 |
Системы разграничения доступа
|
|
|
|
Основную роль в обеспечении внутренней безопасности компьютерных систем выполняют системы управления доступом (разграничения доступа) субъектов к объектам доступа, реализующие концепцию единого диспетчера доступа (в английском варианте «reference monitor»(дословно - монитор ссылок).
Диспетчер доступа. Сущность концепции диспетчера доступа состоит в том, что некоторый абстрактный механизм является посредником при всех обращениях субъектов к объектам (рис.9.5).
Рис. 9.5. Схема разграничения доступа
Диспетчер доступа должен выполнять следующие функции:
· проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты (правил разграничения доступа);
· при необходимости регистрировать факт доступа и его параметры в системном журнале.
Основными требованиями к реализации диспетчера доступа являются:
· требование полноты контролируемых операций, согласно которому проверке должны подвергаться все операции всех субъектов над всеми объектами системы; обход диспетчера предполагается невозможным;
· требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа в целях влияния на процесс его функционирования;
· требование формальной проверки правильности функционирования;
· минимизация используемых диспетчером ресурсов.
В самом общем виде работа средств управления доступом субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.
Под базой данных защиты (security database) понимают базу данных, хранящую информацию о правах доступа субъектов системы к объектам и другим субъектам.
Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированного пользователя (администратора безопасности) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:
|
|
|
· добавления и удаления объектов и субъектов;
· просмотра и изменения соответствующих прав доступа субъектов к объектам.
Форма представления базы данных защиты может быть различной.
Основу базы данных защиты в общем случае составляет матрица доступа или ее представления. Каждый элемент этой матрицы представляет собой кортеж, определяющий права доступа (для всех возможных видов доступа) каждого субъекта к каждому объекту или другому субъекту.
Сложность управления доступом (введения матрицы доступа) в реальных системах связана не только с большой размерностью матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов. Например, пользователь должен наследовать полномочия группы пользователей, в которую он входит; права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.
При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.
Существующие ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутная схема и т.п.).
|
|
|
Основные критерии оценки эффективности различных способов неявного задания следующие:
· затраты памяти на хранение образа матрицы доступа;
· время на выборку (вычисление) значений полномочий (элементов кортежей);
· удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).
Рассмотрим основные способы неявного задания матрицы доступа.
Списки управления доступом к объекту. В данной схеме полномочия доступа к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.
Такое представление матрицы доступа получило название «списка управления доступом» (access control list). Этот вид задания матрицы реализован в сетевой ОС Novell NetWare.
Достоинства:
· экономия памяти, так как матрица доступа обычно сильно разрежена;
· удобство получения сведений о субъектах, имеющих какой-либо вид доступа к заданному объекту;
Недостатки:
· неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;
· неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
· так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.
Списки полномочий субъектов. В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.
Такое представление матрицы доступа называется «профилем» (profile) субъекта.
В системах с большим количеством объектов профили могут иметь большие размеры и вследствие этого ими трудно управлять; изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы. Поэтому профили обычно используются лишь администраторами безопасности для контроля работы субъектов и даже такое их применение весьма ограничено.
|
|
|
Достоинства:
· экономия памяти, так как матрица доступа обычно сильно разрежена;
· удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;
Недостатки:
· неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;
· неудобство получения сведений о субъектах, имеющих какой-либо вид доступа к заданному объекту;
· так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.
Атрибутные схемы
Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов.
Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX.
Основными достоинствами этих схем являются:
· экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект — объект на основе их меток или атрибутов;
· удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;
· удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;
· отсутствие потенциальной противоречивости.
Недостатки:
· затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;
· при атрибутной схеме затруднено задание прав доступа конкретного субъекта к конкретному объекту.
ЛЕКЦИЯ 10. Основные понятия
|
|
|
