3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды

Расширение функциональных возможностей данного механизма защиты состоит в том, чтобы и в качестве субъекта доступа, и в качестве объекта доступа рассматривать «ПРОЦЕСС». В этом случае можно разграничивать права доступа для процессов на запуск процессов, т.е. можно обепечивать замкнутость программной среды не на уровне списков санкционированных процессов (разрешения запуска пользователем отдельных программ), а уже на уровне последовательностей запуска процессов (технологий обработки данных). Другими словами, можно задавать последовательности обработки – каким процессом, какой процесс может быть запущен или нет.

Например, можно запретить почтовому клиенту запуск каких-либо процессов. В этом случае можно не опасаться, что полученное в письме вложение представляет собою вредоносную программу – при открытии вложения она не запустится.

Вывод. При установке разграничений доступа субъекта «ПРОЦЕСС» к объекту «ПРОЦЕСС» появляется возможность осуществлять замкнутость программной среды не на уровне разрешения запуска пользователем отдельных программ, а уже на уровне разрешения запуска программами отдельных программ, что существенно расширяет функциональные возможности защиты информации от несанкционированного доступа.

3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями

При работе ОС и приложений существует ряд каталогов, в общем случае не разделяемых системой или приложениями между пользователями. При этом для некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ пользователям в данные каталоги, причем информация в них записывается автоматически приложением. Таким образом, существуют каталоги, для которых невозможно разграничить доступ пользователям (при этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис). Наличие подобных объектов в системе без управления к ним доступа, не позволяет говорить о корректности решения задачи управления доступа в целом. Действительно, если обозначить группу объектов файловой системы (каталогов) не разделяемых системой между пользователями, как Oн, то матрица доступа D в общем случае принимает вид, представленный ниже.

С1 С2….Ck-1 Ck

O1 Зп/Чт ПД ПД ПД

O2 ПД Зп/Чт ПД ПД

.

D = Он Зп/Чт Зп/Чт Зп/Чт Зп/Чт

.

Ok-1 ПД ПД Зп/Чт ПД

Ok ПД ПД ПД Зп/Чт

В матрице D использовано обозначение «ПД» – права доступа, назначаемые в зависимости от реализуемого канала взаимодействия субъектов доступа. Как следует из представленной матрицы, корректно реализовать управление доступом (особенно мандатный механизм) в данном случае невозможно.

Решением рассматриваемой проблемы является реализация технологии переадресации запросов доступа к объектам файловой системы (каталогам), не разделяемым системой между пользователями, которая состоит в следующем. Для каждого пользователя средствами диспетчера доступа для неразделяемого объекта реализуется соответствующий собственный объект, например, для каталога «Общий ресурс», заводятся каталоги «Общий ресурс 1» для первого пользователя, «Общий ресурс 2» для второго пользователя и т.д. При записи информации системой или приложением в неразделяемый каталог (соответственно, чтении из каталога) диспетчер доступа перенаправляет информацию в (из) соответствующий каталог текущего пользователя. Например, если текущим пользователем является первый пользователь, то при сохранении информации в каталог «Общий ресурс» данная информация будет перенаправлена диспетчером доступа и сохранена в каталоге «Общий ресурс 1».

При этом механизм перенаправления запросов к неразделяемым системой объектам должен обрабатывать запрос перед механизмом управления (разграничения) доступом. Средствами механизма управления доступом к файловой системе разграничиваются права доступа к каталогам, в которые перенаправляется информация, например, доступ к каталогу «Общий ресурс 1» следует разрешить только первому пользователю, остальным – запретить. В результате данный механизм позволяет обеспечить отсутствие общих ресурсов файловой системы для пользователей.

Замечание. Собственно в исходных неразделяемых системой каталогах («Общий ресурс»), запрос доступа к которым переадресуется, информация сохраняться не будет, т.е. данные каталоги становятся в системе виртуальными (к ним нет необходимости разграничивать доступ).

Матрица доступа D при реализации данной технологии переадресации запросов, примет следующий вид.

С1 С2….Ck-1 Ck

O1 Зп/Чт ПД ПД ПД

O2 ПД Зп/Чт ПД ПД

.

Он - - - -

D = Он1 Зп/Чт 0 0 0

Он2 0 Зп/Чт 0 0

.

Онk 0 0 0 Зп/Чт

.

Ok-1 ПД ПД Зп/Чт ПД

Ok ПД ПД ПД Зп/Чт

В данной матрице введены дополнительные объекты доступа – множество объектов {Он1,…, Онk} – это объекты (группы объектов), созданные для субъектов С1,…, Сk для переадресации в них запросов, осуществляемых пользователями к неразделяемому системой объекту (группе объектов) Он, знак «-» обозначает, что это виртуальный объект, в котором не производится сохранение данных и к которому не может быть доступа субъекта.

Из анализа данной матрицы следует, что технология перенаправления запросов к неразделяемым системой объектам позволяет выполнять требования к корректности управления доступом.

Вывод. Реализация в схеме управления доступом (в диспетчере доступа) рассмотренной технологии перенаправления запросов к неразделяемым системой и приложениями объектам позволяет выполнить требования к корректности, вне зависимости от реализуемых системой и приложениями технологий временного хранения данных.