Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Введение в теоретические основы компьютерной безопасности (Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю.).pdf
Скачиваний:
217
Добавлен:
28.06.2014
Размер:
2.36 Mб
Скачать

-104-

По свойству транзитивности потоков имеет место доступ субъекта Х к объекту Oj через субъект Si.

В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:

1.Доступ к объекту Oj со стороны субъекта Si при управляющем воздействии субъекта X.

2.Порождение субъектом Si из локального объекта нового субъекта Si*, для которого существует поток Stream(X, Si*).

Вообще говоря, существенных различий с точки зрения доступа субъекта

X к локальному объекту между ситуациями активности субъекта Si или S*i не существует - в обоих случаях существуют сложный поток, включающий в себя

ассоциированные объекты локального субъекта (Si или Si* соответственно). Различие описанных ситуаций находится в области корректного

межсубъектного взаимодействия в рамках ЛС КС, т.е. поскольку процесс активизации может быть инициирован субъектом X, то вновь порожденный субъект помимо реализации потоков к внешнему субъекту может реализовать и потоки к ассоциированным объектам субъектов ЛС КС, например, МБС и МБО.

Вданном случае нарушается основное условие попарной корректности субъектов.

4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы

Рассмотрение алгоритмов локальной защиты не затрагивает в указанных работах реализованной политики безопасности и носит в основном технический характер (реализация различных механизмов контроля доступа и т.д.).

Будем полагать, что в ЛС КС могут существовать только попарно корректные субъекты, замкнутые в ИПС (т.е. в составе ЛС КС существует МБС) с контролем целостности порождаемых субъектов. Кроме того, во множестве субъектов ЛС КС действует МБО, реализующих некоторую политику безопасности.

Рассмотрим общепринятую на сегодняшний день политику безопасности в контексте сформулированного взаимодействия локального и внешнего сегмента КС. Предварительно заметим, что в сформулированных условиях (генерация ИПС) для выделенного ЛС КС в случае отсутствия или неактивности ТПО) гарантированно реализуется любая политика безопасности, заданная в МБО (см. утверждение 3 части 1).

В случае существования субъекта с внешним управлением даже в случае его корректности относительно других субъектов условия утверждения 3 части 1 в общем случае не выполнены. Покажем это.

Предположим для произвольно выделенного нами ЛС КС наличие m

пользователей P1, ..., Pn, ... , Pm.

Введем также понятие прав доступа субъектов к объектам как возможностей реализации потоков Stream(Sm,Om)->Ov (Om ассоциированный объект Sm) - право доступа типа W (Write - запись) и потоков Stream(Sm, Ov)-

-105-

>Om - право доступа R (Read - чтение). Следовательно, если субъект имеет право доступа R к объекту Ov, то это эквивалентно возможности существования потока Stream(Sm,Ov)->Om.

Вообще говоря, задаваясь некоторыми свойствами потока Stream(Sm,Om)- >Oj или Stream(Sm,Oj)->Om, можно говорить о некотором конечном множестве прав G={g1, ..., gl}. В рассматриваемом случае мощность множества G равна 2.

Определение 3. Множеством доступных пользователю Pn субъектов Sn называется множество субъектов, которые данный пользователь может активизировать в ИПС из произвольного множества объектов-источников.

Определение 4. Множеством доступных пользователю Pn объектов Ln(T) относительно права доступа T называется подмножество всех объектов, относительно которых реализуемы потоки соответствующего права доступа при активизации всех субъектов, входящих в Sn и имеющих право доступа T.

Рассмотрим теперь традиционную политику безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает Ln(T) для любого подмножества множества субъектов Sn (если субъект потенциально способен реализовать поток, соответствующий праву доступа T) и в период работы пользователя Pn обеспечивает для выполнения потоков права T любому субъекту из Sn доступ к любому объекту, принадлежащему Ln(T).

Для введенного множества прав это означает, что любой Stream(Si,Ok)->Oj разрешен, если Si принадлежит Sn, а Oj принадлежит Ln(W). Практически это означает, что в спроектированной с учетом такой политики безопасности системе защиты права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).

Определим политику безопасности с полным проецированием прав. Определение 5. Политикой безопасности с полным проецированием прав

пользователя или методом доступа с полным проецированием прав пользователя Pn на объекты КС называется такой порядок составления ПРД, при котором любой из субъектов, принадлежащий Sn, обладает одним и тем же правом доступа T к любому объекту множества Ln(T).

Теперь сформулируем утверждение, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта Si.

Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).

В условиях действия политики безопасности с полным проецированием прав пользователя Pn на локальные объекты КС субъект X имеет доступ T к любому объекту множества Ln(T) при условии существования потоков Stream (X,Ok)->Ox и Stream(X,Ox)->Ok и доступности субъекта Si для пользователя Pn.

Доказательство

Пусть у пользователя есть право R доступа к объекту Oj. В условиях полного проецирования прав на любой субъект это означает, что для любого субъекта Sm из Sn (доступному пользователю) возможен поток Stream (Sm,Oj)- >Om, где Om - ассоциированный объект Sm. По условию доказываемого

-106-

утверждения Si входит в Sn, следовательно, существует Stream(Si,Oj)->Ok. По условию утверждения существует и поток Stream(X,Ok)->Ox. По свойству транзитивности потоков существует Stream(X,Oj)->Ox. Это означает, что субъект X также имеет право доступа R к объекту Oj. Поскольку Oj произвольно выбран из множества Ln(R), которое описано потоком Stream(Sm,Oj)->Om, то утверждение верно для всех объектов Ln(T).

Аналогично доказывается утверждение в случае наличия у пользователя права доступа W к объекту Oj.

Утверждение доказано.

Из данного утверждения следует весьма важный факт, заключающийся в том, что система защиты от НСД любого ЛС КС, в котором гарантированно выполнена политика безопасности с полным проецирование прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС) является потенциально ненадежной (т.е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т.е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника.

Сформулируем конструктивную политику безопасности, исключающую описанные выше ситуации.

Определение 6. Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользователя Pn задаются отдельно для каждого доступного пользователю субъекта (или подмножества субъектов), принадлежащего множеству Sn.

Легко видеть, что метод расщепления прав включает метод проецирования прав доступа (когда для любого субъекта задаются равные права доступа к объектам).

Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника.

Утверждение 2 (о доступе в системе с проецированием прав)

В условиях расщепления прав субъект Х получит тот же доступ к объекту Oj, что и субъект Si при условии существования потоков Stream(X,Ox)->Ok и Stream(X,Ok)->Ox и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ox.

Доказательство

Поскольку других субъектов, связанных с внешним субъектом X в ЛС КС нет, то возможны потоки к объекту Oj только через ассоциированный объект Ok субъекта Si. Поскольку между Ok и Oj возможен только поток, соответствующий праву доступа Si, то и между Ox и Oj возможен только такой же поток.

-107-

Утверждение доказано.

Следствие. В условиях расщепления прав субъект Х не получит доступ к объекту Oj в том случае, если субъект Si не имеет доступ к Oj и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и Ox.

Сформулированные и доказанные утверждения позволяют сформулировать методику проектирования защиты ЛС КС при условии попарной корректности всех субъектов (включая телекоммуникационный) и гарантированным выполнением политики безопасности.

Методика проектирования защиты описывается последовательностью шагов.

1.Формулируется политика безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов - чисто локальные и телекоммуникационные и установить раздельные права для этих групп).

2.Относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов).

3.Реализуется МБО, выполняющий указанную политику безопасности.

4.Субъекты ЛС КС замыкаются в ИПС с контролем целостности объектовисточников.

Сформулируем одну из возможных политик безопасности, связанную с группированием объектов. Предположим, что объекты разделяются на три

подмножества O1 - доступные только пользователям ЛС КС (относительно O1 все пользователи имеют доступ R и W), O2 - множество доступных для внешних пользователей объектов с правом доступа R (например, объекты типа

электронных объявлений) и O3 - множество доступных для внешних пользователей объектов с правом W (например, почтовые ящики для входящих писем). Субъекты также разделены на две группы: Si - локальные субъекты и S2

-телекоммуникационные субъекты.

Тогда правила разграничения доступа формулируются следующим образом:

Таблица 1. Групповые правила разграничения доступа в ЛС КС

 

O1

O2

O3

S1

RW

RW

RW

S2

--

R

W

Вообще говоря, произвольная политика безопасности, разделяющая локальные и телекоммуникационные субъекты при их доступе к объектам будет гарантировать разделение также внутренних и внешних пользователей.

Рассмотрим возможность преднамеренной компрометации информации самим пользователем. Такая возможность реализуется инициированием потока Stream(Si,Oj)->Ox со стороны управляющего телекоммуникационным субъектом Si пользователем, имеющим злоумышленные цели. Обозначим