Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Программно-аппаратная защита информации

Дискреционное, мандатное и ролевое разграничение доступа к объектам компьютерных систем

Рассмотрим основные модели разграничения доступа к объектам компьютерных систем со стороны их субъектов. Разделение всех элементов компьютерной системы на множества субъектов и объектов осуществляется на основе обладания субъектами свойством «быть активными» («получать управление»). Понятие субъекта отличается от понятия пользователя компьютерной системы, которым обычно является физическое лицо, обладающее некоторой идентифицирующей его информацией (например, именем и паролем). Возможно существование в системе и псевдопользователей, например, системных процессов. Пользователь управляет работой субъекта (порожденного им из объекта-источника с программным кодом) с помощью его интерфейсных элементов (команд меню, кнопок и т. п.).

Дискреционное разграничение доступа к объектам (Discretionary Access Control — DAC) характеризуется следующим набором свойств:

  • • все субъекты и объекты компьютерной системы должны быть однозначно идентифицированы;
  • • для любого объекта компьютерной системы определен пользователь-владелец;
  • • владелец объекта обладает правом определения прав доступа к объекту со стороны любых субъектов компьютерной системы;
  • • в компьютерной системе существует привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).

Последнее свойство определяет невозможность существования в компьютерной системе потенциально недоступных объектов, владелец которых отсутствует. Но реализация права полного доступа к любому объекту посредством предварительного назначения себя его владельцем не позволяет привилегированному пользователю (администратору) использовать свои полномочия незаметно для реального владельца объекта.

Дискреционное разграничение доступа реализуется обычно в виде матрицы доступа, строки которой соответствуют субъектам компьютерной системы, а столбцы — ее объектам. Элементы матрицы доступа определяют права доступа субъектов к объектам. В целях сокращения затрат памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого из них создается список всех объектов, к которым разрешен доступ со стороны данного субъекта) или в виде списков контроля доступа (для каждого объекта информационной системы создается список всех субъектов, которым разрешен доступ к данному объекту).

К достоинствам дискреционного разграничения доступа относятся относительно простая реализация (проверка прав доступа субъекта к объекту производится в момент открытия этого объекта в процессе субъекта) и хорошая изученность (в наиболее распространенных операционных системах универсального назначения типа Microsoft Windows и Unix применяется именно эта модель разграничения доступа).

Остановимся на недостатках дискреционного разграничения доступа. Прежде всего, к ним относится статичность разграничения доступа — права доступа к уже открытому субъектом объекту в дальнейшем не изменяются независимо от изменения состояния компьютерной системы.

При использовании дискреционного разграничения доступа не существует возможности проверки, не приведет ли разрешение доступа к объекту для некоторого субъекта к нарушению безопасности информации в компьютерной системе (например, владелец базы данных с конфиденциальной информацией, дав разрешение на ее чтение другому пользователю, делает этого пользователя фактически владельцем защищаемой информации). Иначе говоря, дискреционное разграничение доступа не обеспечивает защиты от утечки конфиденциальной информации.

Наконец, к недостаткам дискреционного управления доступом относится автоматическое назначение прав доступа субъектам (из-за большого количества объектов в информационной системе в качестве субъектов доступа остаются только ее пользователи, а значение элемента матрицы доступа вычисляется с помощью функции, определяющей права доступа порожденного пользователем субъекта к данному объекту компьютерной системы).

Отмеченных недостатков во многом лишено мандатное разграничение доступа (Mandatory Access Control — MAC). К основным характеристикам этой модели относится следующее:

  • • все субъекты и объекты компьютерной системы должны быть однозначно идентифицированы;
  • • имеется линейно упорядоченный набор меток конфиденциальности и соответствующих им уровней (степеней) допуска (нулевая метка или степень соответствуют общедоступному объекту и степени допуска к работе только с общедоступными объектами);
  • • каждому объекту компьютерной системы присвоена метка конфиденциальности;
  • • каждому субъекту компьютерной системы присваивается степень допуска;
  • • в процессе своего существования каждый субъект имеет свой уровень конфиденциальности, равный максимуму из меток конфиденциальности объектов, к которым данный субъект получил доступ;
  • • в компьютерной системе существует привилегированный пользователь, имеющий полномочия на удаление любого объекта системы;
  • • понизить метку конфиденциальности объекта может только субъект, имеющий доступ к данному объекту и обладающий специальной привилегией;
  • • право на чтение информации из объекта получает только тот субъект, чья степень допуска не меньше метки конфиденциальности данного объекта (правило «не читать выше»);
  • • право на запись информации в объект получает только тот субъект, чей уровень конфиденциальности не больше метки конфиденциальности данного объекта (правило «не записывать ниже»).

Основной целью мандатного разграничения доступа к объектам является предотвращение утечки информации из объектов с высокой меткой конфиденциальности в объекты с низкой меткой конфиденциальности (противодействие созданию каналов передачи информации «сверху вниз»).

Для мандатного разграничения доступа к объектам компьютерной системы формально доказано следующее важное утверждение: если начальное состояние компьютерной системы безопасно и все переходы из одного состояния системы в другое не нарушают правил разграничения доступа, то любое последующее состояние компьютерной системы также безопасно.

К другим достоинствам мандатного разграничения доступа относятся:

  • • более высокая надежность работы самой компьютерной системы, так как при разграничении доступа к объектам контролируется и состояние самой системы, а не только соблюдение установленных правил;
  • • большая простота определения правил разграничения доступа по сравнению с дискреционным разграничением (эти правила более ясны для разработчиков и пользователей компьютерной системы).

Отметим недостатки мандатного разграничения доступа к объектам компьютерной системы:

  • • сложность программной реализации, что увеличивает вероятность внесения ошибок и появления каналов утечки конфиденциальной информации;
  • • снижение эффективности работы компьютерной системы, так как проверка прав доступа субъекта к объекту выполняется не только при открытии объекта в процессе субъекта, но и перед выполнением любой операции чтения из объекта или записи в объект;
  • • создание дополнительных неудобств работе пользователей компьютерной системы, связанных с невозможностью изменения информации в неконфиденциальном объекте, если тот же самый процесс использует информацию из конфиденциального объекта (его уровень конфиденциальности больше нуля).

Преодоление последнего недостатка требует разработки программного обеспечения компьютерной системы с учетом особенностей мандатного разграничения доступа.

Из-за отмеченных недостатков мандатного разграничения доступа в реальных компьютерных системах множество объектов, к которым применяется мандатное разграничение, является подмножеством множества объектов, доступ к которым осуществляется на основе дискреционного разграничения.

При использовании мандатного разграничения доступа к объектам необходимо также обеспечить достоверное подтверждение назначенного пользователю уровня допуска даже при отсутствии защищенного канала связи с сервером аутентификации. Это может быть обеспечено при использовании инфраструктуры открытых ключей.

Формат сертификата открытого ключа, определенный в рекомендациях Х.509 Международного союза по телекоммуникациям (ITU), позволяет включать в состав сертификата дополнения (расширения, extensions), с помощью которых может быть реализована определенная политика безопасности в компьютерной системе конкретной организации. Каждое дополнение состоит из идентификатора объекта (object identifier) для типа дополнения, признака его критичности и закодированного значения дополнения.

В рекомендациях Х.509 введены следующие типы дополнений: область применения (назначение) криптографического ключа, расширенная область применения ключа, ограничения на длину цепочки сертификации при проверке сертификата, ограничения на политику применения сертификатов и др. Возможен ввод и любых других дополнений, необходимых для реализации политики безопасности в компьютерной системе.

Признак критичности дополнения сертификата используется для указания приложению, использующему данный сертификат, на возможность игнорирования информации, содержащейся в дополнении. Значение дополнения задается в виде блоба (bit large object — BLOB) — структуры, состоящей из полей с длиной значения дополнения и самим закодированным значением.

При реализации мандатного разграничения доступа к объектам дополнение сертификата пользователя может содержать значение назначенного ему уровня допуска в системе. Для дополнения этого типа должен быть установлен признак критичности. Значение этого дополнения, извлеченное из сертификата пользователя при попытке совершения им чтения или записи объекта, будет использоваться для проверки прав на совершение запрашиваемой операции.

Рассмотрим преимущества подобного способа хранения информации об уровне допуска пользователя к ресурсам компьютерной системы перед ее хранением в локальной или глобальной (доменной) учетной записи пользователя. При работе в сети сертификат пользователя (при его отсутствии в локальном хранилище сертификатов) может быть всегда запрошен в корпоративном удостоверяющем центре. При попытке получения доступа к ресурсам автономного (не подключенного к сети) компьютера сертификат может быть импортирован из файла на предоставленном пользователем носителе (флэш-диске, дискете, компакт-диске) или непосредственно с устройства аутентификации пользователя (смарт-карты, USB-ключа).

При импорте сертификата из файла пользователю потребуется ввести пароль для генерации сеансового ключа расшифрования личного (закрытого) криптографического ключа, а при импорте с устройства аутентификации — PIN-код. Это обеспечит защиту от попытки использования похищенного носителя.

В Руководящем документе ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» содержатся следующие требования по разграничению доступа субъектов к защищенным объектам автоматизированных систем:

  • • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа (дискреционное разграничение доступа — классы защищенности 1 Г, 1В, 1Б, 1А);
  • • должно осуществляться управление потоками информации с помощью меток конфиденциальности (мандатное разграничение доступа). При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации (классы защищенности 1В, 1Б, 1А).

Ролевое разграничение доступа (Role-Based Access Control — RBAC) основано на том соображении, что в реальной жизни организации ее сотрудники выполняют определенные функциональные обязанности не от своего имени, а в рамках некоторой занимаемой ими должности (или роли). Реализация ролевого разграничения доступа к объектам компьютерной системы требует разработки набора (библиотеки) ролей, определяемых как набор прав доступа к объектам информационной системы (прав на выполнение над ними определенного набора действий). Этот набор прав должен соответствовать выполняемой работником трудовой функции.

Наряду с пользователями (субъектами доступа) и объектами доступа ролевое разграничение доступа оперирует следующими понятиями:

  • • привилегии (операции) — минимально возможные действия пользователя, требующие разрешения или запрещения этого действия;
  • • правила (задачи) — объединение привилегии, подмножества объектов, для которых может быть определена такая привилегия, и признака разрешения или запрещения этой привилегии;
  • • роль — набор правил, определяющих, какими привилегиями и по отношению к каким объектам будет обладать пользователь, которому будет назначена эта роль;
  • • сессия — подмножество ролей, которые активировал пользователь после своего входа в систему в течение определенного интервала времени.

Реализация ролевого разграничения доступа к объектам сводится к следующим шагам:

  • • разработчики приложений, в которых над объектами системы выполняются определенные действия, совместно с администратором безопасности компьютерной системы и конструктором ролей составляют список привилегий и множество правил;
  • • конструктор ролей разрабатывает библиотеку ролей для данной системы;
  • • диспетчер ролей каждому пользователю системы статическим образом присваивает набор возможных для данного пользователя ролей (при этом могут использоваться статические ограничения на назначение ролей);
  • • после авторизации пользователя в системе для него создается сессия (при этом могут использоваться динамические ограничения на использование ролей).

Примеры статических ограничений на назначение ролей пользователям системы — возможность назначения роли главного администратора (суперпользователя) только одному пользователю, ограничение количества пользователей, которым может быть назначена определенная роль, запрет совмещения одним пользователем определенных ролей (например, роли конструктора и диспетчера ролей).

Пример динамического ограничения на использование ролей — ограничение количества пользователей, одновременно выполняющих определенную роль (например, администратора).

Ролевая модель разграничения доступа сочетает элементы мандатного разграничения (объединение субъектов и объектов доступа в одном правиле) и дискреционного разграничения (назначение ролей отдельным субъектам). Этим обеспечивается жесткость правил разграничения доступа и гибкость настройки механизма разграничения в конкретных условиях применения. Преимущества ролевого разграничения доступа к объектам проявляются при организации коллективного доступа к ресурсам сложных информационных систем с большим количеством пользователей и объектов.

К недостаткам ролевого разграничения доступа относится отсутствие формальных доказательств безопасности компьютерной системы, возможность внесения дублирования и избыточности при предоставлении пользователям прав доступа, сложность конструирования ролей.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >
 

Популярные страницы