаться мандатные метки, и в то же время как субъекты, так и объек­ты доступа могут исключаться из схемы типовых мандатных разграниче­ний доступа. В этом и заключается использование механизма исключе­ния субъектов и объектов доступа из схемы мандатного управления.


но

но

НО

 

НО

Зп/Чт

Д

 

НО

Чт

Зп/Чт

 

Оk-i

НО

Чт

Чт

 

НО

Чт

Чт

 

НО

Чт

Чт

Управление доступом к устройствам и отчуждаемым накопителем (дискетам, CD-ROM-дискам)
Общий подход к реализации
Ранее было отмечено, что мандатный механизм управления доступом реализуется корректно только в том случае, когда элементами схемы ман­датных разграничений являются все субъекты и объекты доступа защи­щаемого объекта.
Рассмотрим изложенные ранее возможности управления доступом при­менительно к устройствам ввода/вывода (съемным устройствам) и к от­чуждаемым физическим накопителям — дискетам, CD-ROMaM и т.д.
Итак, общий формат определения ресурса устройства (накопителя) выг­лядит следующим образом:
» имя съемного устройствах катало г \ подкаталог Y.Л файл — для дос­тупа к файлу;
» имя   съемного  устройства\каталог\подкаталог — для доступа к
каталогу (подкаталогу);
имя съемного устройства -- для доступа ко всему устройству в целом, которое может содержать каталоги и файлы (например, к устройству ввода данных — дисководу или CD-ROM).
Таким образом, управление доступом как к устройствам в целом, так и к ресурсам накопителей, полностью аналогично управлению доступом к
файловым объектам.
Способы назначения ресурсам меток безопасности (способы разметки)
Определим способы разметки (назначения меток безопасности) ресурсов.
Размечаться могут как собственно устройства (например, дисковод), так и накопители, размещаемые в устройстве (например, дискета).
Разметка устройства
При разметке устройства метка безопасности должна присваиваться соб­ственно устройству, например, А:. Присвоение устройству метки означает разрешение полного доступа (чтение и запись) к устройству только пользо­вателей с аналогичной меткой. Правила доступа остальных пользователей
к устройству определяются реализуемыми каналами взаимодействия субъек­тов доступа в матрице доступа.
Устройства могут быть как размеченные (на них распространяются раз­граничения доступа), так и неразмеченные. Если доступ к устройству, например, Е: не следует разграничивать мандатным механизмом управле­ния доступом, то данному устройству следует сопоставить метку «МО». При этом к устройству реализуется только дискреционное разграничение дос­тупа, осуществляемое в дополнение к мандатному механизму. В этом слу­чае устройство по прежнему считается размеченным. Если же и дескреци-онные разграничения не устанавливаются, то к устройству получают полный доступ все пользователи и устройство считается неразмеченным. Соответственно, в этом случае на накопителе могут быть сохранены лю­бые объекты и все объекты могут быть считаны любым пользователем.
Разметка накопителя
Существуют различные возможности разметки накопителя.
1. Разметка накопителя для возможности сохранения на нем объектов толь­ко одного уровня. На накопителе (например, дискете, размещаемой в дисководе А:) санкционированным пользователем создается новый объект — каталог (или файл). Объект помечается, то есть ему присва­ивается имя. При этом имя соответствует метке объектов файловой системы (либо метке пользователей), которым разрешена запись на данный накопитель. Например, создается каталог А: \3 — накопителю устанавливается метка 3. После этого на данный накопитель могут записываться (соответственно в каталог А: \3 дискеты) только объек­ты с меткой 3. Читать объекты с размеченного накопителя и добав­лять в них информацию могут пользователи в соответствии с реализу­емым каналом взаимодействия субъектов доступа в матрице доступа.
2. Разметка накопителя для возможности сохранения на нем объектов нескольких уровней. На накопителе (например, дискете, размещае­мой в дисководе В:) санкционированным пользователем создаются
новые объекты — каталоги (или файлы). Объекты размечаются, то
есть им присваиваются имена, соответствующие меткам объектов
файловой системы (либо меткам пользователей), которым разреше­на запись на данный накопитель. Например, если на накопителе создаются каталоги В:\2 и В:\3, то соответствующим объектам накопителя устанавливаются метки 2 и 3.После этого на данный накопитель могут записываться соответствую­щие объекты файловой системы (осуществлять запись соответствую­щие пользователи), соответственно, в каталог В:\3, только объекты с меткой 3, в каталог В:\2, только объекты с меткой 2.
Читать данные каталоги и добавлять в них информацию пользователи
могут только в соответствии с реализуемым каналом взаимодействия субъектов доступа в матрице доступа.
Таким образом, при вводе объекта с «помеченного» устройства (или вы­воде на «помеченное» устройство) диспетчер доступа обеспечивает соот­ветствие между меткой вводимого (выводимого) объекта и меткой уст­ройства. Аналогичное соответствие обеспечивается при работе с «помеченным» отчуждаемым накопителем.
Итак, на основании вышеприведенных рассуждений можно сделать зак­лючение, что все рассмотренные модели управления доступом могут при­меняться как для разграничения прав доступа к файловым объектам, так и к устройствам ввода/вывода и к отчуждаемым накопителям.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика