Реализация мандатного механизма разграничения доступа к ресурсам сети

Под реализацией мандатного доступа к ресурсам сети следует понимать мандатное управление доступом к виртуальному каналу. В качестве тако­го канала здесь понимается сетевая служба, определяющая информацион­ную технологию. Примерами могут служить: служба открытой почты, служ­ба конфиденциальной почты, служба обработки SQL запросов и т.д.
Управление доступом к виртуальным каналам на практических приме­рах подробно было описано в п. 14.7.3. Однако позволим себе еще раз, с общей точки зрения, рассмотреть этот подход.
Итак, в рамках этого подхода учитываются метки безопасности сетевых служб (процесса), а не пользователей. Метка для процесса устанавливает­ся (помечается сетевая служба) в настройках механизма мандатного управ­ления доступом. Если для процесса не указана метка безопасности, для него доступ разграничивается с учетом меток пользователей.
В соответствии с указанной меткой помеченный процесс может обращать­ся к объектам файловой системы и к устройствам, что реализуется ман­датным механизмом управления доступом к файловым объектам. Меха­низмом управления доступом к сети заносятся дополнительные дискреционные разграничения для помеченной службы, в частности, с какими компьютерами разрешено взаимодействие и т.д. Пример мандат­ного разграничения доступа к внешней сети представлен в табл. 15.1.
Пример мандатного разграничения доступа к внешней сети Таблица 15.1

При данных настройках мандатного доступа к объектам файловой сис­темы метки безопасности назначаются процессам:
» метка N -1 -- процессу конфиденциальной почтовой службы; « метка N — процессу открытой почтовой службы.
Данные настройки реализуют следующую возможность взаимодействия в
рамках помеченной сетевой службы (информационной технологии). Лю­бым пользователем по защищенному почтовому каналу (конфиденциаль­ная почтовая служба) могут передаваться объекты, которым сопоставлены метки N-1 и N. То есть только эти объекты служба сможет читать из фай­ловой системы.
Данные с меньшей, чем N-1 меткой (например, секретные данные), по
конфиденциальному каналу пользователи передать не могут. Соответствен­но, любое получаемое по защищенной почте сообщение любой пользова­тель сможет записать только в объект (например, каталог), которому со­поставлена метка N—1, то есть не может записать конфиденциальные
данные, полученные по почте в объект с большей меткой.
Любым пользователем по открытому почтовому каналу могут передаваться только объекты, которым сопоставлена метка N (только эти объекты служба сможет читать из файловой системы). Соответственно, любое получаемое по открытой почте сообщение любой пользователь сможет записать только в объект (например, каталог), которому сопоставлена метка N. Таким образом, реализуется мандатный доступ к виртуальному каналу сети.
В дополнение можно установить пароль ответственного лица на запуск се­тевой службы (этот вопрос рассматривался ранее). При этом можно сделать так, чтобы доступ к сети (например, к Интернету) мог состояться только в присутствии или под непосредственным контролем ответственно лица. В качестве такового может выступать, например, начальник подразделения. Кроме того, дискреционным механизмом можно дополнительно задать с какими хостами (по их IP-адресам) может устанавливаться помечаемый
виртуальный канал (может взаимодействовать соответствующая служба), в
какие интервалы времени может осуществляться взаимодействие и т.д.
С учетом появления скрытого канала взаимодействия субъектов — кана­ла связи, по которому передаются данные между рабочими станциями и серверами, в дополнение здесь целесообразно реализовать шифрование
трафика в виртуальном канале ЛВС. Подобные функции реализуют ряд
добавочных средств защиты, в частности, система Vip Net.
Схема обработки запроса и функциональная схема использования диспетчера доступа к сетевым ресурсам
2 приведена схема механизма виртуальной сегментации кана­ла, реализуемой диспетчерами доступа, установленными на защищаемые объекты (рабочие станции и серверы ЛВС), а 3 — схема обра­ботки запроса доступа к объекту — сетевому ресурсу.
На схеме, представленной 2, использованы следующие обо­значения — ЛВС содержит L рабочих станций 1, связной ресурс 2 (ка­нал связи, объединяющий хосты, сервер доступа к сети Internet 3, а в каждой рабочей станции и сервере — диспетчер доступа, реализующий разграничения прав доступа 4, Т информационных серверов 5.
На схеме, представленной 3, использованы следующие обо­значения - D блоков приложений 4.1, блок авторизации пользователя 4.2, блок шифрования входных данных 4.3, блок обработки системных вызовов 4.4, блок управления 4.5, блок хранения выходных параметров доступа 4.6, блок хранения входных параметров доступа 4.7, R схем срав­нения выходных параметров доступа 4.8, блок шифрования выходных данных 4.9, блок хранения ключей шифрования 4.10, R схем сравнения входных параметров доступа пользователей 4.11, блок сетевого драйвера 4.12, Q входов параметров доступа 4.13, вход авторизации пользователя 4.14, сетевой вход-выход 4.15.
Рассмотрим работу схемы. Входной канал разграничения прав доступа реализуется следующим образом. При поступлении сообщения в блок 4.12 оно переводится в блок 4.4, где выделяются S внутренних параметров до­ступа (IP адрес, № TCP порта - сетевая служба и т.д.). Затем эти пара­метры подаются в блок 4.11, где сравниваются с правами получения ин­формации, заданными для пользователя (его идентификатор в блок 4.11 попадает с блока 4.2). Установленные права для пользователей, заведен­ных в системе, хранятся в блоке 4.7 и выбираются по идентификатору пользователя. Кроме того, в блок 4.11 со входа 4.13 поступают внешние параметры доступа — день недели, время и т.д. Регламентированные их значения для каждого пользователя также хранятся в блоке 4.7.
Результаты сравнения запрашиваемых и установленных прав поступают в блок 4.5, который либо разрешает передать сообщение в соответствующий блок приложений 4.1, либо формирует отказ от этого.
Разграничение доступа на уровне пользователей в выходном канале реали­зуется следующим образом. В блоке 4.6 хранятся внутренние параметры доступа (IP-адреса, № TCP-порта - сетевая служба и т.д.) для каждого пользователя. При этом диспетчер содержит L таблиц разграничения прав доступа, где L — число зарегистрированных на рабочей станции пользова­телей. Имя пользователя, находящегося в системе поступает в блок 4.6 из блока 4.2. Для авторизованного пользователя в блоке 4.8 выбирается своя таблица доступа, в соответствии с которой (ее параметры выдаются в блок 4.8) и осуществляется разграничение прав доступа. В остальном выходной канал разграничения доступа реализуется аналогично входному каналу.
Шифрование передаваемых данных в рамках отдельной подсети реализует­ся следующим образом. Выходное сообщение из блока 4.4 в блок 4.12 по­ступает через блок 4.9. Аналогично входное сообщение из блока 4.4 в блок 4.11 поступает через блок 4.3, т.е. через блоки шифрования (расшифровки). Для каждого IP-адреса при приеме и передаче сообщений используется ключ шифрования, хранящийся в блоке 4.10. Этот ключ может быть один на всю подсеть, выделяя эту подсеть по шифрованию данных на едином сетевом пространстве. IP-адрес сообщения (выдаваемого или принимаемого) посту­пает в блок 4.10 из блока 4.4, где по этому адресу выбирается ключ шифро­вания. Затем этот ключ передается либо в блок 4.9 при выдаче сообщения, либо в блок 4.3 при приеме сообщения. Соответственно, в блок 4.12 посту­пает сообщение, зашифрованное данным ключом, либо в блок 4.11 сооб­щение, расшифрованное выбранным по IP-адресу ключом.
Всеми действиями по осуществлению доступа управляет блок 4.5. В общем
случае в блоке 4.10 хранится и собственно IP-адрес компьютера, на кото­ром установлена система. Это необходимо для того, чтобы осуществить воз­можность присутствия одного компьютера сразу в нескольких подсетях, для которых ключи шифрования различны. Для однозначного выбора ключа
шифрования в этом случае необходимо знание двух параметров — собствен­ного IP-адреса и IP-адреса, с которым осуществляется взаимодействие.