7.8 Работа в ипс
Запуск каждого процесса PS сопровождается следующими проверками:
а) принадлежит ли объект FS к множеству разрешённых для пользователя i (входит ли в набор потенциально возможных для активизации субъектов Ei), – иначе запуск игнорируется;
б) совпадает ли значение G = H(Ki ,FS) со значением M = H (Ki ,FS), вычисленным администратором, иначе запуск игнорируется.
При таком запуске реализован МЕХАНИЗМ «СТУПЕНЧАТОГО КОНТРОЛЯ», обеспечивающий чтение действительных данных.
ЕСЛИ пользователь i имеет ФИЗИЧЕСКИЙ ДОСТУП К КОМПЛЕКТУ ТЕХНИЧЕСКИХ СРЕДСТВ (рабочему месту) сети Тm, на котором установлена операционная среда OSj, то при использовании комплекта Тm пользователем i происходят действия:
а) аутентификация пользователя i (по его индивидуальной информации);
б) проверка прав пользователя на аппаратные компоненты комплекта Тm;
в)контроль целостности всех объектов базовой ОС, размещённых на некотором носителе, локально или удаленно связанном с Тm;
д) загрузка базовой ОС и контроль целостности ПО сетевого взаимодействия;
е) загрузка шлюзового ПО (становится доступной, как минимум в режиме чтения, файловая структура OSj, размещённая локально на Тm);
ж) контроль целостности объектов уровней, МЕНЬШИХ Rj – максимального уровня представления объектов в OSj;
и) контроль целостности объектов уровня Rj (файлов) OSj;
к) контроль целостности объекта, задающего последовательность загрузки компонентов;
л) принудительная загрузка: инициируется предопределенный в силу целостности объектов OZ и последовательности ZL порядок загрузки компонентов ОС, – с помощью проверенной на целостность OSj.
Здесь следует «УСЛОВИЕ 7» (условие генерации ИПС при реализации «доверенной» загрузки): если ядро ОС содержит МБО и МБС, и инициируемые в ОС субъекты попарно корректны, а их объекты–источники принадлежат множеству проверяемых на неизменность в ходе доверенной загрузки, и МБО запрещает изменение любого объекта-источника, а также выполнена процедура доверенной загрузки ОС, – то после инициирования ядра ОС генерируется ИПС.
7.9 Домены безопасности
В модели системы, рассматриваемой как совокупность субъектов и объектов, разграничение доступа субъектов к объектам может быть реализовано на основе таблицы, содержащей разрешённые типы доступа и называемой матрицей доступа.
Такая матрица обычно имеет большие размеры (т. к. много субъектов и объектов) и является разреженной (субъекту необходим доступ к небольшому числу объектов), таблица 7.1.
ДОМЕН БЕЗОПАСНОСТИ – это совокупность объектов, к которым разрешен доступ конкретному субъекту.
Домен безопасности должен реализовывать принцип минимизации привелегий субъектов.
Поэтому, для субъектов, которым необходимо выполнять действия во многих различных процессах, надо обеспечить возможность поочерёдно работать в нескольких доменах, переключаемых при необходимости.
Размеры доменов определяют следующие факторы:
а) гибкость и простота механизма переключения доменов;
б) размер защищаемых объектов;
в)наличие разных способов изменения матрицы доступа;
д) гибкость в определении произвольных типов доступа к объектам.
Если с вызовом процедуры связано переключение доменов безопасности, такая процедура называется защищённой.
Эта процедура фигурирует в матрице доступа в качестве и как субъект, и как объект: СУБЪЕКТ – т. к. процедура функционирует в собственном домене безопасности;
ОБЪЕКТ – т. к. по отношению к этой процедуре могут быть назначены права доступа.
Переключение доменов, связанных с передачей прав доступа в качестве параметров вызываемой процедуре, сопровождается изменением матрицы доступа.
Созданный при этом временный домен безопасности описывает стандартное право пользователя на доступ к объекту и переданное ему право на доступ к файлу.
Этот домен безопасности уничтожается по завершению работы.