1232 (693509), страница 15
Текст из файла (страница 15)
- разделяемым программам и подпрограммам;
- разделяемым наборам данных.
Основным объектом внимания средств контроля доступа являются совместно используемые наборы данных и ресурсы системы. Совместное использование объектов порождает ситуацию «взаимного недоверия», при которой разные пользователи одного объекта не могут до конца доверять друг другу. Тогда, если с этим объектом что-нибудь случиться, все они попадают в круг подозреваемых.
Существует четыре основных способа разделения субъектов к совместно используемым объектам:
1. Физическое - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).
2. Временное - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.
3. Логическое - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду «один субъект - все объекты»; в этом случае разделение может быть реализовано различными способами разделение оригинала объекта, разделение с копированием объекта и т.д.
4. Криптографическое - все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.
Существует множество различных вариантов одних и тех же способов разделения субъектов, они могут иметь разную реализацию в различных средствах защиты.
Контроль доступа субъектов системы к объектам (не только к совместно используемым, но и к индивидуальным) реализуется с помощью тех же механизмов, которые реализуют ДВБ и осуществляется процедурами ядра безопасности.
Как уже отмечалось выше, настройка механизмов защиты — дело сугубо индивидуальное для каждой системы и даже для каждой задачи. Поэтому дать ее подробное описание довольно трудно. Однако существуют общие принципы, которых следует придерживаться, чтобы облегчить себе работу, так как они проверены практикой. Рассмотрим их:
1.Группирование.
Это объединение множества субъектов под одним групповым именем; всем субъектам, принадлежащим одной группе, предоставляются равные права. Принципы объединения пользователей в группы могут быть самые разные: одинаковый характер вычислений, работа над совместным проектом и т.д. При этом один и тот же субъект может входить в несколько различных групп, и, соответственно, иметь различные права по отношению к одному и тому же объекту. Механизм группирования может быть иерархическим. Это означает, что каждый субъект является членом нескольких групп, упорядоченных по отношению «быть подмножеством». Контроль за состоянием групп очень важен, поскольку члены одной группы имеют доступ к большому числу объектов, что не способствует их безопасности. Создание групп и присвоение групповых привилегий должно производиться администратором безопасности, руководителем группы или каким-либо другим лицом, несущим ответственность за сохранность групповых объектов.
2. Правила умолчания.
Большое внимание при назначении привилегий следует уделять правилам умолчания, принятым в данных средствах защиты; это необходимо для соблюдения политики безопасности. Во многих системах, например, субъект, создавший объект и являющийся его владельцем, по умолчанию получает все права на него. Кроме того, он может эти права передавать кому-либо. В различных средствах защиты используются свои правила умолчания, однако принципы назначения привилегий по умолчанию в большинстве систем одни и те же. Если в системе используется древовидная файловая структура, то необходимо принимать во внимание правила умолчания для каталогов. Корректное использование правил умолчания способствуют поддержанию целостности политики безопасности.
3. Минимум привилегий.
Это один из основополагающих принципов реализации любой политики безопасности, используемый повсеместно. Каждый пользователь и процесс должен иметь минимальное число привилегий, необходимых для работы. Определение числа привилегий для всех пользователей, с одной стороны, позволяющих осуществлять быстрый доступ ко всем необходимым для работы объектам, а, с другой, — запрещающих доступ к чужим объектам — проблема достаточно сложная. От ее решения во многом зависит корректность реализации политики безопасности.
4. Принцип «надо знать».
Этот принцип во многом схож с предыдущим. Согласно ему, полномочия пользователей назначаются согласно их обязанностям. Доступ разрешен только к той информации, которая необходима им для работы. Согласно принципу, пользователь должен знать обо всех доступных ему ресурсах. В том случае, если пользователь не знает о них, такие ресурсы должны быть отключены.
5. Объединение критичной информации.
Во многих системах сбор, хранение и обработка информации одного уровня производится в одном месте (узле сети, устройстве, каталоге). Это связано с тем, что проще защитить одним и тем же способом большой массив информации, чем организовать индивидуальную защиту для каждого набора данных. Для реализации этого принципа могут быть разработаны специальные программы, управляющие обработкой таких наборов данных. Это будет простейший способ построения защищенных областей.
6. Иерархия привилегий.
Контроль объектов системы может иметь иерархическую организацию. Такая организация принята в большинстве коммерческих систем.
При этом схема контроля имеет вид дерева, в котором узлы — субъекты системы, ребра — право контроля привилегий согласно иерархии, корень — администратор системы, имеющий право изменять привилегии любого пользователя.
Узлами нижележащих уровней являются администраторы подсистем, имеющие права изменять привилегии пользователей этих подсистем (в их роли могут выступать руководители организаций, отделов). Листьями дерева являются все пользователи системы. Вообще говоря, субъект, стоящий в корне любого поддерева, имеет право изменять защиту любого субъекта, принадлежащего этому поддереву.
Достоинство такой структуры — точное копирование схемы организации, которую обслуживает АСОИБ. Поэтому легко составить множество субъектов, имеющих право контролировать данный объект. Недостаток иерархии привилегий — сложность управления доступом при большом количестве субъектов и объектов, а также возможность получения доступа администратора системы (как высшего по иерархии) к любому набору данных.
7. Привилегии владельца.
При таком контроле каждому объекту соответствует единственный субъект с исключительным правом контроля объекта — владелец. Как правило, это его создатель. Владелец обладает всеми разрешенными для этого типа данных правами на объект, может разрешать доступ любому другому субъекту, но не имеет права никому передать привилегию на корректировку защиты. Однако такое ограничение не касается администраторов системы — они имеют право изменять защиту любых объектов.
Главным недостатком принципа привилегий владельца является то, что при обращении к объекту, пользователь должен предварительно получить разрешение у владельца (или администратора). Это может приводить к сложностям в работе (например; при отсутствии владельца или просто нежелании его разрешить доступ). Поэтому такой принцип обычно используется при защите личных объектов пользователей.
8. Свободная передача привилегий.
При такой схеме субъект, создавший объект, может передать любые права на него любому другому субъекту. Тот, в свою очередь, может передать все эти права другому субъекту.
Естественно, при этом возникают большие трудности в определении круга субъектов, имеющих в данный момент доступ к объекту (права на объект могут распространяться очень быстро и так же быстро исчезать), и поэтому такой объект легко подвергнуть несанкционированной обработке. В силу этих обстоятельств подобная схема применяется достаточно редко — в основном в исследовательских группах, работающих над одним проектом (когда все имеющие доступ к объекту заинтересованы в его содержимом).
В чистом виде рассмотренные принципы реализации политики безопасности применяются редко. Обычно используются их различные комбинации. Ограничение доступа к объектам в ОС включает в себя ограничение доступа к некоторым системным возможностям, например, ряду команд, программам и т.д., если при использовании их нарушается .политика безопасности. Вообще набор полномочий каждого пользователя должен быть тщательно продуман, исключены возможные противоречия и дублирования, поскольку большое количество нарушений происходит именно из-за этого. Может произойти утечка информации без нарушения защиты, если плохо была спроектирована или реализована политика безопасности.
Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни ОС) и. наконец, нижний уровень этой структуры представлен аппаратными средствами защиты. На всех уровнях, кроме верхнего, должны реализовываться требования политики безопасности, за что, собственно, и отвечают механизмы защиты.
В различных системах механизмы защиты могут быть реализованы по-разному; их конструкция определяется общей концепцией системы. Однако одно требование должно выполняться неукоснительно: эти механизмы должны адекватно реализовывать требования политики безопасности.
Имеется два подхода к обеспечению безопасности АСОИБ.
«Фрагментарный» подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Примерами реализации такого подхода являются, например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д. Главная отличительная особенность «фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.
Главным достоинством «фрагментарного» подхода является его высокая избирательность относительно конкретной угрозы, обуславливающая и основной его недостаток — локальность действия. Другими словами, фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов АСОИБ от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты; распространить действие таких мер на всю АСОИБ практически невозможно.
Особенностью комплексного подхода является создание защищенной среды обработки информации в АСОИБ, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Защищенная среда обработки информации строится на основе разработанных для конкретной АСОИБ правил обработки критической информации.
Организация защищенной среды обработки информации позволяет гарантировать (в рамках разработанной политики безопасности) уровень безопасности АСОИБ. Недостатками подхода являются высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления, ограничения на свободу действий пользователей АСОИБ.
Комплексный подход применяют для защиты крупных АСОИБ, или небольших АСОИБ, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. При этом способ реализации комплексной защиты определяется спецификой АСОИБ, другими объективными и субъективными факторами.
Для всех крупных организаций характерно то, что нарушение безопасности информации в их АСОИБ может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности, что ведет к необходимости реализации комплексной защиты.
Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений, он нашел свое отражение в различных стандартах и целенаправленно проводится в жизнь, например, Министерством обороны США в лице Национального Центра Компьютерной Безопасности (NCSC). [2, с.201]
Важным компонентом защиты является «горячий резерв».
«Горячий резерв» используется для возобновления процесса обработки после событий, вызвавших полный или частичный отказ основной системы — в результате отключения энергоснабжения, неисправности оборудовании или программного обеспечения, злого умысла («вирусная атака») и т.д.
«Горячий резерв» — это готовая к работе дублирующая система, в которой полностью сгенерирована операционная система, размещены прикладное программное обеспечение и наборы данных. Кроме того, резервная система должна иметь работоспособные периферийные устройства, подключенные каналы связи, источники энергоснабжения и даже персонал. Время на подготовку определяется временем загрузки резервных копий и системы.
Содержание «горячего резерва» обходится очень дорого. Однако в некоторых случаях — для обработки информации, требующей полного контроля со стороны ее владельца, «горячий резерв» необходим. Кроме того, можно содержать и использовать «горячий резерв» на кооперативных началах — вместе с другими организациями.
«Расщепленный резерв» представляет собой способ не столько восстановления, сколько организации АСОИБ. В этом смысле о нем можно говорить, как о способе организации системы с высокой степенью распределенности и взаимодублирующими составными частями. При таком подходе критичные элементы системы (аппаратура, программы, данные) разнесены по отдельным ее частям (узлам распределенной системы) и функционируют в какой-то мере независимо, обмениваясь между собой информацией по каналам связи.
В случае выхода из строя отдельных элементов системы другие могут взять на себя их функции. Времени на приведение дублирующих элементов в рабочее состояние очень мало, фактически оно определяется загрузкой из резервных копий (так как аппаратура расщепленного резерва всегда находится в рабочем состоянии).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
