|
|
| Строка 1: |
Строка 1: |
| | + | '''Управление доступом''' - предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом |
| | | | |
| − | == Определения ==
| + | '''''Источник:''''' [[ГОСТ Р ИСО 7498-2-99]] - Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
| − | '''Дискреционное управление доступом''' (англ. Discretionary access control) - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. | |
| − | | |
| − | '''Мандатное управление доступом''' (англ. Mandatory access control) - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
| |
| − | | |
| − | Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.) | |
| − | | |
| − | == Толкование ==
| |
| − | Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам - объектам. В качестве субъектов в простейшем случае понимается пользователь. Однако в дальнейшем это понятие будет нами расширено. На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.
| |
| − | | |
| − | == Абстрактные модели доступа ==
| |
| − | Механизм управления доступом реализует на практике некоторую абстрактную (или формальную) модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.
| |
| − | === Модель Биба ===
| |
| − | Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно этой модели все субъекты и объекты предварительно разделяются по нескольким уровням доступа. Затем на их взаимодействия накладываются следующие ограничения:
| |
| − | *субъект не может вызывать на исполнение субъекты с более низким уровнем доступа;
| |
| − | *субъект не может модифицировать объекты с более высоким уровнем доступа.
| |
| − | Эта модель очень напоминает ограничения, введенные в защищенном
| |
| − | режиме микропроцессоров Intel 80386+ относительно уровней привилегий.
| |
| − | === Модель Гогена-Мезигера ===
| |
| − | Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы — домены.
| |
| − | | |
| − | Переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указа-
| |
| − | но, какие операции может выполнять субъект, например, из домена С над объектом из домена D. В данной модели при переходе системы из
| |
| − | одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.
| |
| − | === Сазерлендская модель ===
| |
| − | Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, основана на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.
| |
| − | === Модель Кларка-Вильсона ===
| |
| − | Важную роль в теории защиты информации играет модель защиты Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. В данной модели впервые исследована защищенность третьей стороны - стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены субъекта в момент между его идентификацией и собственно командой. Модель Клар ка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.
| |
| − | | |
| − | === Дискреционная (матричная) модель ===
| |
| − | В терминах матричной модели, состояние системы защиты описывается следующей тройкой:
| |
| − | '''(S, О, М)''', | |
| − | где '''S''' — множество субъектов, являющихся активными структурными
| |
| − | элементами модели;
| |
| − | '''О''' — множество объектов доступа, являющихся пассивными защи-
| |
| − | щаемыми элементами модели. Каждый объект однозначно иден-
| |
| − | тифицируется с помощью имени объекта;
| |
| − | '''М''' - матрица доступа. Значение элемента матрицы '''М [S, 0}''' определяет права доступа субъекта '''S''' к объекту '''О'''.
| |
| − | Права доступа регламентируют способы обращения субъекта '''S''' к различным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение '''(R)''', запись '''(W)''' и выполнение '''(Е)'''.
| |
| − | | |
| − | Основу реализации управления доступом составляет анализ строки матрицы доступа при обращении субъекта к объекту. При этом проверяется
| |
| − | строка матрицы, соответствующая объекту, и анализируется есть ли в ней разрешенные прав доступа для субъекта или нет. На основе этого принимается решение о предоставлении доступа.
| |
| − | | |
| − | При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них - это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок.
| |
| − | | |
| − | === Многоуровневые (мандатные) модели ===
| |
| − | С целью устранения недостатков матричных моделей были разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла-Падулы, а также решетчатая модель Д. Деннинг. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредством использования так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа.
| |
| − | | |
| − | Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) - признаками конфиденциальности информации.
| |
| − | | |
| − | Признаки конфиденциальности фиксируются в метке объекта.
| |
| − | Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, несекретно и т.п.
| |
| − | Основу реализации управления доступом составляют:
| |
| − | #Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.
| |
| − | #Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.
| |
| − | | |
| − | Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки (умышленного переноса). То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким
| |
| − | набором категорий доступа.
| |
| − | | |
| − | Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели.
| |
| − | С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования (настройки). Причем это касается как исходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа.
| |
| − | | |
| − | == Требования к реализации моделей ==
| |
| − | === Требования к дискреционной модели управления доступом ===
| |
| − | Следуя формализованным требованиям к системе защиты информации,основой реализации разграничительной политики доступа к ресурсам при
| |
| − | обработке сведений конфиденциального характера является дискреционный механизм управления доступом. При этом к нему предъявляются
| |
| − | следующие требования:
| |
| − | #Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, про-
| |
| − | граммам, томам и т.д.);
| |
| − | #Для каждой пары (субъект — объект) в средстве вычислительной техники ([[СВТ]]) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту);
| |
| − | #Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа;
| |
| − | #Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);
| |
| − | #Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа ([[ПРД]]), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов;
| |
| − | #Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.);
| |
| − | #Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ;
| |
| − | === Требования к мандатной модели управления доступом ===
| |
| − | Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом. Требования к мандатному механизму состоят в следующем:
| |
| − | #Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии (метки конфиденциальности). Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
| |
| − | #Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).
| |
| − | #Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
| |
| − | | |
| − | **субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта. При этом иерархические категории в классификационном уровне субъекта должны включать в себя все иерархические категории в классификационном уровне объекта;
| |
| − | **субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации. При этом все иерархические категории в классификационном уровне субъекта должны включаться в иерархические категории в классификационном уровне объекта.
| |
| − | #Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и
| |
| − | объектов специально выделенными субъектами.
| |
| − | #В СВТ должен быть реализован диспетчер доступа, т.е. средство, вопервых, осуществляющее перехват всех обращений субъектов к объектам, а во-вторых, разграничивающее доступ в соответствии с заданным принципом разграничения доступа. При этом решение о
| |
| − | санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должны контролироваться не только единичный акт доступа, но и потоки информации.
| |
| − | | |
| − | === Дополнительные требования ===
| |
| − | ==== Требования непосредственно к дискреционному и мандатному механизмам ====
| |
| − | При защите секретной информации используется и дискреционная и мандатная модели управления доступом. Требования к реализации мандатной модели в рамках защиты секретной информации были приведены выше. Что касается требований к дискреционному механизму, то при защите секретной информации следует придерживаться тех же требований, что и для защиты конфиденциальной информации.
| |
| − | | |
| − | Однако в дополнение к последним добавляется еще пара требований:
| |
| − | *Система защиты должна содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, недопустимого с точки зрения заданного ПРД). Под «явными» подразумеваются действия, осуществляемые с использованием системных средств — системных макрокоманд, инструкций языков высокого уровня и т.д. Под «скрытыми» — иные действия, в том числе с использованием злоумышленником собственных программ работы с устройствами.
| |
| − | *Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.
| |
| − | | |
| − | === Требования к управлению доступом к ресурсам ===
| |
| − | Отдельно сформулированы требования к управлению доступом к устройствам.
| |
| − | ==== Защита ввода и вывода на отчуждаемый физический носитель информации ====
| |
| − | *Система защиты должна различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) система защиты должна обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с «помеченным» каналом связи.
| |
| − | *Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем системы защиты.
| |
| − | | |
| − | ==== Сопоставление пользователя с устройством ====
| |
| − | *Система защиты должна обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так для идентифицированных (при совпадении маркировки).
| |
| − | *Система защиты должна включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется с выделенным ему конкретным устройством.
| |
| − | | |
| | [[Категория: Определения]] | | [[Категория: Определения]] |
