Использование абстрактных моделей управления доступом

Автор: Администратор
Дата публикации: 28 июня 2012 года
Раздел: Защита от взлома

Тема логического управления доступом - одна из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта, а тем более видов доступа, меняется от сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение, иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам - так называемое право владения. Процессы можно создавать и уничтожать. Современные ОС могут поддерживать и другие объекты, например в Solaris имеются отображения со своими видами доступа.

Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа. И список этот можно продолжать до бесконечности.

Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту конкретную операцию. Теоретически это согласуется с современными объектно-ориентированными воззрениями, на практике же приводит к значительным трудностям. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов. Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой. В результате при задании матрицы доступа нужно принимать во внимание не только разумность распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа, как правило, теряется, поскольку на новом сервисе она не имеет смысла. Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

При разработке средств разграничения доступа для сложных и важных компьютерных систем точность в описании компонентов и их взаимосвязей является едва ли не решающим условием достижения высокого уровня защиты. Поэтому для обеспечения надлежащей степени точности применяется строгий аппарат формальной математики, а построение средств разграничения доступа выполняется в следующей последовательности:

  • формальное описание требований по разграничению доступа к компьютерным ресурсам;
  • разработка абстрактной модели управления доступом;
  • математическое доказательство соответствия разработанной абстрактной модели исходным требованиям;
  • формирование спецификаций на разработку средств разграничения доступа, основанных на доказанной абстрактной модели управления доступом;
  • непосредственная разработка средств разграничения доступа.

Основную роль здесь играет так называемая абстрактная модель управления доступом. В англоязычной литературе для обозначения сходного понятия используются термины "security model" (модель безопасности) и "security policy model" (модель политики безопасности). Эта модель определяет правила управления доступом к информации, потоки информации, разрешенные в системе таким образом, чтобы система всегда была безопасной.

Целью модели управления доступом является выражение сути требований по безопасности к данной системе. Для этого модель должна обладать несколькими свойствами:

  • быть адекватной моделируемой системе и неизбыточной;
  • быть простой и абстрактной, и поэтому несложной для понимания.

Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных способов защиты. Так как модель является формальной, возможно осуществить доказательство различных свойств безопасности всей системы.

Моделирование требует значительных усилий и дает хорошие результаты только при наличии времени и ресурсов. Если система уже создана и имеется возможность сделать лишь отдельные изменения в отдельных местах существующей системы, в любом случае маловероятно значительное улучшение состояния безопасности системы и моделирование поэтому будет непродуктивным занятием.

Модель является лишь формулировкой в математических терминах свойств безопасности, которым должна удовлетворять система. Не существует формального способа, с помощью которого можно доказать, что формальная модель управления доступом соответствует правилам управления доступом, принятым в данной системе.

С другой стороны модель может иметь ряд характеристик, назначение которых не столь очевидно. Поскольку модель должна стремиться к математическому совершенству (завершенности и последовательности) в определении свойств, составляющих политику безопасности, это часто влечет за собой включение ограничений или дополнительных свойств, присутствие которых ранее не предусматривалось.

На сегодняшний день создан ряд абстрактных моделей управления доступом, которые можно использовать при разработке систем разграничения доступа. Отдельные из них были положены в основу рассмотренных способов произвольного и принудительного разграничения доступа.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42