Мельников Д. А. - Информационная безопасность открытых систем - 2013

идентифицирован в сети общего пользования как адми­ нистратор безопасности присоединенной сети)',

•идентификаторы пользователей для исполнения ими конкретных ролей или для участия в группе (например все пользователи частной (корпоративной) сети могут быть исполнять в сети общего пользования роли при­ соединенных пользователей).

4 .3 . В с п о м о га т е л ь н а я и н ф о р м а ц и я и с р е д с т в а У Д

4 .3 .1 . ВИ для У Д

Различные типы ВИУД включают данные об инициаторе, целевом объекте, запросе доступа, процессе, объекте обработки и контекстно-зависимые данные. ВИУД может понадобиться при взаимодействии реальных систем, которое может быть ча­ стью реализации функции УД. Когда такое информационное взаимодействие имеет место, то очень важно, чтобы взаимодей­ ствующие объекты договорились о понимании абстрактного синтаксиса.

ПРИМЕЧАНИЕ. С целью обеспечения максимальной функ­ циональной совместимости реальных систем необходима стандар­ тизация структуры ВИУД. Иная ВИУД, которая не нуждается в стандартизации (например хранимая ВИПР), в данном учебнике не рассматривается.

Выбор необходимой ВИУД зависит от выбранной политики обеспечения безопасности.

43.1.1. ВИУД об инициаторе

ВИУД об инициаторе содержит данные об инициаторе. При­ меры содержания ВИУД об инициаторе:

a) параметр подлинности пользователя для УД;

B) идентификатор иерархической группы, членство в кото­ рой продекларировано;

204

c)идентификатор функциональной группы, членство в ко­ торой продекларировано;

d ) идентификаторы ролевых объектов, которые могут быть выбраны;

e) метки критичности;

f ) метки обеспечения целостности.

ПРИМ ЕЧАНИЕ. Параметр подлинности пользователя для УД не обязательно будет таким же, как и при аутентификации, аудите или загрузке. Параметр подлинности пользователя для УД является уникальным в пространстве имен, определяемом ЦБ ССБ.

4.3.1.2. ВИУД о целевом объекте

ВИУД о целевом объекте содержит данные о целевом объ­ екте. Примеры ВИУД о целевом объекте:

a) параметры подлинности целевого объекта для УД; B) метки критичности;

c)метки обеспечения целостности;

d)идентификатор контейнера, который транслирует дан­ ные в целевом объекте.

4.3.1.3. ВИУД о запросе доступа

ВИУД о запросе доступа содержит данные о запросе до­ ступа. Примеры ВИУД о запросе доступа:

a)разрешенный класс процедуры (например чтение, за­ пись);

B) уровень целостности, требуемый для использования про­ цедуры;

c) тип данных процедуры.

4.3.1.4. ВИУД об объекте обработки

ВИУД об объекте обработки содержит данные об объекте об­ работки в запросе доступа. Примеры ВИУД об объекте обработки:

205

a)метки критичности;

b)метки обеспечения целостности.

4.3.1.5. Контекстно-зависимая информация

Примеры контекстно-зависимой информации:

a)периоды времени: доступ может быть предоставлен толь­ ко в точно определенные периоды времени (день, неделя, месяц, год и т.д.);

b)маршрут: доступ может быть предоставлен только в том случае, когда маршрут отвечает требуемым параметрам и

характеристикам;

c) местонахождение: доступ может быть предоставлен толь­ ко инициаторам, размещенным в определенных систе­ мах, использующим определенные рабочие станции или терминалы, или только тем инициаторам, которые имеют определенное физическое местонахождение;

d)состояние системы: доступ может быть предоставлен только при определенной ВИПР и когда система нахо­ дится в соответствующем состоянии (например период восстановления после катастрофы);

e)уровень аутентификации: доступ может быть предо­ ставлен только тогда, когда используемые способы ау­ тентификации имеют, по крайней мере, достаточный

уровень;

f ) другие варианты доступа, которые в текущий момент времени могут быть предоставлены тем или иным ини­ циаторам.

4.3.1.6. ВИУД, привязанная к инициатору

ВИУД, привязанная к инициатору, может включать ВИУД об инициаторе, часть ВИУД о целевом объекте и не­ которые контекстно-зависимые данные. ВИУД, привязанная к инициатору, может быть представлена в форме меток безо­ пасности, мандатов доступа и сертификатов УД (СЕРТ|УД). Примеры:

206

a)ВИУД об инициаторе;

b)параметр подлинности для УД к целевому объекту и раз­ решенные варианты доступа к целевому объекту (т.е. мандат доступа);

c)местонахождение инициатора.

43.1.7. ВИУД, привязанная к целевому объекту

ВИУД, привязанная к целевому объекту, может включать часть ВИУД об инициаторе, ВИУД о целевом объекте и неко­ торые контекстно-зависимые данные. ВИУД, привязанная к целевому объекту, может быть представлена в форме меток или списков УД. Примеры:

a)индивидуальные параметры подлинности инициаторов для УД и разрешенные или запрещенные варианты до­ ступа инициаторов к целевому объекту;

B) параметры подлинности членов иерархической группы для УД и разрешенные или запрещенные варианты до­ ступа членов группы к целевому объекту;

c)параметры подлинности членов функциональной груп­ пы для УД и разрешенные или запрещенные варианты доступа членов группы к целевому объекту;

d)ролевые параметры подлинности для УД и разрешенные или запрещенные варианты доступа ролевых объектов к целевому объекту;

e)полномочные органы и варианты авторизованного досту­ па к ним.

43.1.8. ВИУД, привязанная к запросу доступа

ВИУД, привязанная к запросу доступа, может включать ВИУД об инициаторе, ВИУД о целевом объекте и контекстно­ зависимые данные. Примеры:

a)пары инициатор/целевой объект, которым разрешено участвовать в процедуре предоставления доступа;

B) целевые объекты, которым разрешено участвовать в про­ цедуре предоставления доступа;

207

с) инициаторы, которым разрешено участвовать в процеду­ ре предоставления доступа.

4 .3 .2 . З аш и та В И У Д

43.2.1. Сертификаты для УД

ВИУД, которой обмениваются между собой реальные систе­ мы, требует защиты от угроз УД (§ 4.1.5). Полномочный орган (удостоверяющий центр — УЦ), который предоставил ВИУД, должен быть проверяемым на достоверность со стороны ФПРРмодуля, использующего ВИПР, извлеченную из этой ВИУД. Од­ ним из способов обеспечения такой проверки на достоверность является размещение ВИУД в СЕРТ|ИБ, который подписывает­ ся или защищается с помощью КПС УЦ, выдавшим СЕРТ|ИБ. Такой СЕРТ|ИБ называется СЕРТ|УД.

СЕРТ|УД может содержать информацию в различных фор­ матах. Большинство из защищаемых СЕРТ|ИБ рассматривают­ ся в главе 2.

Следующие элементы данных, характеризующие инициато­ ра, могут быть включены в СЕРТ|УД:

•ВИУД об инициаторе;

•способ проверки подлинности привязки СЕРТ|УД к определенному инициатору, и при этом такой, что им не мог бы воспользоваться другой инициатор;

•идентификатор клиента, которому может быть предо­ ставлен (разрешен) доступ;

•идентификаторы объектов, которые являются ответ­ ственными за предоставление доступа при проведении процедур отчетности или аудиторских проверок;

•число процедур запроса доступа, при которых инициатор может воспользоваться СЕРТ|УД.

Следующие элементы данных, характеризующие целевой объект, могут быть включены в СЕРТ|УД:

•ВИУД о целевом объекте;

208

•способ проверки подлинности привязки СЕРТ|УД к определенному целевому объекту, и при этом такой, что им невозможно было воспользоваться в процедуре запро­ са доступа к другому целевому объекту;

•число процедур запроса доступа, при которых со­ ответствующий инициатор может воспользоваться СЕРТ|УД.

Следующие элементы данных, характеризующие запрос до­ ступа, могут быть включены в СЕРТ|УД:

•способ проверки подлинности привязки СЕРТ|УД к определенному запросу доступа, и при этом такой, что им невозможно было воспользоваться в другом запросе до­ ступа;

•способ проверки подлинности привязки СЕРТ|УД к одному или нескольким запросам доступа, и при этом такой, что им можно было воспользоваться в других за­ просах доступа (например при ретрансляции запроса доступа);

•число процедур запроса доступа к соответствующему целевому объекту, при которых может использоваться СЕРТ|УД;

•ВИУД о запросе доступа.

4.3.2.2. Маркеры УД

Другим наиболее общим средством защиты ВИУД являет­ ся размещаемый внутри этой информации маркер безопасности (security token). Маркер безопасности, в отличие от СЕРТ|УД, который может быть подписан или защищен с помощью КПС УЦ, может формироваться инициатором. В случае УД маркер безопасности непосредственно касается ВИУД, привязанной к запросу доступа.

СЕРТ|УД может быть получен из УЦ и использоваться в не­ скольких процедурах запросах доступа. Однако инициатор мо­ жет сформировать маркер безопасности для привязки СЕРТ|УД к конкретному запросу доступа.

209

Маркер безопасности может включать информацию в раз­ личных форматах. Большинство из защищаемых маркеров бе­ зопасности рассматриваются в главе 2.

Одни и те же элементы данных о конкретных инициаторе, целевом объекте и запросе доступа, которые могут входить в со­ став СЕРТ|УД, могут быть включены в состав маркера безопас­ ности.

4 .3 .3 . С редства У Д

Далее рассматриваются средства УД, которые могут быть использованы при выполнении процедур УД в реальных си­ стемах. Типовое описание средств УД указывает на то, что они не зависят от конкретных способов. Примитивы конкретных интерфейсов, используемых в реальных системах, не опреде­ лены.

ПРИМ ЕЧАНИЕ. Несмотря на то что средства УД определе­ ны с наиболее общих позиций, их смысл заключается в том, чтобы продемонстрировать один общий подход к обеспечению службы УД среди „других возможных подходов, которые в дальнейшем не рассматриваются.

Средства УД (рис. 4.4) разделяются на два основных класса, то есть те, которые:

•могут привлекаться к вспомогательным (обеспечиваю­ щим) процедурам, например администратором по безо­ пасности. Такие средства обеспечивают «привязку» ВИУД к элементам, модификацию ВИУД и ее аннули­ рование;

•непосредственно связаны с функциональной процедурой УД. Такие средства обеспечивают доступность ВИПР для ФПРР-модуля, реализацию (выполнение) функций УД.

Если различные существующие системы или ССБ использу­ ют различные форматы ВИУД, то необходимы дополнительные средства для отображения ACI-форматов между собой.

210

Рис. 4.4. Средства, используемые в процедурах УД

43 .3 .1 . Вспомогательные (обеспечивающие) средства УД

Процедуры УД, связанные с формированием ПЛУД и струк­ тур ВИУД и размещением последних в элементах, в данном пособии не рассматриваются. Средство инсталляции ВИУД касается привязки ВИУД к элементам. Средства изменения и удаления ВИУД затрагивают процедуры модификации и аннулирования ВИУД. Средства блокировки и разблокировки

211

компонентов УД и регистрации ВИУД элементов являются до­ полнительными.

Средство инсталляции (install АСР. Это средство привязы­ вает начальный набор ВИУД (например, мандаты доступа, ис­ пользуемые инициаторами, маркеры безопасности, используе­ мые инициаторами и целевыми объектами, и перечни (списки) УД для целевых объектов) к элементу.

Средство изменения (change АСИ. Это средство модифи­ цирует (например добавляет или удаляет элементы данных) ВИУД, привязанную к элементу.

Средство удаления ВИУД (revoke АСР. Это средство удаля­ ет (аннулирует) используемую ВИУД, привязанную к элемен­ ту, причем так, что в дальнейшем эта ВИУД больше не имеет никакого отношения к этому элементу. Это основное отличие от средства изменения ВИУД, так как в данном случае любая ВИПР, связанная с ВИУД, тоже уничтожается.

Средство удаления хранимой ВИПР (revoke retained ADI). Это средство аннулирует юридическую силу (значимость) хра­ нимой ВИПР.

Средство регистрации ВИУД (list ACIV Это средство реги­ стрирует специфическую ВИУД, привязанную к данному эле­ менту.

Средство блокировки компонента (disable component). Это средство блокирует использование компонента, реализующе­ го ту или иную функцию УД. В случае ФПРИ-модуля, сред­ ство запрещает предоставление всех видов доступа через этот ФПРИ-модуль (это предотвращает любые попытки доступа к целевым объектам, обслуживаемым только этим ФПРИмодулем).

Средство разблокировки компонента (re-enable component'). Это средство снимает запрет на использование компонента, реа­ лизующего ту или иную функцию УД.

4.33.2. Функциональные средства УД

Предполагается, что функциональные средства используют­ ся в качестве следующих (но не каждая процедура УД будет ис­ пользовать все указанные далее итерации):

212

a)инициатор первого в своей деятельности запроса доступа определяет ЦБ ССБ, но только для тех элементов, в дея­ тельности которых используются средства идентифика­ ции доверенных ЦБ;

b)формирование политики безопасного информационного взаимодействия для ее использования в своей основной деятельности;

c)ВИУД привязывается к элементам, используя средства запроса и формирования ВИУД;

d)формирование ВИПР, доступной для ФПРР-модуля, на основе использования средств проверки привязанной ВИУД и извлечения ВИПР;

e)контекстно-зависимая информация, если она востребо­ вана политикой безопасного информационного взаимо­ действия, приобретается с помощью средства получения контекстно-зависимой информации;

f ) решение по УД принимается с помощью средства приня­ тия решения о предоставлении доступа.

Многие из рассматриваемых средств УД допускают приме­ нение защищенной ВИУД (с целью обеспечения гарантий це­ лостности и конфиденциальности в соответствие с требования­ ми политики обеспечения безопасности).

Запрос ВИУД. привязанной к инициатору. Это средство (ac­ quire initiator-bound ACI), активизируемое инициатором или ФПРР-модулем, получает либо ВИУД, привязанную к инициа­ тору, либо СЕРТ|УД, либо маркер УД, содержащий ВИУД, при­ вязанную к инициатору, до момента отправки запроса доступа.

Входные данные могут быть следующие:

•аутентифицированный параметр подлинности инициа­ тора (получен средством проверки, как определено в гла­ ве 2);

•критерий отбора ВИУД, привязанной к инициатору; вре­ мя действия;

•параметр подлинности целевого объекта или группы це­ левых объектов;

•ПБВ.

213