Модели разграничения доступа к информации
Фундаментальным понятием в сфере защиты информации компьютерных систем является политика безопасности. Под ней понимают интегральную совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищенности информации в заданном пространстве угроз. Формальное выражение политики безопасности (математическое, схемотехническое, алгоритмическое и т. д.) называют моделью безопасности.
Модели безопасности играют важную роль в процессах разработки и исследования защищенных компьютерных систем, так как обеспечивают системотехнический подход, включающий решение следующих важнейших задач:
выбор и обоснование базовых принципов архитектуры защищенных компьютерных систем (КС), определяющих механизмы реализации средств и методов защиты информации;
подтверждение свойств (защищенности) разрабатываемых систем путем формального доказательства соблюдения политики безопасности (требований, условий, критериев);
составление формальной спецификации политики безопасности как важнейшей составной части организационного и документационного обеспечения разрабатываемых защищенных компьютерных систем.
По сути модели безопасности являются исходным связующим элементом в триаде "Заказчик (Потребитель) – Разработчик (Производитель) – Эксперт (Аудитор)". На основе моделей безопасности заказчики могут формулировать те требования к защищенным КС, которые соответствуют политике безопасности, технологическим процессам обработки информации, принятым в своих организациях и предприятиях. Разработчики на основе моделей безопасности формируют технико-технологические требования и программно-технические решения по разрабатываемым системам. Эксперты, основываясь на моделях безопасности, строят методики и спецификации оценки защищенности конкретных систем, осуществляют сертификацию разработанных систем по требованиям защиты информации.
Методологические основы к моделированию процессов защиты информации рассмотрены в работах В.А. Герасименко [12], одного из наиболее известных отечественных исследователей теоретических и практических аспектов защиты информации в КС, автора системно–концептуального подхода к информационной безопасности. Герасименко представил общую модель процессов защиты информации, структурировав ее на взаимосвязанные компоненты, и выделив в отдельный блок модели систем разграничения доступа к ресурсам КС.
Среди программно-технических методов защиты информации выделяют в первую очередь разграничение доступа. Разграничение доступа (ограничение, дифференциация, управление доступом и т. д.) непосредственно обеспечивает конфиденциальность информации, а также снижает вероятность реализации угроз целостности и правомерной доступности. Таким образом, среди других методов обеспечения защищенности информации, схематично представленных на рис. 10.1., разграничение доступа можно рассматривать как комплексный программно-технический метод защиты информации в КС и необходимое условие обеспечения состояния защищенности информации в КС.
Ввиду основополагающего значения разграничения доступа дадим формальное определение данному понятию.
Определение 10.1.Под разграничением доступа к информации в КС будем понимать разделение информации, циркулирующей в КС, па части, элементы, компоненты, объекты и т. д., и организацию такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части (к тем компонентам) информации, которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений.
Содержание понятия разграничения доступа по определению 10.1.показывает необходимость изначальной разработки единой модели представления (организации) данных и разграничения доступа к ним, средствами которой можно было бы формализовать и анализировать процессы коллективного доступа к информационным ресурсам.
Рис. 10.1. Схема методов обеспечения защищенности информации в КС
Создание единых моделей представления и обработки (манипулирования) данных и разграничения доступа к данным закономерно требует исходной теоретической основы, моделирующей компьютерную систему под углом зрения процессов и механизмов коллективного доступа к информационным ресурсам.
10.2. Субъектно-объектная модель компьютерной системы в механизмах и процессах коллективного доступа к информационным ресурсам
Большинство моделей разграничения доступа основывается на представлении КС как совокупности субъектов и объектов доступа. Приведем основные положения модели.
1. В КС действует дискретное время.
2. В каждый фиксированный момент времени tk КС представляет собой конечное множество элементов, разделяемых на два подмножества:
подмножество субъектов доступа S;
подмножество объектов доступа О.
Определение 10.2. Под субъектом доступа понимается активная сущность КС, которая может изменять состояние системы через порождение процессов над объектами, в том числе, порождать новые объекты и инициализировать порождение новых субъектов.
Определение 10.3. Под объектом доступа понимается пассивная сущность КС, процессы над которой могут в определенных случаях быть источником порождения новых субъектов.
В модели предполагается наличие априорно безошибочною механизма различения активных и пассивных сущностей (т.е. субъектов и объектов) по свойству активности, что можно проиллюстрировать интуитивно понятными различиями между файлом с кодом программы и исполняемой (запущенной) программой, порождающей процессы над объектами системы.
Кроме того, предполагается также, что в любой момент времени tk, в том числе и в начальный, множество субъектов доступа не пусто.
Пользователи КС представлены одним или некоторой совокупностью субъектов доступа, действующих от имени конкретного пользователя.
Определение 10.4. Под пользователем КС понимается лицо, внешний фактор, аутентифицируемый некоторой информацией, и управляющий одним или несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии КС через субъекты, которыми он управляет.
Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Предполагается также, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что в общем случае не соответствует реальным КС, в которых пользователи могут изменять свойства субъектов, через изменение программ (исполняемых файлов). Однако подобная идеализация позволяет построить четкую схему процессов и механизмов доступа, а угрозы безопасности, возникающие вследствие подобных реалий, рассматривать в контексте гарантий выполнения политики безопасности (политики разграничения доступа) через механизмы неизменности свойств КС (т. н. изолированная программная среда).
Субъекты КС могут быть порождены из объектов только активной сущностью (другим субъектом).
Определение 10.5. Объект оi называется источником для субъекта sm если существует субъект sj, в результате воздействия которого на объект оi возникает субъект sm.
Соответственно, субъект sj, называется активизирующим для субъекта sm.
Для описания процессов порождения субъектов доступа вводится следующее обозначение:
Create (sj , оi)→sm – "из объекта оi порожден субъект sm при активизирующем воздействии субъекта sj".
Create называют операцией порождения субъектов. Отметим также, что ввиду того, что в КС действует дискретное время, то под воздействием активизирующего субъекта в момент времени tk, новый субъект порождается в момент времени tk + 1.
Результат операции Create зависит как от свойств активизирующего субъекта, так и от свойств объекта-источника. К при меру, субъект пользователя в виде работающего текстового редактора при открытии файла в формате другого текстового редактора может быть не способным активизировать находящиеся там процедуры обработки данных, а в лучшем случае быть способным только их прочитать. Другой пример – командный интерпретатор ОС по команде пользователя не может запустить на исполнение текстовый файл и создать таким образом субъект пользователя. В таких случаях (sj , оi) →Ø.
Анализ архитектуры вычислительной системы фон Неймана, на базе которой функционируют КС, показывает, что введенное понятие субъекта доступа и процесса его порождения требует связывания субъекта с определенным объектом (объектами), отражающим состояние действующего субъекта в различные моменты времени.
Определение 10.6. Объект oi в момент времени tk ассоциирован с субъектом sm , если состояние объекта повлияю на состояние субъекта в следующий момент времени tk+1 (т. е. субъект sm использует информацию, содержащуюся в объекте оi).
Из определения 10.6. следует, что объект-источник в момент порождения субъекта является ассоциированным с ним, а в последующие моменты времени может перестать быть или остаться ассоциированным с ним. К примеру, исполняемые файлы программявляются ассоциированными с субъектом только в момент его порождения, так как в процессе инициализации (запуска) код программы из исполняемого файла копируется в специальную область памяти (сегмент кода), откуда впоследствии собственно и извлекаются команды-инструкции выполнения программы. Следовательно, файл на диске с исполняемым кодом программы после ее запуска перестает быть ассоциированным с субъектом, порожденным запуском программы. Напротив, в некоторых СУБД со встроенными системами программирования интерпретаторского типа команды-инструкции по обработке данных в каждый момент времени могут извлекаться непосредственно из файлов базы данных, располагаемых на диске. В этом случае, соответственно, файл базы данных продолжает оставаться ассоциированным с субъектом, порожденным открытием (запуском) соответствующего файла базы данных.
Активная сущность субъектов доступа заключается вих возможности осуществлять определенные действия над объектами, что объективно приводит к возникновению потоков информации. Исходя из этого, центральным положением субъектно-объектной модели является следующее.
Все процессы безопасности в КС описываются доступами субъектов к объектам, вызывающими потоки информации.
Определение 10.7. Потоком информации между объектом оi и объектом oj называется произвольная операция над объектом oj, реализуемая в субъекте sm и зависящая от объекта оi.
Для описания потоков вводят следующее обозначение: Stream(sm, оi) → oj "поток информации от объекта оi(oj) к объекту оj(oi) в субъекте sm (через субъект sm )"
Поток может осуществляться в виде различных операций над объектами – чтение, изменение, удаление, создание и т. д. Объекты оi и oj участвующие в потоке, могут быть как источниками, так и приемниками информации, могут быть как ассоциированными с субъектом, так и неассоциированными,а также могут быть пустыми (Ø) объектами (например, при создании или удалениифайлов). Следует особо подчеркнуть, что согласно определению 10.7.потоки информации могут быть только между объектами, а не между субъектом и объектом, в виду того, что субъект это активная сущность, т. е. действия, процессы и т. д., а информация – пассивная сущность, которая может размещаться, извлекаться, порождаться, изменяться и т. д. только в объектах. Активная роль субъекта заключается в самой реализации потока, в его локализации в субъекте (через субъект), в том числе, через задействование в потоке ассоциированных с субъектом объектов (например, буферов оперативной памяти). В этом отношении более детальный анализ понятия субъектов доступа, определений 10.5. и 10.6.показывает, что ассоциированные объекты могут быть разделены на два вида:
• функционально-ассоциированные объекты;
• ассоциированные объекты-данные.
Функционально-ассоциированные объекты влияют (определяют) на сами процессы субъекта (например, состояние сегмента кода определяет свойства субъекта в следующий момент времени). Ассоциированные объекты-данные выступают в роли аргументов в операциях, порождающих потоки информации (например, буферы оперативной памяти, в которых помещается для отображения на экране информация при чтении файла). Таким образом, если на первый взгляд в потоке участвует только один (одни) субъект(ы), то, как правило, при более пристальном взгляде можно увидеть, что в данной операции участвуют еще и ассоциированные с субъектом доступа объекты.
Определение 10.8. Доступом субъекта sm к объекту oj называется порождение субъектом sm потока информации между объектом оj и некоторым(и) объектом oi (в т. ч,, но не обязательно, объект оi ассоциирован с субъектом sm).
Формальное определение 10.8.понятия доступа дает возможность средствами субъектно-объектной модели перейти непосредственно к описанию процессов безопасности информации в защищенных КС. С этой целью вводится множество потоков Р для всей совокупности фиксированных декомпозиций КС на субъекты и объекты во все моменты времени (множество Р является объединением потоков по всем моментам времени функционирования КС).
С точки зрения процессов безопасности, трактуемой как состояние защищенности информации в КС, множество потоков Р разбивается на два непересекающихся подмножества РN и PL:
P=PL PN
PL PN=Ø
где PL – множество потоков, вызываемых легальными (безопасными) доступами;
PN - множество опасных, нарушающих состояние защищенности информации (конфиденциальность, целостность и доступность информации) потоков в КС.
На основе множества потоков дается следующее понятие, составляющее основу формализации политики разграничения доступа в моделях безопасности.
Определение 10.9.Правиларазграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству PL .
Определение 10.9. завершает основные положения субъектно-объектной модели КС, на методологическом фундаменте которой строится большинство моделей разграничения доступа, выражающих, собственно, подходы, принципы и механизмы правил разграничения доступа (политику разграничения доступа), а также формальные их спецификации (сами модели разграничения доступа). Ввиду того, что определение 10.9.не конкретизирует и не детализирует конкретных механизмов фильтрации потоков на опасные и безопасные, то можно говорить, что субъектно-объектная модель КС инвариантна относительно любой принимаемой в КС политики безопасности.
Добавим, кроме того, что во многих источниках и, в особенности, в нормативных документах по защите информации в КС, основываясь на понятии правил разграничения доступа, вводят производные термины в виде санкционированных и несанкционированных доступов.
Дата добавления: 2020-10-14; просмотров: 648;