Назначение механизма контроля доступа к ресурсам
Ключевым механизмом защиты информации является контроль доступа к ресурсам, основанный на задании и реализации правил разграничения доступа к ресурсам для пользователей. Задаваемые правила доступа всегда могут быть представлены соответствующей моделью (или матрицей доступа).
Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} — соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа
Сi, i = 1,…, k
рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа (заметим, что на практике это могут быть как различные пользователи, так и один и тот же пользователь, обладающий различными правами доступа при различных режимах обработки информации), соответственно, в качестве объекта доступа
Оi, i = 1,…, k
может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми правами доступа к ним.
Пусть S = {0, Чт, Зп} — множество прав доступа, где «0» обозначает отсутствие доступа субъекта к объекту, «Чт» — разрешение доступа для чтения объекта, «Зп» — разрешение доступа для записи в объект.
Каноническую модель контроля доступа (модель контроля доступа, реализующая базовые требования к механизму защиты) можно представить матрицей доступа D, имеющей следующий вид:
Под канонической моделью контроля доступа для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» задают право полного доступа субъектов к объектам, остальные элементы «0» задают запрет доступа субъектов к объектам.
Заметим, что каноническая модель контроля доступа описывает режим изолированной обработки информации, при котором объекты не могут служить каналами взаимодействия субъектов.
Сегодня при реализации частных решений по противодействию внутренним IT-угрозам широко используется полномочный контроль доступа. Его практическое использование в данных приложениях обусловлено тем, что в корпоративных системах, как правило, на одном и том же компьютере обрабатывается различная по уровню конфиденциальности информация, что позволяет ее категоризовать («открытая», «конфиденциальная», «строго конфиденциальная» и т.
д.), при этом необходимо обеспечить различные режимы обработки информации разных категорий на основе задания соответствующих полномочий субъектам доступа (откуда и название) к категоризованным объектам.
Основу полномочного контроля доступа составляет способ формализации понятий «группа пользователей» и «группа объектов», на основании вводимой шкалы полномочий. Наиболее широко на практике используется способ иерархической формализации отношения полномочий, состоящий в следующем. Иерархическая шкала полномочий вводится на основе категоризования данных (открытые, конфиденциальные, строго конфиденциальные и т. д.) и прав допуска к данным пользователей (по аналогии с понятием «формы допуска»). Будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов —
С = {С1,…, Ск}
и
О = {О1,…, Оk}).
Соответствующая формализация правил доступа субъектов к объектам при этом, как правило, сводится к следующему:
Матрица доступа D, описывающая полномочную модель контроля доступа, имеет следующий вид:
Таким образом, основная задача, решаемая при реализации данного способа контроля доступа, состоит в предотвращении возможности понижения категории информации при ее обработке. Иногда дополнительно вводится правило, разрешающее запись информации более низкой категории в объекты более высокой категории, что также не противоречит идее противодействия понижению категории информации; матрица доступа D, описывающая полномочную модель контроля доступа, при этом имеет следующий вид:
Возможность работы одного и того же пользователя с данными различных категорий большинством известных реализаций полномочного контроля доступа обеспечивается тем, что в системе реализуются динамические полномочия пользователя, изменяемые применительно к тому, с документом какой категории пользователь работает.
Корректность реализации полномочного контроля здесь обеспечивается тем, что разрешается изменять категорию лишь в сторону ее повышения
(Ck Ck–1, …С1)
— после чтения открытого документа пользователю разрешается сохранять данные в объект категории «открыто», после чтения конфиденциального документа пользователю разрешается сохранять данные в объект категории «конфиденциально», причем все открытые ранее документы категории «открыто» также разрешается сохранять только в объект категории «конфиденциально».
В порядке замечания отметим, что само это решение уже существенно снижает эффективность защиты информации, не позволяя обеспечить разные режимы обработки информации различных категорий. Поясним сказанное, при этом не будем забывать, что основу разграничительной политики доступа к ресурсам в ОС Windows составляет назначение атрибутов доступа объектам и привилегий пользователям. Среди этих привилегий есть очень важные, например, разрешить только локальный вход в систему и др. Привилегии назначаются учетной записи. При рассмотренном же подходе к решению задачи (полномочный контроль доступа), доступ к информации различных категорий осуществляется под одной и той же учетной записью, что делает невозможным при таком решений назначать различные привилегии пользователю при обработке информации различной категории. На наш взгляд, уже этого достаточно, чтобы признать подобное решение не самым удачным. Однако в статье речь пойдет о другом.