Принципы организации мандатного управления доступом к устройствам

Ранее было отмечено, что мандатный механизм управления доступомреализуется корректно только в том случае, когда элементами схемы ман-датных разграничений являются все субъекты и объекты доступа защи-щаемого объекта.Рассмотрим изложенные ранее возможности управления доступом при-менительно к устройствам ввода/вывода (съемным устройствам) и к отчуждаемым физическим накопителям — дискетам, CD-КОМам и т.д.Итак, общий формат определения ресурса устройства (накопителя) выг-лядит следующим образом

:» имя съемного устройства\каталог\подкаталог\...\файл — для доступа к файлу;

» имя съемного устройства\каталог\подкаталог — для доступа к каталогу (подкаталогу);

» имя съемного устройства -- для доступа ко всему устройству в целом, которое может содержать каталоги и файлы (например, к устройству ввода данных — дисководу или CD-ROM).

Таким образом, управление доступом как к устройствам в целом, так и к ресурсам накопителей, полностью аналогично управлению доступом к файловым объектам. Определим способы разметки (назначения меток безопасности) ресурсов. Размечаться могут как собственно устройства (например, дисковод), так и накопители, размещаемые в устройстве (например, дискета).

Разметка устройства

При разметке устройства метка безопасности должна присваиваться собственно устройству, например, А:. Присвоение устройству метки означает разрешение полного доступа (чтение и запись) к устройству только пользователей с аналогичной меткой. Правила доступа остальных пользователей к устройству определяются реализуемыми каналами взаимодействия субъектов доступа в матрице доступа. Устройства могут быть как размеченные (на них распространяются разграничения доступа), так и неразмеченные. Если доступ к устройству, например, Е: не следует разграничивать мандатным механизмом управления доступом, то данному устройству следует сопоставить метку «МО». При этом к устройству реализуется только дискреционное разграничение доступа, осуществляемое в дополнение к мандатному механизму. В этом случае устройство по прежнему считается размеченным. Если же и дескреционные разграничения не устанавливаются, то к устройству получают полный доступ все пользователи и устройство считается неразмеченным. Соответственно, в этом случае на накопителе могут быть сохранены любые объекты и все объекты могут быть считаны любым пользователем.

Разметка накопителя

Существуют различные возможности разметки накопителя.

1. Разметка накопителя для возможности сохранения на нем объектов только одного уровня. На накопителе (например, дискете, размещаемой в дисководе А:) санкционированным пользователем создается новый объект — каталог (или файл). Объект помечается, то есть ему присваивается имя. При этом имя соответствует метке объектов файловой системы (либо метке пользователей), которым разрешена запись на данный накопитель. Например, создается каталог А: \3 — накопителю устанавливается метка 3. После этого на данный накопитель могут записываться (соответственно в каталог А: \ 3 дискеты) только объекты с меткой 3. Читать объекты с размеченного накопителя и добавлять в них информацию могут пользователи в соответствии с реализуемым каналом взаимодействия субъектов доступа в матрице доступа.

2. Разметка накопителя для возможности сохранения на нем объектов нескольких уровней. На накопителе (например, дискете, размещаемой в дисководе В:) санкционированным пользователем создаются новые объекты — каталоги (или файлы). Объекты размечаются, то есть им присваиваются имена, соответствующие меткам объектов файловой системы (либо меткам пользователей), которым разрешена запись на данный накопитель. Например, если на накопителе создаются каталоги В:\2 и В:\3, то соответствующим объектам накопителя устанавливаются метки 2 и 3. После этого на данный накопитель могут записываться соответствующие объекты файловой системы (осуществлять запись соответствующие пользователи), соответственно, в каталог В:\3, только объекты с меткой 3, в каталог В:\2, только объекты с меткой 2. Читать данные каталоги и добавлять в них информацию пользователи могут только в соответствии с реализуемым каналом взаимодействия субъектов доступа в матрице доступа. Таким образом, при вводе объекта с «помеченного» устройства (или выводе на «помеченное» устройство) диспетчер доступа обеспечивает соответствие между меткой вводимого (выводимого) объекта и меткой устройства. Аналогичное соответствие обеспечивается при работе с «помеченным» отчуждаемым накопителем.

Итак, на основании вышеприведенных рассуждений можно сделать заключение, что все рассмотренные модели управления доступом могут применяться как для разграничения прав доступа к файловым объектам, так и к устройствам ввода/вывода и к отчуждаемым накопителям.

51. Включение субъекта «процесс» в схему управления доступом.

Выше рассматривались классические схемы управления доступом к ресурсам, реализуемые на основе дискреционного и мандатного механизмов управления доступом. В качестве субъекта доступа для них понимается «ПОЛЬЗОВАТЕЛЬ». При этом доступ к объектам, в соответсвии с заданными правилами, разграничивается именно для пользователей. Тем не менее, ранее было отмечено, что в качестве самостоятельного субъекта доступа может выступать процесс, так как в общем случае он может запускаться не от лица текущего пользователя (например, системные процессы). Возможности механизмов управления доступом могут быть существенно расширены при включении в субъекты доступа субъекта «ПРОЦЕСС» [11, 12, 19], для которого, аналогично субъекту доступа «пользователь», могут разграничиваться права доступа на основе задаваемой матрицы доступа D. Все сказанное ранее (применительно к субъекту доступа «пользователь») может быть отнесено и к случаю, когда в качестве субъекта доступа выступает «процесс». Соответственно множество С = {С1,...,Ск} — линейно упорядоченные множества процессов. В качестве субъекта доступа «процесс» Ci, i = l,...,k рассматривается как отдельный процесс, так и группа процессов, характеризуемая одинаковыми правами доступа к объектам. В частности, каноническую модель управления доступом можно представить матрицей доступа D, имеющей следующий вид: где «О» обозначает отсутствие доступа процесса к объекту, а «1» — полный доступ (например, разрешены типы доступа «Запись» и «Чтение» для файловых объектов). Под канонической моделью управления доступом для линейно упорядоченных множеств процессов (групп процессов) и объектов (групп объектов) доступа будем понимать модель, описываемую матрицей доступа, элементы главной диагонали которой «1» задают полный доступ процессов к объектам, остальные элементы «О» задают запрет доступа процессов к объектам. Аналогично сказанному ранее для субъектов доступа «процесс» в модели управления доступом могут быть реализованы либо выделенные, либо виртуальные каналы взаимодействия субъектов доступа. Следуя определению канонической модели, можем сделать вывод, что включение в схему управления субъекта доступа «процесс» позволяет в системе локализовать объекты доступа (например, области дисковой памяти, устройства и т.д.) для отдельных приложений и иных групп процессов. Верно и обратное: можно локализовать процессы (приложения) для отдельных объектов доступа (данных).

Итак, в общем случае следует различать два вида субъекта доступа «пользователь» и «процесс». Поэтому в общем случае диспетчером доступа по отношению к объектам должны реализовываться следующие возможности:

• разграничение прав доступа к объектам процессов вне разграничений пользователей;

» разграничение прав доступа к объектам пользователей вне разграничений процессов;

» комбинированное разграничение прав доступа — разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей).

Субъект доступа «процесс» является вторичным по отношению к субъекту доступа «пользователь». В отличие от субъекта «пользователь» он может либо присутствовать, либо отсутствовать в схеме разграничения прав доступа.

52. Возможности разграничение доступа к системному диску для ОС Windows 95/98/ME.

В ОС семейства Windows возможен запуск пользовательских (прикладных пользователей) и системных (виртуального пользователя «система») процессов. При этом некоторые ОС, например, Windows 95/98/ME, не позволяют идентифицировать, относится ли запускаемый процесс к системному, либо к пользовательскому. То есть любой процесс может быть идентифицирован только его именем и именем пользователя, от лица которого он был запущен. Особенностью системных процессов является то, что для нормального функционирования системы они должны осуществлять не только чтение данных из системного диска (области внешней памяти, где хранятся каталоги и файлы собственно ОС), но и запись на системный диск. Из-за того, что все процессы в ОС Windows 95/98/Ме сопоставляются с пользователем, то разграничение доступа для процессов может сводиться к разграничению доступа для пользователей. Если же рассматривать механизмы защиты, реализующие разграничение только для одного типа субъектов доступа — субъекта «пользователь», то в общем случае доступ к системному диску не может быть запрещен ни для чтения, ни для записи. Таким образом, не может быть корректно реализован ни дискреционный, ни мандатный механизмы управления доступом, т.к. присутствуют объекты, доступ к которым не может быть разграничен между Пользователями системы. Проиллюстрируем сказанное с использованием матриц доступа D, где системный диск обозначим как Ос. В соответствии с введенным ранее определением модель управления доступом на основе произвольного управления виртуальными каналами взаимодействия субъектов доступа в рассматриваемом случае описывается матрицей доступа D, имеющей следующий вид: Аналогично матрица доступа D для полномочной модели управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа в рассматриваемом случае принимает вид, представленный ниже: Из анализа приведенных моделей можем сделать вывод о невозможности корректного решения задачи управления доступом к ресурсам (не реализуема каноническая модель доступа) так как существует объект (системный диск), доступ к которому для субъектов «пользователь» разграничить невозможно.

53. Возможности разграничение доступа к системному диску для ОС Windows NT/2000 и Unix.

Для ОС Windows NT/2000, в которых различают пользовательские и системные процессы встроенными в ОС средствами, а также для ОС UNIX, где системные процессы запускаются с правами «root», рассматриваемая проблема имеет иное трактование. Механизмами разграничения прав доступа этих систем может разграничиваться доступ только для пользователей (для пользовательских процессов). Для системных же процессов разграничения установить невозможно в принципе. Это обусловливает очень распространенную атаку — запуск несанкционированного процесса с системными правами. Кроме того, не представляется возможным осуществить разграничение для приложений, запускаемых с системными правами. Это усугубляет последствия ошибок в данном ПО. Так, если вернуться к существующей статистике угроз, то можем увидеть, что данным угрозам подвержены практически все существующие ОС. Причем доля подобных угроз весьма существенна. Если обозначить группу системных процессов Сс, то, например, модель управления доступом на основе произвольного управления виртуальными каналами взаимодействия субъектов доступа описывается матрицей доступа D, имеющей следующий вид: Это наглядно показывает невозможность корректной реализации моделей разграничения доступа для современных ОС без возможности разграничения доступа для субъекта «ПРОЦЕСС».

Дата добавления: 2014-01-05; Просмотров: 744; Нарушение авторских прав?; Мы поможем в написании вашей работы!