На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Управление доступом, посредством назначения меток безопасности субъектам доступа «ПРОЦЕСС». Мандатный механизм управления доступом процессов к ресурсам защищаемого объекта

Метки безопасности процессов
Ранее рассматривалось назначение меток безопасности субъекту доступа
«ПОЛЬЗОВАТЕЛЬ». В этом случае основой для назначения метки безо­пасности служили уровень конфиденциальности информации и уровень
доступа пользователя.
Теперь необходимо определиться исходя из чего следует назначать мет­ки процессам (приложениям). В качестве критерия в этом случае может
рассматриваться уровень защиты обрабатываемой информации, обеспе­чиваемой самим приложением (его внутренними механизмами). При этом могут быть сопоставлены метка безопасности объекта (категории инфор­мации) и метка безопасности приложения (процесса). Делается это в соответствии с требованиями к механизмам защиты по обработке инфор­мации соответствующей категории.
Итак, под меткой безопасности процесса (приложения) будем понимать классификационную метку, назначаемую в соответствии с уровнем защищен­ности, обеспечиваемым механизмами защиты приложения.
При этом условиями корректной настройки механизма мандатного
равления доступом процессов являются следующие положения:
1. Метка безопасности, назначаемая процессу (сетевой службе), опре­деляется меткой безопасности информации, обрабатываемой этой
службой (должна совпадать с ней).
2. Метка безопасности, устанавливаемая на исполняемый файл про­цесса для задания полномочий на его запуск, должна совпадать с
меткой безопасности, назначаемой пользователю.
Управление доступом с использованием меток процессов
Возможности управления доступом на основе меток безопасности, на­значаемых приложениям (процессам), рассмотрим на примере мандатного управления доступом к виртуальным каналам внешней сети. Под вирту­альным каналом будем понимать сетевую службу, определяющую инфор­мационную технологию обработки данных во внешней сети. Примером такой службы могут служить служба открытой почты, служба конфиден­циальной почты и т.д.
С учетом сказанного ранее, метка безопасности присваивается сетевой службе (процессу). При этом мандатные разграничения для процесса действуют вне мандатных разграничений для пользователя. В соответствии со своей мет­кой безопасности помеченный процесс может обращаться к объектам дос­тупа. При этом механизмом разграничения доступа к сети заносятся допол­нительные дискреционные разграничения для помеченной службы. В частности с какими компьютерами разрешено взаимодействие и т.д.
Рассмотрим пример организации простого взаимодействия по внешней сети. Пусть система содержит два почтовых приложения для передачи почтовых сообщений, соответственно, в открытом и в защищенном виде (например, почтовые сообщения шифруются при передаче). Назначим почтовым приложениям (процессам) следующие метки безопасности:
» метку       процессу конфиденциальной почтовой службы;
• метку Мп процессу открытой почтовой службы. Данные настройки реализуют следующую возможность взаимодействия
в рамках помеченной сетевой службы (почтового взаимодействия). В рамках конфиденциальной почтовой службы любым пользователем (от­метим, что метки безопасности пользователям не назначались) по защи­щенному почтовому каналу могут передаваться объекты, которым сопо­ставлены метки Мп-1 и Мп. То есть только эти объекты служба сможет читать из файловой системы. Любое получаемое по защищенной почте
сообщение любой пользователь сможет записать только в объект (напри­мер, каталог), которому сопоставлена метка Мп-1. Таким образом исклю-
чается возможность записи полученных конфиденциальных данных в
объект с большей меткой (с меньшим уровнем конфиденциальности).
Что касается открытого почтового канала, то по нему любой пользователь может передавать только объекты, которым сопоставлена метка Мп (только эти объекты служба сможет читать из файловой системы). Любое получа­емое по открытой почте сообщение любой пользователь сможет записать
только в объект (например, каталог), которому сопоставлена метка Мп.
Таким образом, при вводе (выводе) объекта с «помеченного» виртуаль­ного канала, использующего помеченную сетевую службу, диспетчер до­ступа обеспечивает соответствие между меткой вводимого (выводимого) объекта и меткой виртуального канала (сетевой службы).
В общем случае модель мандатного управления доступом может быть рас­ширена (по аналогии с дискреционным механизмом). Метки безопаснос­ти могут назначаться объекту доступа и обоим видам субъекта доступа -
пользователю и процессу (приложению). При этом обработка запроса про­цесса может осуществляться как эксклюзивно (привилегированный про­цесс — 10), так и вместе с правами пользователя. Т.е. в схеме управления доступом одновременно можно учитывать:
* категорию пользователя, то есть его допуск к информации, в соответ­ствии с которым назначается метка безопасности;
* уровень защищенности информации, обеспечиваемый приложением (метка безопасности процесса).
Задачи мандатного управления доступом к виртуальным каналам связи
Рассмотрим мандатный механизм управления доступом к виртуальным каналам сети связи в общем случае. При этом под виртуальным каналом связи будем понимать канал связи между двумя оконечными устройствами сети (защищаемыми компьютерами). Канал этот характеризуется:
» уровнем конфиденциальности передаваемой по каналу информации;
» информационной технологией, использующей канал, то есть какой процесс (сетевая служба) его использует;
» характеристиками оконечных устройств (компьютеров), взаимодей­ствующих по сети: IP-адрес, TCP-порт.
Назначение меток безопасности процессам рассматривается в предполо­жении, что компьютерами, подключенными к виртуальному каналу свя­зи, обрабатывается информация, различных уровней конфиденциально­сти. Таким образом, в схему управления доступом к файловым объектам
может быть включены иерархические метки безопасности.
Рассмотрим задачи мандатного управления доступом к виртуальным ка­налам связи.
Подключение защищаемого компьютера к сети Internet
Итак, требуется подключить к сети Internet защищаемый компьютер, характеризуемый обработкой информации различных уровней конфиден­циальности. При этом сеть Internet воспринимается как открытый вир­туальный канал связи.
Пусть в системе обрабатывается следующая информация:
» секретная;
конфиденциальная; » служебная; * открытая.
Соответственно введем 4 иерархические метки безопасности для данных — Ml, М2, МЗ, М4.
Пусть доступ к информации имеют четыре пользователя, которым, в соответствии с их допуском к информации, также назначим метки безо­пасности — Ml, М2, МЗ, М4.
Подключим компьютер к сети Internet. Поскольку при этом создается
открытый виртуальный канал связи, то по нему следует разрешить пе­редачу только открытой информации. Используя классический ман­датный механизм, организовать доступ к открытому виртуальному ка­налу можно только следующим образом — разрешить запускать процесс (сетевую службу) только пользователю с меткой М4. Таким образом, взаимодействовать с сетью будет дозволено только пользователям, име­ющим полный доступ к открытой информации и не имеющим досту­па к информации иных уровней. Именно за счет этого исключается возможность попадания в открытый виртуальный канал конфиденци­альных данных.
Недостаток данного решения заключается в том, что пользователи с мет­ками М1...МЗ отключены от сети Internet.
Теперь рассмотрим возможности, которые можно реализовать назначая
метки процессам. При этом процесс с меткой будет обслуживаться эксклю­зивно, то есть без учета прав доступа пользователей (меток безопасности).
Назначим метки безопасности пользователям и данным также, как пред­ставлено выше. Присвоим процессу (сетевой службе) Internet метку безо­пасности М4 (соответствующую метке открытых данных). Кроме того, обес­печим, чтобы все пользователи могли запустить данный процесс. Для этого
назначим исполняемому файлу соответствующей сетевой службы метку М4.
Получаем:
* любой пользователь может запустить процесс доступа к сети Internet; « запущенный процесс имеет права вне прав пользователей, т.е. этот
процесс имеет полный доступ к открытым данным и не имеет досту­па к иным данным на компьютере; » любой пользователь имеет доступ к сети Internet, при этом выдавать­ся в сеть могут только открытые данные, т.е. процесс с меткой М4 может «читать» данные только с меткой Открытые данные, полу­чаемые из сети, могут записываться только в объекты, предназначен­ные для открытых данных, т.е. процесс с меткой М4 может «записы­вать» данные только в объекты с меткой М4;
* механизм управления доступом обеспечивает следующие разграниче­ния для пользователей с учетом их меток безопасности. Пользователь с меткой М4 (допущенный к открытым данным) может выдавать в сеть
и читать из сети информацию. Остальные пользователи (с меньшей меткой) могут только читать данные из сети, т.к. они имеют доступ к
объекту, в который процесс с меткой М4 может записать данные толь­ко «на чтение». Поэтому для отправки данных пользователем с мень­шей меткой должны быть реализованы организационные мероприятия.
На практике это может выглядеть следующим образом:
* все пользователи имеют возможность работы с Web-сервисами и иными
службами сети Internet, предполагающими получение информации из
сети. Информация сохраняется в объекте с меткой М4, из которого любой пользователь с меньшей меткой по правилам мандатного разгра­ничения может его скопировать в собственный файловый объект, либо в его объект данную информацию может записать (дополнить) пользо­ватель с меткой М4. С электронной почтой все пользователи с меткой меньше М4 могут работать только на прием сообщений из сети; « только пользователь с меткой М4 получает право на отправку элект­ронных почтовых сообщений, что определяется меткой виртуаль­ного канала;
* для отправки сообщений пользователями с меньшей, чем М4 меткой
(что возможно только через пользователя с меткой М4, и не может быть осуществлено автоматически - - не позволит мандатный меха­низм управления доступа пользователей к файловым объектам) долж­ны быть реализованы организационные мероприятия с привлечением
ответственного лица, либо службы безопасности.
Достоинства данного подхода очевидны. Все пользователи могут рабо­тать с открытым виртуальным каналом связи, причем каждый в рамках
своих полномочий, задаваемых иерархической меткой безопасности. При
этом в полном объеме выполняются исходные требования мандатного механизма управления доступом к файловым объектам.
Подключение защищаемого компьютера к сети Intranet
Допустим теперь, что защищаемый компьютер требуется подключить к сети Intranet (корпоративный виртуальный канал связи). При этом, как и в предыдущей задаче, на компьютере осуществляется обработка инфор­мации различных уровней конфиденциальности.
Пусть в системе обрабатывается следующая информация: * секретная;
« конфиденциальная;
« служебная; открытая.
Соответственно, введем 4 иерархические метки безопасности для дан­ных- Ml, М2, МЗ, М4.
Пусть доступ к информации имеют четыре пользователя, которым, в соответствии с их допуском к информации также назначим метки безо­пасности — Ml, М2, МЗ, М4.
Подключим компьютер к сети Intranet. Т.к. при этом создается корпора­тивный виртуальный канал связи, то по нему следует разрешить переда­чу только служебной и открытой информации. При этом доступ к вир­туальному каналу не должен иметь пользователь, допущенный к открытой
информации, т.е. пользователь с меткой М4.
Для создания служебного виртуального канала может применяться фильтра­ция доступа к сети (по IP адресам и TCP портам). Соответствующий процесс должен обеспечивать защиту передаваемой по каналу связи информации криптографическими методами.
Используя классический мандатный механизм управления доступом, орга­низовать доступ к служебному виртуальному каналу можно только сле­дующим образом — разрешить запускать процесс (сетевую службу) толь­ко пользователю с меткой МЗ. Таким образом, взаимодействовать с сетью
будет разрешено только пользователю, имеющему полный доступ к слу­жебной информации и не имеющему доступа к информации иных уров­ней. В противном случае в открытый виртуальный канал могут попасть данные, не предназначенные для передачи по нему.
Недостаток данного решения заключается в том, что пользователи с мет­ками Ml, М2, М4 будут отключены от сети Intranet. К тому же по слу­жебному каналу не может передаваться открытая информация.
Теперь рассмотрим возможности, которые можно реализовать назначая
метки процессам. При этом процесс с меткой будет обслуживаться эксклю­зивно, то есть без учета прав доступа пользователей (меток безопасности).
Назначим метки безопасности пользователям и данным так же, как пред­ставлено выше. Присвоим процессу (сетевой службе) Intranet метку бе­зопасности МЗ, соответствующую метке служебных данных. Далее назна­чим исполняемому файлу соответствующей сетевой службы метку МЗ. Тем самым мы обеспечим, чтобы пользователи М1...МЗ имели возможность запустить данный процесс, а пользователь М4 нет.
Получаем:
» запустить процесс доступа к сети Intranet может любой пользователь, имеющий доступ не ниже, чем к служебной информации - обладаю­щие метками М1...МЗ;
* запущенный процесс имеет права вне прав пользователей, т.е. этот
процесс имеет полный доступ к служебным данным, доступ «на чте­ние» к открытым данным и не имеет доступа к иным данным на компьютере;
любой пользователь с уровнем доступа не ниже доступа к служебным данным имеет доступ к сети Intranet. При этом в сеть могут выдавать­ся как служебные, так и открытые данные (процесс с меткой МЗ
может «читать» данные с метками МЗ и М4). Любые данные, получа­емые из сети, могут записываться только в объекты, предназначен­ные для служебных данных (процесс с меткой МЗ может «записы­вать» данные только в объекты с меткой МЗ), что предотвращает доступ к этим данным пользователя с меткой М4; » механизм управления доступом обеспечивает следующие разграни­чения для пользователей с учетом их меток безопасности. Пользова­тель с меткой М4 (допущенный к открытым данным) не может выдавать в сеть и читать из сети информацию. Пользователь с мет­кой МЗ (допущенный к служебным данным) может выдавать в сеть
и читать из сети информацию. Остальные пользователи (с меньшей меткой) могут только читать данные из сети, т.к. они
имеют доступ к объекту, в который процесс с меткой МЗ может
записать данные, только «на чтение». Для отправки данных пользо­вателем с меньшей меткой должны быть реализованы организаци­онные мероприятия.
Пример практического использования:
« все пользователи, кроме пользователя с меткой М4, имеют возмож­ность работы с Web-сервисами и иными службами сети Intranet, пред­полагающими получение информации из сети. Информация сохраня­ется в объекта (каталоге) с меткой МЗ, из которого любой пользователь с меньшей меткой по правилам мандатного разграничения может его скопировать в собственный файловый объект, либо в его объект дан­ную информацию может записать (дополнить) пользователь с меткой МЗ. С электронной почтой все пользователи с меткой больше МЗ могут работать только на прием сообщений из сети;
» только пользователь с меткой получает право на отправку элек­тронных почтовых сообщений, что определяется меткой виртуаль­ного канала;
* для отправки сообщений пользователями с меньшей, чем МЗ, меткой
(что возможно только через пользователя с меткой МЗ, и не может быть осуществлено автоматически — не позволит мандатный меха­низм управления доступа пользователей к файловым объектам) долж­ны быть реализованы организационные мероприятия с привлечением
ответственного лица либо службы безопасности.
Таким образом все пользователи, имеющие допуск не ниже, чем допуск
к служебной информации, могут работать со служебным виртуальным
каналом связи, каждый в рамках своих полномочий, задаваемых иерар­хической меткой безопасности. При этом в полном объеме выполняют­ся исходные требования мандатного механизма управления доступом к
файловым объектам.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика