Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Механизм обеспечения замкнутости программной среды и его роль в системе защиты




Полномочная модель управления доступом к исполняемым файлам. Правила разграничения доступа к исполняемым файлам.

Каноническая полномочная модель управления доступом к исполняемым файлам может быть представлена следующей матрицей доступа D. Модель управления доступом формально может быть описана следующим образом: элемент матрицы Dij = И, если i <= j, иначе Dij = 0. Под канонической моделью управления доступом к исполняемым файлам с виртуальными каналами взаимодействия субъектов доступа для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой и элементы, расположенные выше главной диагонали, «И» — задают право доступа «Исполнение», остальные элементы матрицы «О» - - запрет запуска исполняемого файла. Рассмотрим правила разграничения доступа для модели управления доступом к исполняемым файлам. При этом воспользуемся введенными ранее обозначениями:» Ms — метка безопасности субъекта (группы субъектов) доступа;» Мо — метка безопасности объекта (группы объектов) доступа;» метка безопасности Mi с порядковым номером i устанавливается для субъекта доступа Ci с порядковым номером i и для объекта доступа Oi с порядковым номером i. Правила разграничения доступа для модели управления доступом к исполняемым файлам:

1. субъект С имеет доступ к объекту О в режиме «Исполнение» в случае, если выполняется условие: Мс => Мо;

2. субъект С не имеет доступ к объекту О в режиме «Исполнение» в случае, если выполняется условие: Мс < Мо.

Выводы:

1. В схеме управления доступом в качестве отдельного объекта доступа следует рассматривать исполняемый файл (процесс). В этом случае должно рассматриваться дополнительное право доступа «исполнение». Использование данного объекта позволяет разграничивать права доступа для субъектов (в общем случае для пользователей и процессов) по запуску процессов. 2. Условие корректности разграничений для объекта доступа «исполняемый файл» задаются точно так же (аналогичные канонические модели), как и для файловых объектов данных, с учетом права доступа «исполнение».

Под обеспечением замкнутости программной среды понимается локализация прикладных программ для пользователей. Осуществляется это механизмом управления доступом к исполняемым файлам. Механизм обеспечения замкнутости программной среды реализован корректно только в том случае, если выполняются требования к полноте управления доступом к исполняемым файлам. Проиллюстрируем сказанное примером. Например, для ОС Windows NT/2000 могут устанавливаться разграничения на исполнение файлов (запуск программ) с жесткого диска. Однако данные ОС не позволяют управлять запуском программ с внешних устройств ввода. Поэтому корректно обеспечить замкнутость программной среды, с целью локализации прикладных программ для пользователя, возможно лишь при отключении внешних устройств ввода. Таким образом, разграничение доступа на запуск исполняемого файла и обеспечение замкнутости программной среды не одно и то же. Замкнутость программной среды реализуется посредством механизма управления доступом на запуск к исполняемым файлом, но можно говорить о его реализации в системе лишь при выполнении требований к полноте подобных разграничений. Как отмечалось ранее, несмотря на то, что в современных универсальных ОС присутствует механизм управления доступом к запуску процессов, механизм обеспечения замкнутости программной среды в них не реализован. Это объясняется невыполнением требований к полноте разграничений для ОС Windows исполняемый файл может быть запущен с внешнего устройства ввода, например, посредством дискеты. В ОС семейства UNIX невозможно установить атрибут «исполнение» на каталог (под этим атрибутом для каталога подразумевается «обзор»), т.е. невозможно запретить запуск из каталога. При этом (этот вопрос ранее рассматривался) пользователь сам может присвоить атрибут создаваемому им файлу, т.е. пользователь может записать в свой каталог исполняемый файл, установить на него для себя право исполнения, затем запустить данный файл. Обеспечение замкнутости программной среды -- это важнейший механизм противодействия организации пользователем скрытых каналов доступа к ресурсам защищаемого объекта. Целью применения механизма является предоставление пользователям возможности запускать только санкционированные программы из заданных для них списков. При этом предотвращается возможность запуска пользователем собственной программы, которая может содержать скрытый канал доступа к ресурсам. Без реализации данного механизма в системе защиты вообще не приходится говорить о какой-либо защищенности объекта [11, 12, 19]. В общем случае механизм обеспечения замкнутости программной среды предназначен для локализации программного обеспечения на компьютере (системного, функционального и прикладного ПО) и обеспечение невозможности запуска пользователем несанкционированного процесса (программы). Благодаря этому обеспечивается то, что пользователь может работать на компьютере только жестко в рамках своих функциональных обязанностей и инструкций, т.е. в границах списка санкционированных действий. К этой же задаче относится защита от проникновения (прежде всего из сети) и запуска на компьютере деструктивных программ (троянов, программ sniffer клавиатуры и канала, программ взлома или подбора паролей, программ перепрограммирования BIOS, инструментальных средств и т.д.). Если вернуться к рассмотрению существующей статистики угроз (приведенной в п. 2.2), то можем сделать вывод, что подавляющая их часть требовала от пользователя запуска программного средства, реализующего данные угрозы. Таким образом, путем предотвращения возможности запуска пользователем собственных программ злоумышленник лишается собственно инструментария взлома. При этом неважно, о какой угрозе, о какой цели и способе атаки идет речь. Поэтому данный механизм позиционируется нами как основной механизм защиты, позволяющий противодействовать скрытым угрозам НСД к информации. Ранее нами отмечалось, что защита информации — это комплексная задача, решение которой достигается реализацией совокупности механизмов защиты и что невозможно рассматривать механизм защиты в отдельности, т.к. найдутся угрозы данному механизму, которые должны предотвращаться другими механизмами. Рассмотрим иную сторону этой проблемы, когда использование в системе защиты одного механизма может принципиально изменить требование к другим механизмам. С учетом применения механизма обеспечения замкнутости программной среды могут существенно снижаться требования к реализации других механизмов защиты. Рассмотрим пример. Ввиду того, что при удалении информации с диска осуществляется лишь переразметка диска, а собственно информация на нем остается, появляется скрытый канал в виде возможности несанкционированного доступа к остаточной информации на диске. Данный канал может быть устранен, если реализовать механизм гарантированного удаления информации, который будет заключаться: 1. В перехвате обращения приложения к ядру ОС «на удаление» объекта. 2. В записи в объект маскирующей информации (осуществляется N — кратная запись «О» и «1»), 3. В передаче ядру ОС запрос «на удаление» объекта. При этом остаточной информации на диске не остается. Реализация данного механизма защиты связана с существенными потерями производительности защищаемого объекта. Остаточная информация также может оставаться в оперативной памяти после завершения процесса (если ОС или приложение не осуществляет ее очистку). Однако стандартным приложением прочитать остаточную информацию не представляется возможным, для этого нужны специальные программы, запуск которых на компьютере предотвращается механизмом обеспечения замкнутости программной среды. Таким образом, прочитать остаточную информацию без запуска несанкционированнорго процесса на защищенном компьютере становится невозможно. Остается только одна возможность ее прочтения — это удалить с компьютера жесткий диск и считать информацию с него на другом компьютере. Но если такое возможно, то оберегать уже следует не остаточную, а актуальную информацию на диске, для чего, в рассматриваемых предположениях, должны применяться криптографические методы защиты информации на диске. Сказанное в полной мере относится и к защите оперативной памяти. Вместе с тем, учитывая, что критичной ситуацией здесь является запуск несанкционированного процесса пользователем, механизм очистки памяти, на наш взгляд, следует запускать в качестве реакции на обнаружение запущенного несанкционированного процесса. Механизм, реализующий данную возможность, рассматривается в следующей главе. Могут быть приведены и иные примеры, когда использование в системе механизма обеспечения замкнутости программной среды либо делает необязательными целый ряд других механизмов защиты, либо существенно изменяются требования к решаемым ими задачам. Таким образом, можно сделать следующий вывод: механизм обеспечения замкнутости программной среды -- важнейший механизм, который обязательно должен присутствовать в системе защиты, т.к. этот механизм можно позиционировать, как основной механизм противодействия скрытым угрозам (возможности реализации неизвестной угрозы, присутсвующей в несанкционированной пользовательской программе). Ввиду того, что данный механизм не имеет корректной реализации в современных ОС, его следует реализовать добавочными средствами защиты информации. В противном случае невозможно говорить о возможности противодействия скрытым угрозам в принципе. Механизм обеспечения замкнутости программной среды может быть реализован двумя способами:

» в виде задания списков исполняемых файлов;

* в виде задания каталогов исполняемых файлов.




Поделиться с друзьями:


Дата добавления: 2014-01-05; Просмотров: 612; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.011 сек.