Принудительное разграничение доступа

Автор: Администратор
Дата публикации: 28 июля 2012 года
Раздел: Защита от взлома

При принудительном разграничении доступа компьютерные ресурсы разделяются на группы в соответствии с уровнями секретности и категориями информации, к которым они относятся. В качестве уровней секретности могут быть выделены следующие:

  • «несекретно»;
  • «для служебного использования»;
  • «секретно»;
  • «совершенно секретно».

Категории образуют неупорядоченный набор. Их назначение - описать предметную область, к которой относятся данные. В военной области каждая категория может соответствовать определенному виду вооружений. Например, все тактико-технические данные о средствах вооружения могут быть разделены по типам этих средств - данные о наземных, морских, а также воздушных средствах вооружения. Механизм категорий позволяет разделить информацию по видам, что способствует лучшей защищенности.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта, называемая еще мандатом, описывает его благонадежность и задает:

  • максимальный уровень секретности информации, доступ к которой ему разрешен;
  • категории информации, к которой он допущен.

Метка объекта определяет степень закрытости и категории содержащейся в нем информации.

Принудительное разграничение доступа к компьютерным ресурсам основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд, подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

Таким образом, при принудительном управлении доступом всем программам компьютерной системы запрещается выполнение следующих действий:

  • переписывание информации из областей памяти с более высоким уровнем секретности в области памяти с более низким;
  • переписывание данных из областей памяти, соответствующих одной категории, в области памяти, соответствующие другой.

Здесь в качестве области памяти может выступать как область внешней, так и оперативной памяти. Под областью внешней памяти понимается логический диск, каталог, файл или элемент базы данных, которому присвоен один уровень секретности или одна категория. Под областью же оперативной памяти - загруженный в оперативную память файл или элемент базы данных, соответствующий одному уровню секретности или одной категории.

Метку субъекта называют еще мандатом, и говорят, что доступ к объекту разрешается только при наличии у субъекта соответствующего мандата. Поэтому принудительное разграничение доступа называют также мандатным разграничением.

Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично, при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная система могла ее протрактовать, не смотря на возможные различия в уровнях секретности и наборе категорий.

Метки безопасности, ассоциируемые с субъектами, более подвижны, чем метки объектов. Субъект может в течение сеанса работы с системой изменять свою метку, естественно, не выходя за предопределенные для него рамки. Иными словами, он может сознательно занижать свой уровень благонадежности, чтобы уменьшить вероятность непреднамеренной ошибки. Вообще, принцип минимизации привилегий - весьма разумное средство защиты.

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение "разрешить доступ к объекту X еще и для пользователя Y". Конечно, можно изменить метку безопасности пользователя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42