Разграничение доступа зарегистрированных пользователей к ресурсам АС

 

Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

 

Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

 

Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

 

Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.

 

Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).

 

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

 

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

 

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

 

Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

 

Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

 

Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:

 

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

 

• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

 

• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

 

Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:

 

• на контролируемую территорию;

 

• в отдельные здания и помещения организации;

 

• к элементам АС и элементам системы защиты информации (физический доступ);

 

• к информационным и программным ресурсам АС.

 

Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех обращениях субъектов к объектам.

 

 

Рис. 1.7.1. Схема работы механизма разграничения доступа

 

Диспетчер доступа выполняет следующие основные функции:

 

• проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);

 

• разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;

 

• при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

 

Основными требованиями к реализации диспетчера доступа являются:

 

• полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, - обход диспетчера предполагается невозможным);

 

• изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;

 

• возможность формальной проверки правильности функционирования;

 

• минимизация используемых диспетчером ресурсов (накладных расходов).

 

В общем виде работа средств разграничения доступа субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.

 

Под базой данных защиты ( security database ) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам.

Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированных пользователей (администраторов безопасности, владельцев объектов и т.п.) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:

 

• добавления и удаления объектов и субъектов;

 

• просмотра и изменения соответствующих прав доступа субъектов к объектам.

 

 

Рис. 1.7.2. Матрица избирательного управления доступом

 

Форма представления базы данных защита может быть различной.

 

Основу базы данных средств разграничения доступа в общем случае составляет абстрактная матрица доступа или ее реальные представления. Каждая строка згой матрицы соответствует субъекту, а столбец - объекту АС. Каждый элемент этой матрицы представляет собой кортеж (упорядоченную совокупность значений), определяющий права доступа (для всех возможных видов доступа - чтение, модификация, удаление и т.п.) определенного субъекта к определенному объекту.

 

Сложность управления доступом (ведения матрицы доступа) в реальных системах связана не только с большой размерностью этой матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.

 

Например, пользователь должен наследовать полномочия групп пользователей, в которые он входит. Права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.).

 

При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.

 

Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).

 

Основные критерии оценки эффективности различных способов неявного задания матрицы доступа следующие:

 

• затраты памяти на хранение образа матрицы доступа;

 

• время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);

 

• удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).

 

Рассмотрим основные способы неявного задания матрицы доступа

Списки управления доступом к объекту

 

В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

 

Такое представление матрицы доступа получило название "списка управления доступом"' ( access control list - ACL ). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS ).

 

Достоинства:

 

• экономия памяти, так как матрица доступа обычно сильно разрежена;

 

• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

 

Недостатки:

 

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

 

• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

 

• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

 

Списки полномочий субъектов

 

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

 

Такое представление матрицы доступа называется "профилем" ( profile ) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare .

 

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

Достоинства:

 

• экономия памяти, так как матрица доступа обычно сильно разрежена;

 

• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

 

• Недостатки:

 

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

 

• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

 

• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

 

Атрибутные схемы

 

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX .

 

Основными достоинствами этих схем являются:

 

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

 

• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

 

• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

 

• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

 

Недостатки:

 

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

 

• затруднено задание прав доступа конкретного субъекта к конкретному объекту.

 

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

 

• вход пользователя в систему;

 

• вход пользователя в сеть;

 

• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

 

• подключение к файловому серверу;

 

• запуск программы;

 

• завершение программы;

 

• оставление программы резидентно в памяти;

 

• попытка открытия файла недоступного для чтения;

 

• попытка открытия на запись файла недоступного для записи;

 

• попытка удаления файла недоступного для модификации;

 

• попытка изменения атрибутов файла недоступного для модификации;

 

• попытка запуска программы, недоступной для запуска;

 

• попытка получения доступа к недоступному каталогу;

 

• попытка чтения/записи информации с диска, недоступного пользователю;

 

• попытка запуска программы с диска, недоступного пользователю;

 

• вывод на устройства печати документов с грифом (при полномочном управлении доступом);

 

• нарушение целостности программ и данных системы защиты и др.

 

В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации. Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создает дополнительные сложности в администрировании системы зашиты.