- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.3.6. Разграничения доступа для субъекта «процесс»
Выше рассматривались классические схемы управления доступом к ресурсам, реализуемые на основе дискреционного и мандатного механизмов управления доступом. В качестве субъекта доступа для них понимается «ПОЛЬЗОВАТЕЛЬ», при этом диспетчером доступа в соответствии с задаваемыми правами разграничивается доступ пользователей к объектам.
Возможности механизмов управления доступом могут быть существенно расширены (если не сказать, изменены) при включении в субъекты доступа субъекта «ПРОЦЕСС», для которого, аналогично субъекту доступа пользователь, могут разграничиваться права доступа на основе задаваемой матрицы доступа D.
Дело в том, что все запускаемые пользователем процессы, наследуют его (пользователя) права. И если пользователю разрешен доступ к конфиденциальной информации, хранящейся на компьютере, то он будет разрешен и всем процессам, в том числе, которым подобный доступ не требуется. А ведь, как мы ранее показали, именно процесс сегодня несет в себе одну из доминирующих угроз несанкционированного доступа к информации.
Все сказанное ранее может быть отнесено и для рассматриваемого здесь случая, где в качестве субъекта доступа выступает «процесс», соответственно множество С = {С1,…, Ск} - линейно упорядоченные множества процессов. В качестве субъекта доступа «процесс» Сi, i = 1,…,k рассматривается как отдельный процессов, так и группа процессов, характеризуемая одинаковыми правами доступа к объектам, например, системные процессы (процессы ОС), процессы отдельных приложений и т.д.
В частности каноническую модель управления доступом можно представить матрицей доступа D, имеющей следующий вид:
С1 С2….Ck-1 Ck
O1 1 0 0 0
O2 0 1 0 0
……………………….……..………………………………
D = .
.
Ok-1 0 0 1 0
Ok 0 0 0 1
где «0» обозначает отсутствие доступа процесса к объекту, «1» – полный доступ (например, разрешены типы доступа «Запись» и «Чтение» для файловых объектов).
Определение. Под канонической моделью управления доступом для линейно упорядоченных множеств процессов (групп процессов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «1» – задают полный доступ процессов к объектам, остальные элементы «0» – задают запрет доступа процессов к объектам.
Аналогично сказанному ранее для субъектов доступа процесс в модели управления доступом могут быть реализованы выделенный, либо виртуальные каналы взаимодействия субъектов доступа.
Следуя определению канонической модели, можем сделать вывод, что включение в схему управления субъекта доступа процесс позволяет в системе локализовать объекты доступа (например, области дисковой памяти, устройства и т.д.), в частном случае – отдельные данные, для отдельных приложений и иных групп процессов и соответственно, наоборот, локализовать процессы (в частности, приложения) для отдельных объектов доступа (в частном случае – для обработки отдельных данных).
Таким образом, в общем случае следует различать два вида субъекта доступа в схеме разграничения прав доступа к ресурсам – пользователь и процесс. Поэтому в общем случае диспетчером доступа должны реализовываться следующие возможности по разграничению прав доступа к объектам для включенной в систему защиты совокупности субъектов доступа:
Разграничение прав доступа к объектам процессов вне разграничений пользователей;
Разграничение прав доступа к объектам пользователей, вне разграничений процессов;
Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей).
Замечание. Субъект доступа процесс является вторичным по отношению к субъекту доступа пользователь (в отличие от субъекта доступа пользователь, он может присутствовать, либо отсутствовать в схеме разграничения прав доступа).
На рис.3.17 приведен укрупненный алгоритм обработки запроса доступа к объекту, реализуемый диспетчером доступа.
Начало
Выполнение
запроса
Имеет
ли процесс
собственные
права?
Имеет
ли
процесс
право
на
доступ?
Да
Режим
проверки
Имеет
ли
право
пользователь
на
доступ?
Возврат
ошибки
Вместе
с правами
пользователя
Путь
проверки
запроса
с субъектом процесс
Обычный
путь
Проверки
запроса
Нет
Нет
Нет
Да
Да
Эксклюзивный
Рис.3.17. Укрупненный алгоритмо бработки запроса доступа к объекту диспетчером доступа
Выводы.
1. Ввиду того, что в схеме управления доступом присутствуют два субъекта доступа «ПОЛЬЗОВАТЕЛЬ» и «ПРОЦЕСС», причем процесс может запускать и не от лица пользователя, с целью корректного решения задачи управления доступом к ресурсам следует осуществлять разграничения для обоих этих субъектов доступа.
2. Так как процесс может запускать и не с правами текущего пользователя и, ввиду того, что в системе существуют привилегированные (системные) процессы, для корректной реализации управления доступом должны предусматриваться следущие схемы разграничений для субъектов доступа:
Разграничение прав доступа к объектам процессов вне разграничений пользователей;
Разграничение прав доступа к объектам пользователей, вне разграничений процессов;
Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей).