Особенности использования мандатного механизма управления доступом при разграничении прав доступа субъектов

Дадим мандатному механизму управления доступом определение с уче­том сказанного ранее.

Под мандатным механизмом управления доступом, реализующим канони­ческие полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объектов доступа в соответ­ствии с заданными правилами.

Основой же мандатного механизма является реализация принудительно­го управления виртуальными каналами взаимодействия субъектов досту­па.

Замечание: Основным требованием к принудительному управлению яв­ляется обеспечение невозможности перенесения информации из объекта более высокого уровня конфиденциальности в объект с информацией более низкого уровня конфиденциальности. Поэтому к механизмам управления доступом, реализующим принудительное управление виртуальными каналами взаимодействия субъектов доступа, накладываются дополнительные ограничения к корректности реализации.

На практике для дискреционного механизма управления доступом, как правило, используется модель произвольного управления виртуальными каналами взаимодействия субъектов доступа. Однако управление кана­лами может быть и принудительным — все зависит от реализуемой мат­рицы доступа. В этом случае мандатный и дискреционный механизмы различаются только способом задания разграничительной политики и диспетчере доступа и обработки запросов на доступ.

Утверждение. Мандатный механизм управления доступом позволяет корректно реализо­вать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискрецион­ного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.

Доказательство данного утверждения очевидно. Нетрудно показать, что представленные правила реализуют разграничения доступа полностью адекватные соответствующим каноническим матрицам доступа D, отобра­жающим полномочные модели управления доступом, в случае, если всем субъектам из множества С и объектам из множества О сопоставлены метки безопасности. При этом несопоставление метки безопасности какому-либо субъекту или объекту означает вычеркивание соответствующей строки или столбца из матрицы доступа D.

Таким образом, если существует объект, который не включен в схему мандатного управления доступом, то этот объект может являться средством несанкционированного взаимодействия пользователей, имеющих различные метки безопасности.

Таким образом, метки безопасности должны устанавливаться на все объекты файловой системы (логические диски (тома), каталоги, подкаталоги, файлы), а также на все иные объекты доступа — на устройства ввода/вывода и отчуждаемые носители информации, виртуальные каналы связи и т.д.

Утверждение. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процес­сов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными кана­лами взаимодействия субъектов доступа.

Доказательство данного утверждения состоит в необходимости противо­действовать скрытым каналам взаимодействия субъектов доступа. Если под явным каналом понимается объект, доступ к которому может быть разграничен, то под скрытым — любые иные возможности взаимодей­ствия субъектов доступа, которые в этом случае должны исключаться, например, передача информации между субъектами доступа через буфер обмена и т.д. Очевидно, что если существует возможность передачи ин­формации между процессами, запускаемыми с правами пользователей, которым назначены различные метки безопасности, то реализуется воз­можность переноса информации из объекта более высокого уровня кон­фиденциальности в объект более низкого уровня конфиденциальности.

Данное требование относится к процессам прикладных пользователей (ко­торым назначаются метки безопасности). Поэтому, в первую очередь, дан­ное требование выдвигается при реализации системы защиты для ОС се­мейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. Для ОС семейства Windows одновре­менно запускаются процессы двух пользователей — текущего приклад­ного пользователя и виртуального пользователя «СИСТЕМА» (системные процессы). Однако, так как системные процессы не имеют средств уп­равления пользователем, то выполнение рассматриваемого требования для ОС семейства Windows становится неактуальным.

Отметим, что мандатный механизм управления доступом может применять­ся лишь для реализации канонических матриц доступа. Для реализации частных матриц доступа мандатный механизм должен функционировать в диспетчере наряду с дискреционным механизмом. Дискреционный меха­низм здесь служит для разграничения прав доступа пользователей, обла­дающих одинаковой меткой безопасности.

Проиллюстрируем сказанное простым примером. Рассмотрим частную матрицу, представленную ниже.

Чтобы реализовать данную матрицу доступа в дополнение к мандатному механизму управления доступом, реализующему каноническую полномоч­ную модель управления доступом с комбинированным управлением вир­туальными каналами взаимодействия субъектов доступа, следует запретить дискреционным механизмом управления доступом чтение субъектом С1 объекта Ok (закрыть соответствующий пассивный симплексный канал взаимодействия субъектов доступа Ck® C1).

Следовательно, мандатный механизм управления доступом можно рассматривать как альтернативный дискреци­онному механизму способ реализации полномочных моделей управления доступом. Более того, с точки зрения реализуемых возможностей управле­ния доступом данные механизмы адекватны при условии реализации одной и той же матрицы доступа.

Преимуществом мандатного механизма является относительная простота настройки диспетчера доступа в предполо­жении, что интуитивно понятен механизм включения шкалы полномо­чий и назначения меток безопасности. При этом не требуется задания в диспетчере доступа матрицы доступа как таковой. Достаточно задать пра­вила доступа, соответствующие реализуемой полномочной модели управ­ления доступа, и метки безопасности.

Недостатком механизма является необходимость в общем случае наряду с мандатным механизмом использовать дискреционный механизм управ­ления доступом. То есть реализация диспетчера доступа усложняется и остается необходимость в том или ином виде задания матрицы доступа.

Выше было показано, что все функции управления доступом (все мат­рицы доступа и соответствующие модели) могут быть реализованы диск­реционным механизмом. При этом мандатный механизм является част­ным случаем дискреционного и задает лишь некоторые правила. Эти правила с одной стороны упрощают администрирование диспетчера до­ступа (за счет включения меток безопасности), а с другой стороны огра­ничивают возможные ошибки в администрировании.

Реализуется это за счет выполнения мандатным механизмом следующе­го требования:

любой субъект и объект доступа, которому не присвоена метка безопасности, автоматически исключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/доступ к непомечен­ному объекту — невозможны).

Дата добавления: 2014-01-05; Просмотров: 898; Нарушение авторских прав?; Мы поможем в написании вашей работы!