Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Национальный исследовательский ядерный университет (МИФИ)

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

6. Управление доступом.doc

Скачиваний:

Добавлен:

01.05.2025

Размер:

429.06 Кб

Скачать

☆

1 / 51 2 3 4 5 > Следующая >>>

Методы реализации контроля и разграничения доступа

Общая характеристика функции контроля и разграничения доступа

Функции «контроль доступа» и «контроль действий» при реализации в системах защиты информации от НСД интегрируются в единую функцию контроля и разграничения доступа к информационным и техническим ресурсам АС.

Контроль и разграничение доступа осуществляется с помощью «монитора обращений» или «сервиса авторизации», обслуживающих запросы к данным, техническим средствам, программам со стороны пользователей (или запросы со стороны элементов системы, принимающих статус активного объекта, то есть субъекта).

Принятие решений по запросу осуществляется в соответствии с установленными для субъектов правами доступа и полномочиями для выполнения действий.

Монитор обращений – это функциональный компонент системы защиты информации от НСД. В различных приложениях (системных или прикладных сервисных) он может быть реализован по-своему с помощью программного комплекса или аппаратно-программного модуля.

Правила (политика) разграничения доступа

Объекты

Файлы

Регистры

Задания

Процессы

Программы

Устройства

Память

Субъекты

Пользователи

Администраторы

Программы

Процессы

Терминалы

Порты

Узлы сети

Монитор обращений

Информационная база

Права доступа

Полномочия действий

Модель доступа

Логическая схема работы монитора обращений

Практическое создание монитора обращений предполагает разработку конкретных ПРД, которые являются политикой разграничения доступа, а также принятие модели реализации политики разграничения доступа, называемой моделью защиты информации от НСД.

Исторически модели защиты информации возникли из работ по теории защиты операционных систем (ОС). Первая попытка использования такой модели была предпринята при разработке защищенной ОС ADEPT-50 по заказу министерства обороны США. Поведение этой модели описывается следующими простыми правилами [7]:

а) пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей;

б) пользователю разрешен доступ к терминалу, если он входит в подмножество пользователей, закрепленных за данным терминалом;

в) пользователю разрешен доступ к файлу, если: уровень доступа пользователя не ниже уровня конфиденциальности файла; прикладная область файла включается в прикладную область задания пользователя; режим доступа задания пользователя включает режим доступа к файлу; пользователь входит в подмножество допущенных к файлу пользователей.

Одна из первых фундаментальных моделей защиты была разработана Лэмпсоном и затем усовершенствована Грэхемом и Деннингом [3.16]. Основу их модели составляет матрица (таблица) доступа A, в которой столбцы O₁,O₂,...,O_n представляют объекты доступа, а строки S₁,S₂,...,S_m – субъекты доступа. Элемент таблицы A [S_i,O_j] содержит список видов доступа T₁,T₂,...,T_k, который определяет привилегии субъекта S_i по отношению к объекту O_j.

Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом, выполняемым, как в нашем случае, монитором обращений. Таким образом, субъект S_i получит инициируемый им доступ T_k к объекту O_j только в случае, если в элемент матрицы A [S_i,O_j] включено значение T_k.

Рассмотренные модели относятся к классу матричных моделей. Они получили широкое распространение вследствие того, что обеспечивают не только логический анализ функционирования системы, но и успешно поддаются реализации в конкретных программах. Так как программы в этих моделях могут выступать в правилах доступа в качестве субъектов, то они имеют возможность, при необходимости, расширять права конкретных пользователей. Например, программа может иметь права на сортировку файла, чтение которого пользователю запрещено.

В аналогичной модели Хартсона и Сяо [3.8] каждое правило может иметь расширение, которое определяет права программ. В других случаях может потребоваться сужение прав пользователей правами используемых ими программ. В то же время программы могут выступать и в качестве объектов доступа, типичными операциями для которых являются исполнение (Execute) и использование (Use).

Другим классом моделей являются многоуровневые модели. Они отличаются от матричных моделей несколькими аспектами. Во-первых, данные модели рассматривают управление доступом не в рамках задаваемых неким администратором прав, а в рамках построения всей системы таким образом, чтобы данные одной категории или области не были доступны пользователям другой категории. Во-вторых, многоуровневые модели рассматривают не только сам факт доступа к информации, но также и потоки информации внутри системы.

Наибольшее распространение из подобных моделей получила многоуровневая модель защиты Бэлла - Ла Падула [3.14, 3.15]. Основой этой модели являются понятия уровня конфиденциальности (формы допуска) и категории (предметная область) субъекта и объекта доступа. На основании присвоенных каждому субъекту и объекту доступа конкретных уровней и категорий в модели определяются их уровни безопасности, а затем устанавливается их взаимодействие. При этом в модели принимается, что один уровень безопасности доминирует над другим тогда и только тогда, когда соответствующий ему уровень конфиденциальности больше или равен уровню конфиденциальности другого, а множество категорий включает соответствующее множество другого. Уровни конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы. Например, на рисунке 3.4 уровень безопасности L₁ доминирует над уровнем L₃, так как его уровень конфиденциальности выше, а множество категорий включает множество категорий уровня L₃. С другой стороны, уровни безопасности L₁ и L₂ являются несравнимыми.

Доступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступа определяются следующими возможными сочетаниями этих операций:

ни чтение, ни изменение;

только чтение;

только изменение;

и чтение, и изменение.

Рис.3.4. Взаимодействие уровней безопасности

Главная цель модели состоит в том, чтобы предотвратить потоки информации из объектов более высокого уровня безопасности в объекты более низкого уровня. Данная цель реализуется выполнением следующих правил:

если субъект доступа формирует запрос на чтение, то уровень безопасности субъекта должен доминировать над уровнем безопасности объекта;
если формируется запрос на изменение, то уровень безопасности объекта должен доминировать над уровнем безопасности субъекта;
если формируется запрос на чтение-запись, то уровни безопасности субъекта и объекта должны быть равны друг другу;
если уровни безопасности субъекта и объекта доступа несравнимы, то никакие запросы субъекта не выполняются.

Подводя итог рассмотрению двух классов моделей защиты информации, отметим, что преимущество матричных моделей состоит в том, что они обеспечивают легкость представления широкого спектра правил контроля и разграничения доступа. Основной же недостаток этих моделей состоит в отсутствии контроля потоков информации. Со своей стороны, главным недостатком многоуровневых моделей является невозможность управления доступом к конкретным объектам на основе учета индивидуальных особенностей каждого из субъектов. Следовательно, оба подхода как бы предполагают поиск различных компромиссов между эффективностью, гибкостью и безопасностью. Очевидно, что оптимальное решение вопросов безопасности должно вырабатываться с применением обоих видов моделей защиты.

Способы контроля и управления доступом

В результате обобщения моделей защиты информации от НСД сформированы два базовых способа контроля и управления доступом, которые нашли своё отражение в Руководящих документах ВСТЭК России.

Дискреционное управление доступом – разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Передача прав доступа к объектам между субъектами производится при дискреционном (произвольном по усмотрению) способе управления доступом в соответствии с правами доступа субъектов к объектам на основании правил, определённых конкретной дискреционной моделью.

Для описания дискреционного управления доступом используются матричные модели, которые специфицируют права доступа субъекта по отношению к каждому объекту. Целью управления является обеспечение авторизации только тех операций с правами доступа, которые определены в матрице доступа.

В реальных сложных системах обработки данных матрица доступа может иметь достаточно большой размер, но, при этом, большинство её клеток, являющихся пересечением строк и столбцов (субъектов и объектов доступа), остаются пустыми. Поэтому в системе она может храниться в более компактной форме.

Возможно хранение матрицы по строкам. В этом случае для каждого авторизуемого в системе субъекта подготавливается список объектов, к которым он имеет право доступа. Причём права доступа включают в себя и его полномочия на выполнение определённых действий по отношению к объекту доступа.

Такой вид хранения матрицы использовался на начальном этапе внедрения дискреционного способа управления доступом в операционных системах 70-х годов и не нашёл своего дальнейшего коммерческого развития.

При хранении матрицы по столбцам объекты доступа связываются с правами доступа субъектов к ним.

При реализации такого представления матрицы доступа возможно применение парольных систем, когда пользователь использует отдельные пароли для доступа и реализации своих полномочий на действия с каждым объектом.

Такая реализация была осуществлена в операционной системе IBM MVS, но данный способ реализации оказался неудобным и недостаточно надёжным по ряду технологических и специальных причин.

Возможно создание каждому объекту доступа списка допущенных к нему субъектов, для каждого из которых указываются его полномочия действий по отношению к данному объекту (так называемая технология Access Control List – ACL). Её основные недостатки в больших временных затратах на обработку списков, несмотря на использование дополнительных приёмов оптимизации: группирования, умолчания, создания шаблонов и других методов.

Следующий метод реализации управления доступом, ассоциированный с хранением матрицы доступа по столбцам, применён в технологии защиты от НСД операционных систем UNIX, где используются так называемые биты доступа для субъекта доступа, соотносимого с объектом доступа. Биты доступа назначаются на каждый объект доступа для каждого вида полномочий субъекта (чтение, запись, выполнение) в рамках статуса этого субъекта по отношению к объекту доступа (владелец объекта, члены группы владельца, все пользователи). Схема назначения битов для объекта показана в виде таблицы на рисунке 3.5.

Владелец			Группа			Все пользователи
Чтение	Запись	Выполне- ние	Чтение	Запись	Выполне- ние	Чтение	Запись	Выполне-ние
БИТ	БИТ	БИТ	БИТ	БИТ	БИТ	БИТ	БИТ	БИТ
1	2	3	4	5	6	7	8	9

Рис.3.5. Схема назначения битов доступа в ОС UNIX

Достоинством и одновременно недостатком (в зависимости от политики разграничения доступа) использования битов доступа является неполная реализация произвольного по усмотрению контроля доступа, так как доступ к объекту нельзя разрешить или запретить для отдельных пользователей.

Фундаментальным недостатком дискреционного управления доступа является отсутствие возможности контроля потоков информации между субъектами и объектами, следовательно, появляется возможность применения так называемых «троянских программ», позволяющих скрытно нарушать политику разграничения доступа.

Мандатное управление доступом - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации с соответствующей меткой уровня конфиденциальности.

В мандатных схемах управления доступом защитный механизм объекта реагирует на некоторый мандат, и субъект должен иметь набор мандатов для доступа ко всем необходимым ему объектам.

Классической моделью мандатного (нормативного) управления доступа является выше рассмотренная модель Бэлла - Ла Падула, в которой в качестве метки конфиденциальности принимается иерархический атрибут – уровень секретности информации, а официальное разрешение связано с уровнем безопасности субъекта и объекта, то есть категорией предметной области.

В общем случае метка конфиденциальности ассоциирует с сущностью компьютерной системы для обозначения степени её критичности в части информационной безопасности, с оценкой ценности или важности по определённому критерию информационных ресурсов.

Уровень безопасности – это практически степень доверия, то есть атрибут, определяющий уровень секретности субъекта, который позволяет ему быть допущенным к любой информации меньшего уровня секретности.

Механизмы контроля и разграничения доступа

Разнообразие логических механизмов контроля и разграничения доступа к информации и техническим ресурсам АС, которые можно реализовать в программной или аппаратно-программной среде, весьма велико. Они отличаются в способах задания прав доступа и их проверки с целью авторизации процесса доступа. Рассмотрим некоторые из них.

1 / 51 2 3 4 5 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
12.11.20185.79 Mб101513612_61143_borisenko_s_i_fizika_poluprovodnik....doc
#
26.09.20191.12 Mб45565495_D42AF_gramagin_e_a_teoriya_avtomatichesk...doc
#
01.05.20251.96 Mб05ballov-100022.rtf
#
01.05.2025208.78 Кб05ballov-99763.rtf
#
26.09.201942.86 Кб26 7 10 11.docx
#
01.05.2025429.06 Кб06. Управление доступом.doc
#
01.05.202532.9 Кб06.12.docx
#
21.07.2019304.87 Кб106206.rtf
#
24.11.20185.64 Mб93625459_749F4_bondarev_p_v_izmaylov_a_v_pogozhin....doc
#
01.05.2025203.26 Кб063 методичка ВКР_2013.doc
#
01.05.2025119.81 Кб063 методичка по преддипломной практ.2013.doc