3.3.6. Разграничения доступа для субъекта «процесс»

Выше рассматривались классические схемы управления доступом к ресурсам, реализуемые на основе дискреционного и мандатного механизмов управления доступом. В качестве субъекта доступа для них понимается «ПОЛЬЗОВАТЕЛЬ», при этом диспетчером доступа в соответствии с задаваемыми правами разграничивается доступ пользователей к объектам.

Возможности механизмов управления доступом могут быть существенно расширены (если не сказать, изменены) при включении в субъекты доступа субъекта «ПРОЦЕСС», для которого, аналогично субъекту доступа пользователь, могут разграничиваться права доступа на основе задаваемой матрицы доступа D.

Дело в том, что все запускаемые пользователем процессы, наследуют его (пользователя) права. И если пользователю разрешен доступ к конфиденциальной информации, хранящейся на компьютере, то он будет разрешен и всем процессам, в том числе, которым подобный доступ не требуется. А ведь, как мы ранее показали, именно процесс сегодня несет в себе одну из доминирующих угроз несанкционированного доступа к информации.

Все сказанное ранее может быть отнесено и для рассматриваемого здесь случая, где в качестве субъекта доступа выступает «процесс», соответственно множество С = {С1,…, Ск} - линейно упорядоченные множества процессов. В качестве субъекта доступа «процесс» Сi, i = 1,…,k рассматривается как отдельный процессов, так и группа процессов, характеризуемая одинаковыми правами доступа к объектам, например, системные процессы (процессы ОС), процессы отдельных приложений и т.д.

В частности каноническую модель управления доступом можно представить матрицей доступа D, имеющей следующий вид:

С1 С2….Ck-1 Ck

O1 1 0 0 0

O2 0 1 0 0

……………………….……..………………………………

.

D = .

.

Ok-1 0 0 1 0

Ok 0 0 0 1

где «0» обозначает отсутствие доступа процесса к объекту, «1» – полный доступ (например, разрешены типы доступа «Запись» и «Чтение» для файловых объектов).

Определение. Под канонической моделью управления доступом для линейно упорядоченных множеств процессов (групп процессов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «1» – задают полный доступ процессов к объектам, остальные элементы «0» – задают запрет доступа процессов к объектам.

Аналогично сказанному ранее для субъектов доступа процесс в модели управления доступом могут быть реализованы выделенный, либо виртуальные каналы взаимодействия субъектов доступа.

Следуя определению канонической модели, можем сделать вывод, что включение в схему управления субъекта доступа процесс позволяет в системе локализовать объекты доступа (например, области дисковой памяти, устройства и т.д.), в частном случае – отдельные данные, для отдельных приложений и иных групп процессов и соответственно, наоборот, локализовать процессы (в частности, приложения) для отдельных объектов доступа (в частном случае – для обработки отдельных данных).

Таким образом, в общем случае следует различать два вида субъекта доступа в схеме разграничения прав доступа к ресурсам – пользователь и процесс. Поэтому в общем случае диспетчером доступа должны реализовываться следующие возможности по разграничению прав доступа к объектам для включенной в систему защиты совокупности субъектов доступа:

• Разграничение прав доступа к объектам процессов вне разграничений пользователей;

• Разграничение прав доступа к объектам пользователей, вне разграничений процессов;

• Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей).

Замечание. Субъект доступа процесс является вторичным по отношению к субъекту доступа пользователь (в отличие от субъекта доступа пользователь, он может присутствовать, либо отсутствовать в схеме разграничения прав доступа).

На рис.3.17 приведен укрупненный алгоритм обработки запроса доступа к объекту, реализуемый диспетчером доступа.

Начало

Выполнение

запроса

Имеет ли процесс

собственные права?

Имеет ли

процесс право

на доступ?

Да

Режим проверки

Имеет ли

право пользователь

на доступ?

Возврат

ошибки

Вместе с правами

пользователя

Путь проверки

запроса с субъектом процесс

Обычный путь

Проверки запроса

Нет

Нет

Нет

Да

Да

Эксклюзивный

Рис.3.17. Укрупненный алгоритмо бработки запроса доступа к объекту диспетчером доступа

Выводы.

1. Ввиду того, что в схеме управления доступом присутствуют два субъекта доступа «ПОЛЬЗОВАТЕЛЬ» и «ПРОЦЕСС», причем процесс может запускать и не от лица пользователя, с целью корректного решения задачи управления доступом к ресурсам следует осуществлять разграничения для обоих этих субъектов доступа.

2. Так как процесс может запускать и не с правами текущего пользователя и, ввиду того, что в системе существуют привилегированные (системные) процессы, для корректной реализации управления доступом должны предусматриваться следущие схемы разграничений для субъектов доступа:

• Разграничение прав доступа к объектам процессов вне разграничений пользователей;

• Разграничение прав доступа к объектам пользователей, вне разграничений процессов;

• Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей).