Наши друзья
|
Реализация мандатного механизма разграничения доступа к ресурсам сети
Под реализацией мандатного доступа к ресурсам сети следует понимать мандатное управление доступом к виртуальному каналу. В качестве такого канала здесь понимается сетевая служба, определяющая информационную технологию. Примерами могут служить: служба открытой почты, служба конфиденциальной почты, служба обработки SQL запросов и т.д.
Управление доступом к виртуальным каналам на практических примерах подробно было описано в п. 14.7.3. Однако позволим себе еще раз, с общей точки зрения, рассмотреть этот подход.
Итак, в рамках этого подхода учитываются метки безопасности сетевых служб (процесса), а не пользователей. Метка для процесса устанавливается (помечается сетевая служба) в настройках механизма мандатного управления доступом. Если для процесса не указана метка безопасности, для него доступ разграничивается с учетом меток пользователей.
В соответствии с указанной меткой помеченный процесс может обращаться к объектам файловой системы и к устройствам, что реализуется мандатным механизмом управления доступом к файловым объектам. Механизмом управления доступом к сети заносятся дополнительные дискреционные разграничения для помеченной службы, в частности, с какими компьютерами разрешено взаимодействие и т.д. Пример мандатного разграничения доступа к внешней сети представлен в табл. 15.1.
Пример мандатного разграничения доступа к внешней сети Таблица 15.1
Метка безопасности |
Субъекты доступа |
Объекты доступа |
1 |
|
|
|
|
|
N-1 |
Процесс (программа) конфиденциальной почтовой службы |
|
N |
Процесс (программа) открытой почтовой службы |
|
При данных настройках мандатного доступа к объектам файловой системы метки безопасности назначаются процессам:
» метка N -1 -- процессу конфиденциальной почтовой службы; « метка N — процессу открытой почтовой службы.
Данные настройки реализуют следующую возможность взаимодействия в
рамках помеченной сетевой службы (информационной технологии). Любым пользователем по защищенному почтовому каналу (конфиденциальная почтовая служба) могут передаваться объекты, которым сопоставлены метки N-1 и N. То есть только эти объекты служба сможет читать из файловой системы.
Данные с меньшей, чем N-1 меткой (например, секретные данные), по
конфиденциальному каналу пользователи передать не могут. Соответственно, любое получаемое по защищенной почте сообщение любой пользователь сможет записать только в объект (например, каталог), которому сопоставлена метка N—1, то есть не может записать конфиденциальные
данные, полученные по почте в объект с большей меткой.
Любым пользователем по открытому почтовому каналу могут передаваться только объекты, которым сопоставлена метка N (только эти объекты служба сможет читать из файловой системы). Соответственно, любое получаемое по открытой почте сообщение любой пользователь сможет записать только в объект (например, каталог), которому сопоставлена метка N. Таким образом, реализуется мандатный доступ к виртуальному каналу сети.
В дополнение можно установить пароль ответственного лица на запуск сетевой службы (этот вопрос рассматривался ранее). При этом можно сделать так, чтобы доступ к сети (например, к Интернету) мог состояться только в присутствии или под непосредственным контролем ответственно лица. В качестве такового может выступать, например, начальник подразделения. Кроме того, дискреционным механизмом можно дополнительно задать с какими хостами (по их IP-адресам) может устанавливаться помечаемый
виртуальный канал (может взаимодействовать соответствующая служба), в
какие интервалы времени может осуществляться взаимодействие и т.д.
С учетом появления скрытого канала взаимодействия субъектов — канала связи, по которому передаются данные между рабочими станциями и серверами, в дополнение здесь целесообразно реализовать шифрование
трафика в виртуальном канале ЛВС. Подобные функции реализуют ряд
добавочных средств защиты, в частности, система Vip Net.
Схема обработки запроса и функциональная схема использования диспетчера доступа к сетевым ресурсам
2 приведена схема механизма виртуальной сегментации канала, реализуемой диспетчерами доступа, установленными на защищаемые объекты (рабочие станции и серверы ЛВС), а 3 — схема обработки запроса доступа к объекту — сетевому ресурсу.
На схеме, представленной 2, использованы следующие обозначения — ЛВС содержит L рабочих станций 1, связной ресурс 2 (канал связи, объединяющий хосты, сервер доступа к сети Internet 3, а в каждой рабочей станции и сервере — диспетчер доступа, реализующий разграничения прав доступа 4, Т информационных серверов 5.
На схеме, представленной 3, использованы следующие обозначения - D блоков приложений 4.1, блок авторизации пользователя 4.2, блок шифрования входных данных 4.3, блок обработки системных вызовов 4.4, блок управления 4.5, блок хранения выходных параметров доступа 4.6, блок хранения входных параметров доступа 4.7, R схем сравнения выходных параметров доступа 4.8, блок шифрования выходных данных 4.9, блок хранения ключей шифрования 4.10, R схем сравнения входных параметров доступа пользователей 4.11, блок сетевого драйвера 4.12, Q входов параметров доступа 4.13, вход авторизации пользователя 4.14, сетевой вход-выход 4.15.
Рассмотрим работу схемы. Входной канал разграничения прав доступа реализуется следующим образом. При поступлении сообщения в блок 4.12 оно переводится в блок 4.4, где выделяются S внутренних параметров доступа (IP адрес, № TCP порта - сетевая служба и т.д.). Затем эти параметры подаются в блок 4.11, где сравниваются с правами получения информации, заданными для пользователя (его идентификатор в блок 4.11 попадает с блока 4.2). Установленные права для пользователей, заведенных в системе, хранятся в блоке 4.7 и выбираются по идентификатору пользователя. Кроме того, в блок 4.11 со входа 4.13 поступают внешние параметры доступа — день недели, время и т.д. Регламентированные их значения для каждого пользователя также хранятся в блоке 4.7.
Результаты сравнения запрашиваемых и установленных прав поступают в блок 4.5, который либо разрешает передать сообщение в соответствующий блок приложений 4.1, либо формирует отказ от этого.
Разграничение доступа на уровне пользователей в выходном канале реализуется следующим образом. В блоке 4.6 хранятся внутренние параметры доступа (IP-адреса, № TCP-порта - сетевая служба и т.д.) для каждого пользователя. При этом диспетчер содержит L таблиц разграничения прав доступа, где L — число зарегистрированных на рабочей станции пользователей. Имя пользователя, находящегося в системе поступает в блок 4.6 из блока 4.2. Для авторизованного пользователя в блоке 4.8 выбирается своя таблица доступа, в соответствии с которой (ее параметры выдаются в блок 4.8) и осуществляется разграничение прав доступа. В остальном выходной канал разграничения доступа реализуется аналогично входному каналу.
Шифрование передаваемых данных в рамках отдельной подсети реализуется следующим образом. Выходное сообщение из блока 4.4 в блок 4.12 поступает через блок 4.9. Аналогично входное сообщение из блока 4.4 в блок 4.11 поступает через блок 4.3, т.е. через блоки шифрования (расшифровки). Для каждого IP-адреса при приеме и передаче сообщений используется ключ шифрования, хранящийся в блоке 4.10. Этот ключ может быть один на всю подсеть, выделяя эту подсеть по шифрованию данных на едином сетевом пространстве. IP-адрес сообщения (выдаваемого или принимаемого) поступает в блок 4.10 из блока 4.4, где по этому адресу выбирается ключ шифрования. Затем этот ключ передается либо в блок 4.9 при выдаче сообщения, либо в блок 4.3 при приеме сообщения. Соответственно, в блок 4.12 поступает сообщение, зашифрованное данным ключом, либо в блок 4.11 сообщение, расшифрованное выбранным по IP-адресу ключом.
Всеми действиями по осуществлению доступа управляет блок 4.5. В общем
случае в блоке 4.10 хранится и собственно IP-адрес компьютера, на котором установлена система. Это необходимо для того, чтобы осуществить возможность присутствия одного компьютера сразу в нескольких подсетях, для которых ключи шифрования различны. Для однозначного выбора ключа
шифрования в этом случае необходимо знание двух параметров — собственного IP-адреса и IP-адреса, с которым осуществляется взаимодействие. |