На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Разграничение доступа к объекту «ПРОЦЕСС»  (исполняемым файлам)

Особое место среди файловых объектов занимают исполняемые фай­лы (программы), доступ субъектов к которым также может разграни­чиваться. Именно исполняемые файлы изначально порождают про­цессы. Поэтому в качестве разграничения доступа к процессам (как к объектам доступа) прежде всего следует разграничить доступ к испол­няемым файлам.
Исполняемые файлы в общем случае имеют признаки, по которым их всегда можно отличить от файлов данных. Например, для ОС семейства Windows исполняемые файлы по внешним признакам отличаются рас­ширениями (например, .com, .ехе и т.д.). В ОС UNIX отличительным признаком исполняемых файлов может служить их атрибут исполнения. Однако интерпретаторы команд (например, встроенный в ОС процесс CMD.exe) позволяют запускать файлы с иным расширением. Поэтому в общем случае необходимо уметь выделять исполняемые файлы, исходя из их структуры, то есть определять, исходя из внутренних признаков.
Примечание
Здесь будет идти речь об исполняемых файлах прикладных программ. Воп­росы разграничения доступа к системным исполняемым файлам (к привиле­гированным процессам) рассмотрены выше.
Управление доступом к исполняемым файлам реализует разграничение прав доступа субъектов на запуск прикладных программ.
Для разграничения доступа субъектов к исполняемым файлам введем право доступа «И» «исполнение» — чтение исполняемого файла (за­пуск программы), тогда множество прав доступа в общем случае имеет вид {Зп, Чт, Д, И}.
Каноническая модель управления доступом к исполняемым файлам
Используя обозначения, введенные ранее, введем следующее обозна­чение: пусть S = {О, И} — множество прав доступа, где «О» обозначает отсутствие доступа субъекта к объекту, «И» — доступ к исполняемому файлу (разрешение чтения исполняемого файла). Тогда, по аналогии со сказанным ранее, каноническую модель управления доступом к ис­полняемым файлам можно представить матрицей доступа D, имеющей
Модель управления доступом формально может быть описана следующим образом: элемент (Dij) матрицы Dij = И, если i = j, иначе Dij = 0.
Под канонической моделью управления доступом к исполняемым файлам для линейно упорядоченных множеств субъектов доступа (групп субъектов) и объектов доступа (групп объектов) понимается модель, описываемая мат­рицей доступа, элементы главной диагонали которой «*И» задают доступ к исполняемому файлу (разрешение на запуск программы), остальные элемен­ты «О» задают запрет доступа субъектов к исполняемым файлам.
1 Ч Диспетчер доступа реализует механизм управления доступом к исполняе­мым файлам корректно только в том случае, если его настройками (задани­ем учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.
Доказывается утверждение от обратного. Если каноническую модель управления доступом реализовать невозможно — присутствуют элемен­ты «И» вне главной диагонали матрицы доступа, то в системе присут­ствует по крайней мере один объект — программа, доступ к запуску ко­торой невозможно разграничить в полном объеме (объект включается одновременно в несколько групп объектов, априори характеризуемых различными правами доступа к ним).
По аналогии со сказанным ранее, в рассматриваемом случае в канони­ческую модель управления доступом также должны быть включены ка-
налы взаимодействия субъектов доступа. В противном случае, субъекты, имеющие возможность обрабатывать информацию только различными
приложениями, не смогут обменяться информацией.
Таким образом, включение канала взаимодействия субъектов в матрицу дос­тупа означает разрешение запуска субъектами одного и того же приложения.
В матрице доступа D это означает включение группы (групп) объектов,
для которых несколько субъектов будут иметь доступ. Пример такой мат­рицы приведен ниже. При этом в нее введена группа объектов (программ) Ok+l, доступ к которым (запуск которых) разрешен всем субъектам.
По аналогии управления доступом к файлам данных, здесь может быть реализован дискреционный и мандатный механизмы управления. Диск­реционный механизм предполагает реализацию доступа диспетчером на основе заданной матрицы доступа D, а мандатный — на основе меток
безопасности.
Метки безопасности являются элементами линейно упорядоченного мно­жества М = {М1,...,Мк} и задаются субъектам и объектам доступа. Метки безопасности назначаются субъектам и объектам (группам субъектов и объек­тов) и служат для формализованного представления их уровня полномочий.
Как и ранее, будем считать, что чем выше полномочия субъекта и объекта, тем меньшее значение метки безопасности Mi, i = l,...,k им присваивается, т.е.: Ml < М2 < МЗ<...<Мк. При этом в линейно полномочно упорядочен­ных множествах С = {С1,...,Ск} и О = {01,...,Ок} субъекты и объекты рас­полагаются в порядке уменьшения полномочий (уровня безопасности).
1Каноническая  полномочная модель управления доступом к исполняемым файлам
Каноническая полномочная модель управления доступом к исполняемым файлам может быть представлена следующей матрицей доступа D.
Модель управления доступом формально может быть описана следующим образом: элемент матрицы Dij = И, если i <=j, иначе Dij = 0.
Под канонической моделью управления доступом к исполняемым файлам с виртуальными каналами взаимодействия субъектов доступа для линейно
полномочно упорядоченных множеств субъектов (групп субъектов) и
объектов (групп объектов) доступа понимается модель, описываемая мат­рицей доступа, элементы главной диагонали которой и элементы, рас­положенные выше главной диагонали, «И» — задают право доступа «Ис­полнение», остальные элементы матрицы «О» - - запрет запуска исполняемого файла.
Рассмотрим правила разграничения доступа для модели управления дос­тупом к исполняемым файлам. При этом воспользуемся введенными ранее
обозначениями:
» Ms — метка безопасности субъекта (группы субъектов) доступа;
» Мо — метка безопасности объекта (группы объектов) доступа;
» метка безопасности Mi с порядковым номером i устанавливается для
субъекта доступа Ci с порядковым номером i и для объекта доступа
Oi с порядковым номером i.
Правила разграничения доступа для модели управления доступом к ис­полняемым файлам:
1. субъект С имеет доступ к объекту О в режиме «Исполнение» в случае, если выполняется условие: Мс => Мо;
2. субъект С не имеет доступ к объекту О в режиме «Исполнение» в случае, если выполняется условие: Мс < Мо.
1. В схеме управления доступом в качестве отдельного объекта досту-
па следует рассматривать исполняемый файл (процесс). В этом случае должно рассматриваться дополнительное право доступа «ис­полнение». Использование данного объекта позволяет разграничи­вать права доступа для субъектов (в общем случае для пользовате­лей и процессов) по запуску процессов. 2. Условие корректности разграничений для объекта доступа «испол­няемый файл» задаются точно так же (аналогичные канонические
модели), как и для файловых объектов данных, с учетом права
доступа «исполнение».

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика