Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdfидентифицирован в сети общего пользования как адми нистратор безопасности присоединенной сети)',
•идентификаторы пользователей для исполнения ими конкретных ролей или для участия в группе (например все пользователи частной (корпоративной) сети могут быть исполнять в сети общего пользования роли при соединенных пользователей).
4 .3 . В с п о м о га т е л ь н а я и н ф о р м а ц и я и с р е д с т в а У Д
4 .3 .1 . ВИ для У Д
Различные типы ВИУД включают данные об инициаторе, целевом объекте, запросе доступа, процессе, объекте обработки и контекстно-зависимые данные. ВИУД может понадобиться при взаимодействии реальных систем, которое может быть ча стью реализации функции УД. Когда такое информационное взаимодействие имеет место, то очень важно, чтобы взаимодей ствующие объекты договорились о понимании абстрактного синтаксиса.
ПРИМЕЧАНИЕ. С целью обеспечения максимальной функ циональной совместимости реальных систем необходима стандар тизация структуры ВИУД. Иная ВИУД, которая не нуждается в стандартизации (например хранимая ВИПР), в данном учебнике не рассматривается.
Выбор необходимой ВИУД зависит от выбранной политики обеспечения безопасности.
43.1.1. ВИУД об инициаторе
ВИУД об инициаторе содержит данные об инициаторе. При меры содержания ВИУД об инициаторе:
a) параметр подлинности пользователя для УД;
B) идентификатор иерархической группы, членство в кото рой продекларировано;
204
c)идентификатор функциональной группы, членство в ко торой продекларировано;
d ) идентификаторы ролевых объектов, которые могут быть выбраны;
e) метки критичности;
f ) метки обеспечения целостности.
ПРИМ ЕЧАНИЕ. Параметр подлинности пользователя для УД не обязательно будет таким же, как и при аутентификации, аудите или загрузке. Параметр подлинности пользователя для УД является уникальным в пространстве имен, определяемом ЦБ ССБ.
4.3.1.2. ВИУД о целевом объекте
ВИУД о целевом объекте содержит данные о целевом объ екте. Примеры ВИУД о целевом объекте:
a) параметры подлинности целевого объекта для УД; B) метки критичности;
c)метки обеспечения целостности;
d)идентификатор контейнера, который транслирует дан ные в целевом объекте.
4.3.1.3. ВИУД о запросе доступа
ВИУД о запросе доступа содержит данные о запросе до ступа. Примеры ВИУД о запросе доступа:
a)разрешенный класс процедуры (например чтение, за пись);
B) уровень целостности, требуемый для использования про цедуры;
c) тип данных процедуры.
4.3.1.4. ВИУД об объекте обработки
ВИУД об объекте обработки содержит данные об объекте об работки в запросе доступа. Примеры ВИУД об объекте обработки:
205
a)метки критичности;
b)метки обеспечения целостности.
4.3.1.5. Контекстно-зависимая информация
Примеры контекстно-зависимой информации:
a)периоды времени: доступ может быть предоставлен толь ко в точно определенные периоды времени (день, неделя, месяц, год и т.д.);
b)маршрут: доступ может быть предоставлен только в том случае, когда маршрут отвечает требуемым параметрам и
характеристикам;
c) местонахождение: доступ может быть предоставлен толь ко инициаторам, размещенным в определенных систе мах, использующим определенные рабочие станции или терминалы, или только тем инициаторам, которые имеют определенное физическое местонахождение;
d)состояние системы: доступ может быть предоставлен только при определенной ВИПР и когда система нахо дится в соответствующем состоянии (например период восстановления после катастрофы);
e)уровень аутентификации: доступ может быть предо ставлен только тогда, когда используемые способы ау тентификации имеют, по крайней мере, достаточный
уровень;
f ) другие варианты доступа, которые в текущий момент времени могут быть предоставлены тем или иным ини циаторам.
4.3.1.6. ВИУД, привязанная к инициатору
ВИУД, привязанная к инициатору, может включать ВИУД об инициаторе, часть ВИУД о целевом объекте и не которые контекстно-зависимые данные. ВИУД, привязанная к инициатору, может быть представлена в форме меток безо пасности, мандатов доступа и сертификатов УД (СЕРТ|УД). Примеры:
206
a)ВИУД об инициаторе;
b)параметр подлинности для УД к целевому объекту и раз решенные варианты доступа к целевому объекту (т.е. мандат доступа);
c)местонахождение инициатора.
43.1.7. ВИУД, привязанная к целевому объекту
ВИУД, привязанная к целевому объекту, может включать часть ВИУД об инициаторе, ВИУД о целевом объекте и неко торые контекстно-зависимые данные. ВИУД, привязанная к целевому объекту, может быть представлена в форме меток или списков УД. Примеры:
a)индивидуальные параметры подлинности инициаторов для УД и разрешенные или запрещенные варианты до ступа инициаторов к целевому объекту;
B) параметры подлинности членов иерархической группы для УД и разрешенные или запрещенные варианты до ступа членов группы к целевому объекту;
c)параметры подлинности членов функциональной груп пы для УД и разрешенные или запрещенные варианты доступа членов группы к целевому объекту;
d)ролевые параметры подлинности для УД и разрешенные или запрещенные варианты доступа ролевых объектов к целевому объекту;
e)полномочные органы и варианты авторизованного досту па к ним.
43.1.8. ВИУД, привязанная к запросу доступа
ВИУД, привязанная к запросу доступа, может включать ВИУД об инициаторе, ВИУД о целевом объекте и контекстно зависимые данные. Примеры:
a)пары инициатор/целевой объект, которым разрешено участвовать в процедуре предоставления доступа;
B) целевые объекты, которым разрешено участвовать в про цедуре предоставления доступа;
207
с) инициаторы, которым разрешено участвовать в процеду ре предоставления доступа.
4 .3 .2 . З аш и та В И У Д
43.2.1. Сертификаты для УД
ВИУД, которой обмениваются между собой реальные систе мы, требует защиты от угроз УД (§ 4.1.5). Полномочный орган (удостоверяющий центр — УЦ), который предоставил ВИУД, должен быть проверяемым на достоверность со стороны ФПРРмодуля, использующего ВИПР, извлеченную из этой ВИУД. Од ним из способов обеспечения такой проверки на достоверность является размещение ВИУД в СЕРТ|ИБ, который подписывает ся или защищается с помощью КПС УЦ, выдавшим СЕРТ|ИБ. Такой СЕРТ|ИБ называется СЕРТ|УД.
СЕРТ|УД может содержать информацию в различных фор матах. Большинство из защищаемых СЕРТ|ИБ рассматривают ся в главе 2.
Следующие элементы данных, характеризующие инициато ра, могут быть включены в СЕРТ|УД:
•ВИУД об инициаторе;
•способ проверки подлинности привязки СЕРТ|УД к определенному инициатору, и при этом такой, что им не мог бы воспользоваться другой инициатор;
•идентификатор клиента, которому может быть предо ставлен (разрешен) доступ;
•идентификаторы объектов, которые являются ответ ственными за предоставление доступа при проведении процедур отчетности или аудиторских проверок;
•число процедур запроса доступа, при которых инициатор может воспользоваться СЕРТ|УД.
Следующие элементы данных, характеризующие целевой объект, могут быть включены в СЕРТ|УД:
•ВИУД о целевом объекте;
208
•способ проверки подлинности привязки СЕРТ|УД к определенному целевому объекту, и при этом такой, что им невозможно было воспользоваться в процедуре запро са доступа к другому целевому объекту;
•число процедур запроса доступа, при которых со ответствующий инициатор может воспользоваться СЕРТ|УД.
Следующие элементы данных, характеризующие запрос до ступа, могут быть включены в СЕРТ|УД:
•способ проверки подлинности привязки СЕРТ|УД к определенному запросу доступа, и при этом такой, что им невозможно было воспользоваться в другом запросе до ступа;
•способ проверки подлинности привязки СЕРТ|УД к одному или нескольким запросам доступа, и при этом такой, что им можно было воспользоваться в других за просах доступа (например при ретрансляции запроса доступа);
•число процедур запроса доступа к соответствующему целевому объекту, при которых может использоваться СЕРТ|УД;
•ВИУД о запросе доступа.
4.3.2.2. Маркеры УД
Другим наиболее общим средством защиты ВИУД являет ся размещаемый внутри этой информации маркер безопасности (security token). Маркер безопасности, в отличие от СЕРТ|УД, который может быть подписан или защищен с помощью КПС УЦ, может формироваться инициатором. В случае УД маркер безопасности непосредственно касается ВИУД, привязанной к запросу доступа.
СЕРТ|УД может быть получен из УЦ и использоваться в не скольких процедурах запросах доступа. Однако инициатор мо жет сформировать маркер безопасности для привязки СЕРТ|УД к конкретному запросу доступа.
209
Маркер безопасности может включать информацию в раз личных форматах. Большинство из защищаемых маркеров бе зопасности рассматриваются в главе 2.
Одни и те же элементы данных о конкретных инициаторе, целевом объекте и запросе доступа, которые могут входить в со став СЕРТ|УД, могут быть включены в состав маркера безопас ности.
4 .3 .3 . С редства У Д
Далее рассматриваются средства УД, которые могут быть использованы при выполнении процедур УД в реальных си стемах. Типовое описание средств УД указывает на то, что они не зависят от конкретных способов. Примитивы конкретных интерфейсов, используемых в реальных системах, не опреде лены.
ПРИМ ЕЧАНИЕ. Несмотря на то что средства УД определе ны с наиболее общих позиций, их смысл заключается в том, чтобы продемонстрировать один общий подход к обеспечению службы УД среди „других возможных подходов, которые в дальнейшем не рассматриваются.
Средства УД (рис. 4.4) разделяются на два основных класса, то есть те, которые:
•могут привлекаться к вспомогательным (обеспечиваю щим) процедурам, например администратором по безо пасности. Такие средства обеспечивают «привязку» ВИУД к элементам, модификацию ВИУД и ее аннули рование;
•непосредственно связаны с функциональной процедурой УД. Такие средства обеспечивают доступность ВИПР для ФПРР-модуля, реализацию (выполнение) функций УД.
Если различные существующие системы или ССБ использу ют различные форматы ВИУД, то необходимы дополнительные средства для отображения ACI-форматов между собой.
210
Рис. 4.4. Средства, используемые в процедурах УД
43 .3 .1 . Вспомогательные (обеспечивающие) средства УД
Процедуры УД, связанные с формированием ПЛУД и струк тур ВИУД и размещением последних в элементах, в данном пособии не рассматриваются. Средство инсталляции ВИУД касается привязки ВИУД к элементам. Средства изменения и удаления ВИУД затрагивают процедуры модификации и аннулирования ВИУД. Средства блокировки и разблокировки
211
компонентов УД и регистрации ВИУД элементов являются до полнительными.
Средство инсталляции (install АСР. Это средство привязы вает начальный набор ВИУД (например, мандаты доступа, ис пользуемые инициаторами, маркеры безопасности, используе мые инициаторами и целевыми объектами, и перечни (списки) УД для целевых объектов) к элементу.
Средство изменения (change АСИ. Это средство модифи цирует (например добавляет или удаляет элементы данных) ВИУД, привязанную к элементу.
Средство удаления ВИУД (revoke АСР. Это средство удаля ет (аннулирует) используемую ВИУД, привязанную к элемен ту, причем так, что в дальнейшем эта ВИУД больше не имеет никакого отношения к этому элементу. Это основное отличие от средства изменения ВИУД, так как в данном случае любая ВИПР, связанная с ВИУД, тоже уничтожается.
Средство удаления хранимой ВИПР (revoke retained ADI). Это средство аннулирует юридическую силу (значимость) хра нимой ВИПР.
Средство регистрации ВИУД (list ACIV Это средство реги стрирует специфическую ВИУД, привязанную к данному эле менту.
Средство блокировки компонента (disable component). Это средство блокирует использование компонента, реализующе го ту или иную функцию УД. В случае ФПРИ-модуля, сред ство запрещает предоставление всех видов доступа через этот ФПРИ-модуль (это предотвращает любые попытки доступа к целевым объектам, обслуживаемым только этим ФПРИмодулем).
Средство разблокировки компонента (re-enable component'). Это средство снимает запрет на использование компонента, реа лизующего ту или иную функцию УД.
4.33.2. Функциональные средства УД
Предполагается, что функциональные средства используют ся в качестве следующих (но не каждая процедура УД будет ис пользовать все указанные далее итерации):
212
a)инициатор первого в своей деятельности запроса доступа определяет ЦБ ССБ, но только для тех элементов, в дея тельности которых используются средства идентифика ции доверенных ЦБ;
b)формирование политики безопасного информационного взаимодействия для ее использования в своей основной деятельности;
c)ВИУД привязывается к элементам, используя средства запроса и формирования ВИУД;
d)формирование ВИПР, доступной для ФПРР-модуля, на основе использования средств проверки привязанной ВИУД и извлечения ВИПР;
e)контекстно-зависимая информация, если она востребо вана политикой безопасного информационного взаимо действия, приобретается с помощью средства получения контекстно-зависимой информации;
f ) решение по УД принимается с помощью средства приня тия решения о предоставлении доступа.
Многие из рассматриваемых средств УД допускают приме нение защищенной ВИУД (с целью обеспечения гарантий це лостности и конфиденциальности в соответствие с требования ми политики обеспечения безопасности).
Запрос ВИУД. привязанной к инициатору. Это средство (ac quire initiator-bound ACI), активизируемое инициатором или ФПРР-модулем, получает либо ВИУД, привязанную к инициа тору, либо СЕРТ|УД, либо маркер УД, содержащий ВИУД, при вязанную к инициатору, до момента отправки запроса доступа.
Входные данные могут быть следующие:
•аутентифицированный параметр подлинности инициа тора (получен средством проверки, как определено в гла ве 2);
•критерий отбора ВИУД, привязанной к инициатору; вре мя действия;
•параметр подлинности целевого объекта или группы це левых объектов;
•ПБВ.
213