2. При функционировании защищаемого объекта в составе лвс дополнительно:

• Разделяемые в сети файловые объекты;

• Разделяемые в сети устройства;

• Хосты;

• Сетевые информационные технологии (сетевые приложения и службы).

С учетом формализованных требований к системе защиты, при реализации системы защиты конфиденциальной информации основу данных механизмов должен составлять дискреционный принцип разграничения прав доступа, при реализации системы защиты секретной информации основу данных механизмов должен составлять мандатный принцип разграничения прав доступа, дискреционный принцип реализуется в данных приложениях в качестве дополнения к мандатному.

3.3.3. Требования к корректности решения задачи управления доступом

Введем основные теоретически обоснованные принципы решения задачи управления доступом, Рассмотрим, в чем же состоит принципиальное отличие различных механизмов разграничения прав доступа к ресурсам, в том числе и требуемых для реализации в системе защиты соответствующими нормативными документами, и принципы задания разграничительной политики управления доступом, с целью определения правил настройки соответствующих механизмов в рамках реализуемых ими возможностей управления доступом к ресурсам.

Разграничение доступа осуществляется центральным элементом системы защиты – диспетчером доступа, идентифицирующим субъекты, объекты и параметры запрашиваемого доступа субъектом к объекту, при запросе доступа к ресурсу, предоставляя субъекту запрашиваемый доступ, либо отказывая в доступе к объекту.

Идентифицирующую информацию субъектов и объектов доступа принято называть учетной информацией; правила, на основании которых диспетчер доступа принимает решение о предоставлении (либо отказе) субъекту доступа к объекту, называют правилами (или политикой) разграничения доступа.

Обобщенная схема управления доступом, представлена на рис.3.16.

Субъект доступа

Субъект доступа

Объект доступа

Объект доступа

Диспетчер доступа

Учетная информация субъектов и объектов доступа

Правила (политика) разграничения доступа

Рис.3.16. Обобщенная схема управления доступом

3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом

Введем следующие обозначения [7].

Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа Сi, i = 1,…,k рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа, соответственно, в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа. Пусть S = {0,1} – множество прав доступа, где «0» обозначает отсутствие доступа субъекта к объекту, «1» – разрешение полного доступа. Тогда каноническую модель управления доступом можно представить матрицей доступа D, имеющей следующий вид:

С1 С2….Ck-1 Ck

O1 1 0 0 0

O2 0 1 0 0

……………………….……..………………………………

.

D = .

.

Ok-1 0 0 1 0

Ok 0 0 0 1

Определение. Под канонической моделью управления доступом для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «1» – задают полный доступ субъектов к объектам, остальные элементы «0» – задают запрет доступа субъектов к объектам.

Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = 1, если i = j, иначе Dij = 0.

Утверждение. Диспетчер доступа реализует механизм управления доступом корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.

Доказывается утверждение от обратного. Если каноническую модель управления доступом реализовать невозможно – присутствуют элементы «1» вне главной диагонали матрицы доступа, то в системе присутствует, по крайней мере, один объект, доступ к которому невозможно разграничить в полном объеме (объект включается одновременно в несколько групп объектов, априори характеризуемых различными правами доступа к ним).

Следствие 1. Любой механизм управления доступом должен позволять настройками диспетчера доступа сводить реализуемую им модель доступа к каноническому виду.

Замечание. Объекты доступа могут по своей сути существенно различаться – файловые объекты, ветви и ключи реестра ОС (для ОС Windows), принтеры, разделяемые сетевые ресурсы, устройства, ресурсы внешней сети (хосты) и т.д. К ним могут различаться типы доступа (например, файловые объекты и принтеры), в том числе и образующие полный доступ, на практике может быть ограничение на число ресурсов (например, принтеров в системе, к которым разграничивается доступ, может быть существенно меньше, чем субъектов доступа к ним). Однако все это не противоречит общности сформулированного утверждения, требования которого должны выполняться механизмом управления доступом при соответствующих настройках системы и диспетчера доступа к объекту любого вида. Например, диспетчер доступа к принтерам должен, при включении в систему принтеров по числу субъектов доступа (в частности, пользователей), обеспечивать реализацию канонической модели управления доступом, где элементами матрицы доступа D будут «1» – доступ субъекту к принтеру разрешен, «0» - доступ субъекту к принтеру запрещен.

Следствие 2. К каждому защищаемому ресурсу системы, требующему разграничение доступа, должен быть реализован диспетчер доступа, позволяющий соответствующими настройками сводить реализуемую им модель доступа к каноническому виду.

Вывод. Механизм управления доступом ресурсу реализован корректно только в том случае, если настройками диспетчера доступа реализуемая им модель доступа может быть приведена к каноническому виду.