Системы разграничения доступа

В начале 1970-х годов проблемы информационной безопасности только начинали прорабатываться, предпринимались первые попытки увязать работу компьютерной системы с существующей системой классификации секретной информации. Однако, на практике это порождало ряд трудноразрешимых проблем. Одна их которых заключалась в том, что ЭВМ и ОС были устроены настолько сложно для понимания, что операторы или программисты теоретически могли закладывать в них любые недокументированные функции, не рискуя быть обнаруженными. Вторая крупная проблема была в разделении ресурсов одной ЭВМ на работу с разными уровнями секретности, т.е. люди с разными уровнями допуска фактически взаимодействовали с одним физическим хранилищем.

В период 1970-1980 годов, как уже отмечалось неоднократно, основным заказчиками и инициаторами разработок в области защиты компьютерной информации были военные. Информация, которую было необходимо защитить – сведения, относящиеся к государственной тайне.В США, как и практически во всех странах существовала сложившаяся система работы с секретными данными. Документу присваивался один из грифов секретности, доступ к документу имели только лица, наделенные полномочиями (имеющие определенный уровень допуска).

Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

Так, в 1972 году в Министерстве обороны США появилась т.н. концепция «ядра безопасности», система защиты информации должна быть функционально самостоятельной единицей, взаимодействующей с аппаратной частью, а не частью ОС. Первым таким примером является программа HYDRA. Концепция была разработана в группе Джеймса И. Андерсона. Также этой группой была предложена еще одна концепция – диспетчер (монитор) доступа, для обеспечения разграничения авторизованного доступа и запрета чтения данных с более высоким уровнем секретности (мандатный принцип разграничения доступа).

В 1975 году была разработана модель мандатного разграничения доступа – модель Белла-ЛаПадула, которая по праву считается самой значимой моделью того времени.

Авторы модели определили, что ограничения по вышеописанному принципу являются недостаточными для обеспечения безопасности военных систем обработки конфиденциальных данных, проблема возникла вследствие того, что субъекты могли вести запись данных в документы с более низким уровнем конфиденциальности. Модель Белла-ЛаПадула решала эту проблему.

Система представляется как конечный автомат, с двумя типами состояний: безопасные и небезопасные. Под безопасностью понимается такое состояние системы, при котором обеспечивается конфиденциальность информации.

В модели разрешение доступа определяется соотношением уровня допуска субъекта и уровня секретности объекта. Каждому субъекту и объекту присваивается метка конфиденциальности. Причем субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Также субъекту запрещается запись информации в объекты с более низким уровнем безопасности. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.

Модель Белла-ЛаПадула расширяла понятие субъекта (включая в него информационные процессы и программы), пытаясь решить потенциальную угрозу троянов (термин появился также в этот период в АНБ).

В 1977 году появилась модель Биба (Kenneth J. Biba), в основе которой также лежит мандатное разграничение доступа, однако в основе разделения на уровни лежит не конфиденциальность, а целостность информации. Чем выше уровень целостности объекта, тем выше ценность содержащихся в нем сведений, и тем строже должны быть правила доступа к этому объекту. Соответственно, чем выше уровень субъекта, тем более доверенным он является и тем больше полномочий ему предоставляется.

Параллельно с тем, как развивалось прикладное направление защиты информации и создавались модели, предназначенные для решения конкретных задач защиты в военной сфере, появилось научное направление, в котором исследовалась теоретическая возможность обеспечения защиты информации. В этом направлении был создан ряд теоретических или формальных моделей для абстрактного представления политики безопасности, разграничения доступа или информационных потоков в компьютерных системах. В таких моделях все элементы определяются через абстрактные понятия: «субъект», «объект», «операция». Затем для них математически задаются правила, содержащиеся в политике безопасности, условия функционирования и критерии безопасности. На основании такой модели можно производить математическое доказательство безопасности и далее производить построение компьютерной системы.

Дискреционное упревление доступом( избирательное управление доступом, англ. discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

Первая модель такого типа – дискреционная модель Харрисона-Руззо-Ульмана (Harrison-Ruzzo-UIIman), созданная в 1976 году. В данной модели права доступа определяются на основании матрицы доступа, модель позволяет добавлять и удалять субъекты и объекты, изменять права доступа.

Следующая формальная модель – это модель Take Grant (1976), также модель дискреционного управления доступом. В отличие, от предыдущей модели, здесь система представляется, как конечный ориентированный граф, узлами которого являются объекты и субъекты, а дуги представляют собой операции, значения на дугах задают права доступа.

Еще одна модель, созданная в 1976 году, – это модель безопасности информационных потоков.