В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 67
Текст из файла (страница 67)
Различие описанных ситуаций находится в области корректного межсубъектного взаимодействия в рамках ЛС КС, т. е. поскольку процесс активизации может быть инициирован субъектом Х„ вновь порожденный субъект помимо реализации потоков к внешнему субъекту может реализовать и потоки к ассоциированным объектам субъектов ЛС КС, например к МБС и МБО. В данном случае нарушается основное условие попарной корректности субъектов. Будем полагать, что в Л С КС могут существовать только попарно корректные субъекты, замкнутые в ИПС (т.е.
в составе ЛС КС существует МБС), с контролем целостности порождаемых субъектов. Кроме того, в множестве субъектов ЛС КС действует МБО, реализующий некоторую стратегию безопасности. Рассмотрим общепринятую на сегодняшний день стратегию безопасности в контексте сформулированного взаимодействия локального и внешнего сегмента КС.
Предварительно заметим, что в сформулированных условиях (генерация ИПС) для выделенного ЛС КС в случае отсутствия или неактивности ТПО) гарантированно реализуется любая стратегия безопасности, заданная в МБО. Предположим для произвольно вьшеленного нами ЛС КС наличие т пользователей: Р„..., Р„, ..., Р .
Введем понятие прав доступа субъектов к объектам как возможностей реализации потоков Я1геат(5, 0 ) — > Ои (О ассоциированный объект 5 ) — право доступа типа И'(Юп1е — запись) и потоков Ягеапз(5, Ои) — ~ Π— право доступа )1 (Кеаг) — чтение). Следовательно, если субъект имеет право доступа Я к объекту Ои, то это эквивалентно возможности существования потока Ягеат(5, Ои) — > О . Задаваясь некоторыми свойствами потока Ягнят(5 „О ) — > О, или Ягеагп(5, 0,) — ~ О, можно говорить о некотором конечном множестве прав С = (е1, ..., е1).
В рассматриваемом случае мощность множества С равна 2. Определение 3. Множеством лоступных пользователю Р„субъектов 5„называется множество субъектов, которые данный пользо- 292 ватель может активизировать в ИПС из произвольного множества объектов-источников. Определение 4. Множеством доступных пользователю Р„объектов 1.„(Т) относительно права доступа Т называется подмножество всех объектов, относительно которых реализуемы потоки соответствующего права доступа при активизации всех субъектов, входящих в Я„и имеющих право доступа Т.
Рассмотрим традиционную стратегию безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает 1.„(Т) для любого подмножества множества субъектов Х„(если субъект потенциально способен реализовать поток, соответствующий праву доступа Т) и в период работы пользователя Р„обеспечивает для выполнения потоков права Т любому субъекту из Я„доступ к любому объекту, принадлежащему Е„(Т). Для введенного множества прав это означает, что любой бггеапт(5ь Ое) -+ О, разрешен, если 5, принадлежит 5„, а О, принадлежит 1.„( И'). Практически это означает, что в спроектированной с учетом такой стратегии безопасности системе зашиты права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).
Определение 5. Стратегией безопасности с полным проецированием прав пользователя или методом доступа с полным проецированием прав пользователя Р„ на объекты КС называется такой порядок составления ПРД, при котором любой из субъектов, принадлежащий Ю„, обладает одним и тем же правом доступа Т к любому объекту множества 1.„(Т). Сформулируем утверждение, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта 5ь Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субьенгпы).
В условиях действия стратегии безопасности с полным проецированием прав пользователя Р„на локальные объекты КС субъект Х имеет доступ Т к любому объекту множества 1.„(Т) при условии существования потоков бггеагп (Х, Оь) -ь О„и Бтгеащ(Х, 0„) — > О„и доступности субъекта Я, для пользователя Р,, До каз ател ьств о. Пусть у пользователя есть право )гдоступа к объекту О. В условиях полного проецирования прав на любой субъект это озйачает, что для любого субъекта о из 5„(доступному пользователю) возможен поток бтгеапт (5, 0) — > О, где О,„— ассоциированный объект Ю .
По условию доказываемого утверждения 5, входит в 5„, следовательно, существует Ягеапт(5„0) — ь 0„. По условию утверждения существует и поток бггеапт(Х, Оь) -ь 0„. По свойству транзитивности потоков существует бггеагп(Х, 0) — ь О„. Это означает, что субъект Х также имеет право доступа й к объекту Ог Поскольку О, произвольно выбран из множества 1.,(Я), ко- 293 торое описано потоком Кггеагп(5, 0) -» О, то утверждение верно для всех объектов Е„(Т). Аналогично доказывается утнерждение в случае наличия у пользователя права доступа И'к объекту Ол Утверждение доказано.
Из данного утверждения следует, что система защиты от НСД любого ЛС КС, в котором гарантированно выполнена стратегия безопасности с полным проецированием прав доступа пользователей (к системам с такой политикой безопасное~и относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС), является потенциально ненадежной (т, е, допускающей возможность злоумышленных действий) при подключении к внешним сетям (т.е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция метолов составления ПРД в системах, где возможно воздействие внешнего злоумышленника. Сформулируем конструктивную стратегию безопасности, исключающую описанные ранее ситуации. Определение б.
Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользонателя Р„задаются отлельно для каждого доступного пользователю субъекта (или подмножества субъектов), принадлежащего множеству 5„. Метод расщепления прав включает в себя метод проецирования прав доступа (когда для любого субъекта задаются равные права доступа к объектам).
Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника. Утверждение 2 (о доступе в системе с проецированием прав). В условиях расщепления прав субъект Х получит тот же доступ к объекту Оп что и субъект 3; при условии существования потоков Ягеагп(Х, 0„) — » О„и Б»геаш(Х, 0») -+ О„и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и О„. Доказательство. Посколькудругих субъектов, связанных с внешним субъектом Х, в ЛС КС нет, то возможны потоки к объекту О, только через ассоциированный объект О» субъекта Я,.
Поскольку между О„и О, возможен только поток, соответствующий праву доступа 5„то и между О, и О, возможен только такой же поток. Утверждение доказано. Следе тнне. В условиях расщепления прав субъект Хне получит доступ к объекту О, в том случае, если субъект о, не имеет доступ к О, и не существует другого субъекта 5г в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и О„. Доказанные утверждения позволяют сформировать методику проектирования защиты ЛС КС при условии попарной корректности всех субъектов (включая телекоммуникационный) и гарантированного выполнения стратегии безопасности.
Методика проектирования зашиты описывается последовательностью шагов. Б Формулируется стратегия безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов— чисто локальные и телекоммуникационные — и установить раздельные права для этих групп).
2. Относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов). 3. Реализуется МБО, выполняющий указанную стратегию безопасности. 4. Субъекты ЛС КС замыкаются в ИПС с контролем целостности объектов-источников, Сформулируем одну из возможных стратегий безопасности, связанную с группированием объектов.
Предположим, что объекты подразделяются на три подмножества: О, — доступные только пользователям ЛС КС (относительно О, все пользователи имеют доступ Я и )4'), Оз — множество доступных лля внешних пользователей объектов с правом доступа Я (например, объекты типа электронных объявлений); Оз — множество доступных для внешних пользователей объектов с правом й" (например, почтовые ящики для входящих писем). Субъекты также разделены на две группы: 5, — локальные субъекты; Яз — телекоммуникационные субъекты.
Тогда правила разграничения доступа в ЛС КС формулируются согласно табл. 5.3. Произвольная стратегия безопасности, разделяющая локальные и телекоммуникационные субъекты при их доступе к объектам, будет гарантировать разделение также внутренних и внешних пользователей. Рассмотрим возможность преднамеренной компрометации информации самим пользователем. Такая возможность реализуется инициированием потока Бггеагп(5„0) -э О, со стороны управля- Таблица 53 Групповые правила разграничения доступа в ЛС КС 295 Табл н ца 5.4 Правила разграничения доступа при запрете транспортировки вне избранных объектов ющего телекоммуникационным субъектом Ю, пользователя, имеющего злоумышленные цели.
Обозначим множество критичных к отправке во внешнюю сеть объектов как О,г. При разделении прав между локальными и телекоммуникационными субъектами можно задать такие ПРД, при реализации которых в МБО можно обеспечить полноценную работу локальных субъектов с объектами множества Оег, но невозможность транспортировки объектов Осг во внешнюю сеть. Обозначим множество некритичных к транспортировке и модификации локальных объектов как Ол.
Тогда ПРД относительно внеденных групп субъектон о, и Яз задаются соотношениями, представленными в табл. 5.4. Теперь обратимся к ситуации, когда возможно порождение субъекта Я,*, нарушающего корректность межсубъектного взаимодействия. Возможны два случая: 1) объект-источник Оидля порождения Х, является внешним (не ассоциированным) для активизирующего субъекта Ю,; 2) объект-источник Объявляется ассоциированным для субъекта Х (в данном случае ассоциированный объект-источник может быть неизменным или зависеть от информации, передаваемой субъектом Х). В первом случае при действии МБС с контролем целостности объекта-источника порождение новою субъекта возможно с вероятностью, не превышающей вероятность принять нетождественный объект-источник за тождественный эталонному (данный параметр полностью определен свойствами функции контроля целостности).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
