На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Диспетчер доступа

Состав диспетчера доступа. Требования к полноте разграничительной политики доступа к ресурсам
Общие положения и принятые обозначения
Как отмечали ранее, диспетчер доступа содержит в своем составе набор механизмов управления доступом к ресурсам защищаемого объекта. Воз­никает проблема построения детальной модели диспетчера доступа в предположении, что корректно реализованы механизмы управления до­ступом, входящие в состав диспетчера.
Очевидно, что полнота модели диспетчера доступа определяется тем, для всех ли субъектов и объектов доступа реализованы разграничения. То есть, присутствуют ли в системе явные каналы несанкционированного взаи­модействия субъектов доступа или нет.
Состав диспетчера доступа может быть определен на основании класси­фикации возможных субъектов и объектов доступа, представленной ранее.
Сформулируем требование к полноте разграничительной политики дос­тупа к ресурсам, реализуемой диспетчером доступа. Реализация данного требования, как отмечалось ранее, необходима, в первую очередь, для корректности мандатного управления доступом к ресурсам и обеспече­ния замкнутости программной среды на защищаемом объекте, т.е. важ­нейших механизмов защиты.
Введем следующие обозначения:
1. Множества субъектов доступа. » Пользователи. Обозначим через Р множество возможных пользовате­лей в системе. Выделим три класса пользователей — возможных эле­ментов множества Р:
Ра.........администратор;
Рп........пользователь, решающий прикладные задачи, соответ­ственно, Рпп — n-й пользователь; Рс..........пользователь «система» — виртуальный пользователь ОС.
» Процессы. Обозначим через Q множество возможных процессов в системе. Выделим четыре класса процессов — возможных элементов множества Q:
Qc.........системные (привилегированные) процессы;
Он.........прикладные процессы;
QCK.....скрытые или неидентифицируемые (процессы виртуаль­ных машин).
2. Множество объектов доступа.
* Файловые объекты данных. Обозначим через F множество возможных файловых объектов данных в системе. Выделим три класса объек­тов — возможных элементов множества F:
Fc.........системные каталоги и файлы, каталоги и файлы настро­ек ОС;
Рп.........пользовательские каталоги и файлы данных, включая
сетевые (в сети Microsoft — разделяемые сетевые ресур­сы по протоколу Net Bios);
Fo..........неразделяемые системой и приложениями для пользо­вателей каталоги и файлы (TEMP и т.д. для ОС семей­ства Windows).
* Файловые объекты программ (исполняемые файлы). Обозначим через S
множество возможных файловых объектов программ. Выделим два
класса объектов — возможных элементов множества S:
Sc.........системные исполняемые файлы привилегированных про­цессов — системных процессов ОС и процессов защиты; Sn........пользовательские исполняемые файлы (исполняемые
файлы пользовательских приложений).
* Установленные в ОС (санкционированные) устройства. Обозначим:
U..........устройства (дисковод, CD-ROM, принтер и т.д.), как
локальные, так и сетевые (разделяемые в сети);
Nu........отчуждаемые физические носители информации для уст­ройств ввода/вывода (дисковод, CD-ROM и т.д.);
Nuf.......файловые объекты (каталоги и файлы) на отчуждаемых
физических носителях информации для устройств вво­да/вывода (дисковод, CD-ROM и т.д.).
« Неустановленные в системе (несанкционированные) устройства ввода/
вывода (коммуникационные порты). Обозначим:
Е...........коммуникационные порты компьютера, к которым мо­гут быть подключены устройства.
Каналы связи (виртуальные) ЛВС. Обозначим:
К..........множество возможных виртуальных каналов ЛВС (оп­ределяются адресами в сети);
Кст........множество возможных сетевых технологий (определяет­ся номерами портов и приложений), обеспечивающих взаимодействие в ЛВС.
3. Множество действий (устанавливаемые разграничения) субъектами доступа над объектами.
Множество действий (устанавливаемые разграничения) субъектами дос­тупа над объектами обозначим через R. При этом выделим следующие категории доступа:
К >.........категория доступа «запись» (установка категории досту­па «запись» означает разрешение полного доступа — запись и чтение, т.к. не имеет смысла разрешать запись,
не разрешая чтение);
Яч.......категория доступа «чтение»;
Яд.......категория доступа «добавление» (установка категории
доступа «добавление» означает разрешение записи с предотвращением возможности затирания и модифика­ции информации, располагаемой в объекте доступа, и запрет чтения);
Rn........категория доступа «исполнение» («запуск»).
R = Яз и Яд и Яи; Яз п Яч = Яч.
Введем также категорию R — любой доступ запрещен. При этом уста­новление категории R подразумевает, что в рамках реализации механиз­ма управления доступом могут применяться комбинации соответствую­щих категорий: Яз, Яч, Яд, Яи.
4. Модель диспетчера доступа.
Обозначим:
» Wn — модель доступа n-го пользователя к объектам (индекс п будем использовать для выделения тех субъектов и тех объектов, на которые устанавливаются разграничения для n-го пользователя, если индекс не установлен     разграничения не устанавливаются);
» для указания действия при доступе к объекту будем использовать запись — [действие][объект], например, RF - - обозначает полный доступ ко всем классам объектов F, R4Fn -- обозначает доступ по чтению к разрешенным для чтения пользователю п объектам F, RnFn - обозначает разграничение по действию над объектами Fn для пользователя п;
» если существуют разграничения А и В, то для указания в модели необходимости задания обоих ограничений одновременно будем ис­пользовать знак (А*В); для указания того, что может использовать­ся любое из ограничений (А или В), используем знак «+» (А+В).
Диспетчер доступа системы защиты в любой момент времени его функцио­нирования предполагает реализацию двух видов разграничения прав доступа:
» прикладное разграничение доступа (разграничение доступа собствен­но для пользователей и прикладных процессов), обозначим модель доступа через Wpn для n-го пользователя;
* системное разграничение доступа (разграничение доступа для сис­темных процессов и процессов системы защиты — привилегирован­ных процессов), соответственно, обозначим модель доступа для него через
Формулировка и доказательство требований к полноте разграничительной политики диспетчера доступа
С учетом сказанного (привилегированные процессы всегда присутству­ют в системе), т.е. для модели Wn имеем:
Wn = Wpn • Wc.
Утверждение. Модель диспетчера доступа функционально полна (коррект­на) в том случае, когда для нее выполняются следующие условия:
1. Для двух любых пользователей системы и п2, решающих при­кладные задачи, доступ ко всем объектам может быть полностью разграничен. При этом модели доступа имеют следующий вид:
Wnl = Wpn 1 • Wn2 = Wpn2 • Wc,
причем выполняется условие: Wpnl    Wpn2 = 0, соответственно:
Wnl n Wn2 =
2. Для всех субъектов и объектов доступа реализованы разграничения, т.е. в системе отсутствуют каналы (включая скрытые) несанкциони­рованного взаимодействия субъектов доступа, что формально мо­жет быть представлено в следующем виде:
Р = Ра    Рп    PC; Pa n Рп n Рс = 0
Q = Qc и Qn и QCK; Qc n On n QCK = 0 F = FH uFnu Fo; FH n Fn n Fo = 0 S = ScuSn; Sc n Sn = 0 Up = U (Nup = Nu, Nufp = Nuf) Ep = E Kp = К (Кстр = Кст), где индекс      у объекта означает, что к нему разграничен доступ. 250
Доказательство утверждения очевидно — при выполнении заданных ус­ловий для всех субъектов и объектов доступа реализованы разграниче­ния, т.е. в системе отсутствуют каналы (включая скрытые) несанкцио­нированного взаимодействия субъектов доступа.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика