Метод и абстрактная модель дискреционного контроля доступа

Метод дискреционного контроля доступа представляет собою одну из возможных реализаций избирательного контроля доступа, предполагающего возможность задания правил доступа (разрешение или запрет записи, чтения, удаления, исполнения и т. д.) для каждой пары «субъект —объект».

Правила (политика) разграничения доступа формируются матрицей доступа, в которой указывается, каким субъектам (группам субъектов) к каким объектам (группам объектов) какие права доступа разрешены либо соответственно запрещены.

Если считать, что множества С = {С_1?…, С,} и О = {О_р …, О_к} — соответственно линейно упорядоченные множества субъектов и объектов доступа, a R = {г, w, d, х} — конечное множество прав доступа (чтение, запись, удаление, исполнение), то разграничительная политика доступа субъектов к объектам, настраиваемая администратором, описывается матрицей контроля доступа М, где М[С, О], ячейка матрицы, содержит набор прав доступа субъекта из множества С = {С,…, С₇} к объекту из множества {О_р …, О*}. В любой момент времени система описывается своим текущим состоянием Q = (С, О, М).

Требование к безопасности системы в рассматриваемом случае может быть сформулировано следующим образом: «Для заданной системы исходное состояние Qq = (С₀, О₀, М₀) следует считать безопасным относительно некоторого права R, если не существует применимой к Qo последовательности действий (естественно, что это не относится к действиям администратора, назначающего данные правила), в результате выполнения которых субъектом С₀ приобретается право R доступа к объекту О₀, исходно отсутствующее в ячейке матрицы М₀[С₀, О₀]». Если же право R_y отсутствующее в ячейке матрицы М₀[С₀, О₀], приобретается субъектом С₀, то следует говорить, что произошла утечка права R, а система небезопасна относительно права R.

Данная абстрактная модель контроля доступа получила наименование модели Харрисона — Руззо — Ульмана.

Замечание. Вопросы формирования требований к корректности реализации метода контроля доступа (средства ЗИ), основанного на использовании соответствующих абстрактных моделей, будут рассмотрены далее.

Оценим уровень абстракции данной модели. Очевидно, что она универсальна в том смысле, что может быть применена для любых типов объектов доступа (ресурсов), будь то файловые объекты, объекты реестра ОС, принтеры, сетевые объекты и т. д. Отличия в модели для разнородных объектов будут состоять в используемом конечном множестве прав доступа R.

Принципиальным для реализации метода дискреционного контроля доступа является реализуемый в нем способ управления потоками информации (информационными потоками). Потоки информации различаются действиями, выполняемыми субъектом над объектом. Определим их на примере файловых объектов [17].

• • Под информационным потоком записи (го), чтения (г) понимается перенос информации от С к О и, соответственно, от О к С, иод информационным потоком исполнения (х) понимается выполнение субъектом С исполняемого объекта О, под информационным потоком удаления (d) понимается удаление субъектом С объекта О.
• • Под управлением информационными потоками понимается предоставление субъекту права генерирования потока из множества R = {w, г, х, cl).

Право управления информационными потоками для субъекта С может быть как произвольным, так и принудительным.

• Под произвольным управлением информационными потоками для субъекта С понимается управление с предоставлением субъекту С привилегированным пользователем-администратором права предоставлять право генерирования потока из множества R = {w, г, х, d} другим субъектам.

Таким образом, при произвольном управлении информационными потоками субъект С включается в схему администрирования (на практике, как правило, в отношении созданных им объектов).

• Под принудительным управлением информационными потоками для субъекта С понимается управление без предоставления субъекту С привилегированным пользователем-администратором права предоставлять право генерирования потока из множества R = {w, г, х, d) другим субъектам.

При принудительном управлении информационными потоками обеспечивается полное исключение субъекта С из схемы администрирования (все задачи по созданию и модификации разграничительной политики доступа, в том числе и в процессе функционирования системы, решаются исключительно привилегированным пользователям-администратором).

Разграничительная политика доступа может быть либо разрешительной, либо запретительной.

• • Под разрешительной разграничительной политикой доступа понимается политика, предполагающая реализацию следующего правила назначения прав доступа субъектов к объектам: «Все, что не разрешено (явно не указано), то запрещено».
• • Под запретительной разграничительной политикой доступа понимается политика, предполагающая реализацию следующего правила назначения прав доступа субъектов к объектам: «Все, что не запрещено (явно не указано), то разрешено».

Это модель метода дискреционного контроля доступа, предполагающая, что права доступа назначаются субъектам. Если же права доступа назначаются не субъектам, а к объектам, в качестве их атрибутов доступа, то получаем транспонированную матрицу контроля доступа М_Т[):

Отметим, что подобное транспонирование матрицы контроля доступа приводит к совершенно иным принципам реализации и к иным возможностям метода контроля доступа.

В случае задания правил доступа к объектам субъектов каждому объекту назначаются атрибуты доступа, указывающие на то, каким субъектам и какой доступ к ним разрешается или запрещается. При запросе доступа диспетчер, получая необходимую учетную информацию из запроса, считывает атрибуты, принадлежащие объекту, к которому запрошен доступ. На основании анализа этих атрибутов он определяет корректность (непротиворечивость заданным правилам) обрабатываемого запроса. Такая схема контроля доступа приведена на рис. 3.2, а.

б.

Рис. 3.2. Альтернативные схемы контроля доступа:

а — схема контроля на основе атрибутов доступа;

6 — схема контроля па основе матрицы доступа Альтернативная же реализация метода контроля доступа радикально отличается тем, что правила доступа формируются уже не для объекта, а для субъекта доступа — назначаются субъектам. Именно для субъектов доступа задается, к каким объектам и какой им разрешается или запрещается доступ, т. е. правила доступа являются здесь уже принадлежностью субъекта доступа, а не объекта. Естественно, что формируемая подобным образом матрица доступа уже не является принадлежностью какого-либо объекта, а образует самостоятельную сущность. Как следствие, матрица доступа представляет собой отдельный системный объект (как правило, хранящийся в отдельном файле). При запросе доступа диспетчер обращается к «матрице доступа» и считывает из нее правила доступа субъекта к объекту, фигурирующему в запросе, на основании которых анализирует корректность запроса. Такая схема контроля доступа приведена на рис. 3.2, б.

Рассмотрим отличия возможностей метода дискреционного контроля доступа при его альтернативных реализациях. Эти возможности обусловливаются тем, что при назначении правил доступа субъектам в разграничительной политике доступа не требуется точного указания объекта (правила не сопоставляются с конкретным физическим объектом, например файлом, папкой и т. д.). Объект может задаваться масками и переменными среды окружения. Например, для файловых объектов маска *.ехе покрывает все файлы с расширением «ехе» (физического объекта с именем *.ехе при этом нет), %Windir% обозначает соответствующую системную папку загруженной ОС, a %Windir%*.exe — все файлы с расширением «ехе» из этой папки. Рассмотрим, что дает такая возможность.

• 1. Принципиально упрощается задача администрирования за счет возможности задания одной маской множества объектов, имеющих различное физическое расположение в системе, в частности, находящихся в различных папках.
• 2. Появляется возможность реализации групповых политик не только в отношении субъектов, но и в отношении объектов доступа. Реализация групповой политики в отношении субъектов доступа предполагает объединение равноправных субъектов (права доступа для которых к объектам совпадают) в одну группу с последующим назначением нрав доступа к объекту не для каждого отдельного субъекта, а для группы целом. В данном случае в группы аналогичным образом могут объединяться и равноправные объекты — объекты, права доступа субъектов к которым совпадают. Таким образом, при этом могут разграничиваться права доступа групп субъектов к группам объектов.
• 3. Появляется очень важная возможность реализации контроля доступа к типам объектов, в частности, к типам файлов, идентифицируемых их расширениями, что предполагает задание в качестве объектов доступа в разграничительной политике соответствующих масок, например *.ехе, *.jvs, *.doc и т. д. При этом можно задавать правила создания субъектами файлов определенных типов, предотвратив создание исполняемых и командных файлов, правила записи файлов на внешние накопители, правила обмена файлами между субъектами (какими типами файлов они могут обмениваться), в том числе и, но сети, и т. д. По существу в этом случае появляется возможность управления потоками данных определенных типов, идентифицируемых расширениями файлов, в которых создаются и располагаются эти данные.

При этом отметим, что для реализации подобного метода контроля доступа существует дополнительное требование к безопасности системы — СЗИ должна предотвращать как любую возможность переименования расширений контролируемых файлов, задаваемых соответствующими масками, так и, наоборот, расширений неконтролируемых файлов в расширения контролируемых файлов.

Принципиальным же отличием альтернативных реализаций метода дискреционного контроля доступа является их различное назначение (область практического использования). Если задачей ЗИ является защита некоторых конкретных объектов, целесообразно назначать права доступа к объектам, в отношении которых реализуется защита от субъектов. В первую очередь это, естественно, касается файловых объектов.

Вторая реализация метода дискреционного контроля доступа решает задачу контроля и разграничения нрав доступа субъектов к объектам (например, в рамках решаемых ими в системе функциональных задач). При этом должен контролироваться не доступ к отдельным объектам (не конкретные объекты защищаются), а соответствие действий субъектов решаемым ими в И С задачам. В этом случае целесообразно назначать права доступа субъектов, действия которых в системе контролируются, к объектам, т. е реализовывать защищенные режимы обработки информации (или роли) для субъектов, что в современных условиях и требуется обеспечивать. Об этом поговорим далее.