7.4. политика и модели дискреционного доступа

7. 4. политика и модели дискреционного доступа

 

Политика дискреционного (избирательного) доступа реализо- вана в большинстве защищенных систем и исторически является первой проработанной в теоретическом и практическом плане. Первые описания моделей дискреционного доступа к ин- формации появились еще в 1960-х гг. и подробно представле- ны в литературе. Наиболее известны модель АДЕПТ-50 (ко- нец 1960-х гг. ), пятимерное пространство Хартсона (начало 1970-х гг. ), модель Хариссона — Руззо-Ульмана (середина 1970-х гг. ), модель Take-Grant (1976 г. ). Авторами и исследова- телями этих моделей был внесен значительный вклад в теорию безопасности информационных систем, а их работы заложили основу для последующего создания и развития защищенных

информационных систем.

 

Модели дискреционного доступа непосредственно основы- ваются на субъектно-объектной модели и развивают ее как сово- купность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д. ). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дис- кретным набором троек «пользователь (субъект) — поток (опе- рация) — объект».

В модели, исходя из способа представления области безо- пасного доступа и механизма разрешений на доступ, анализи- руется и доказывается, что за конечное число переходов систе- ма останется в безопасном состоянии.

Модели на основе матрицы доступа

На практике наибольшее применение получили дискреци- онные модели, основанные на матрице доступа. В данных мо- делях область безопасного доступа строится как прямоугольная матрица (таблица), строки которой соответствуют субъектам доступа, столбцы — объектам доступа, а в ячейках записыва- ются разрешенные операции (права) субъекта над объектом (рис. 7. 3). В матрице используются следующие обозначения: w — «писать», r — «читать», e — «исполнять».

О б ъ е к т ы д о с т у п а

r           r, w   e r                 w e   r             w w

o₁            o₂            …           o_j             … o_n

 

 

 

i

m

Рис. 7. 3. Матрица доступа

 

Права доступа в ячейках матрицы в виде разрешенных опе- раций над объектами определяют виды безопасного доступа субъекта к объекту. Для выражения типов разрешенных опе- раций используются специальные обозначения, составляющие основу (алфавит) некоторого языка описания политики разгра- ничения доступа. Таким образом, в рамках дискреционной по- литики каждая ячейка содержит некоторое подмножество тро- ек «субъект — операция — объект».

Матрица доступа представляет собой ассоциированный с мо- нитором безопасности объект, содержащий информацию о по- литике разграничения доступа в конкретной системе. Структура матрицы, ее создание и изменение определяются конкретными моделями и конкретными программно-техническими решени- ями систем, в которых они реализуются.

Принцип организации матрицы доступа в реальных системах определяет использование двух подходов — централизованно- го и распределенного.

При централизованном подходе матрица доступа создается как отдельный самостоятельный объект с особым порядком раз- мещения и доступа к нему. Количество объектов и субъектов до- ступа в реальных системах может быть велико. Для уменьшения количества столбцов матрицы объекты доступа могут делиться на две группы — группу объектов, доступ к которым не ограни- чен, и группу объектов дискреционного доступа. В матрице до- ступа представляются права пользователей только к объектам второй группы. Наиболее известным примером такого подхо- да являются «биты доступа» в UNIX-системах.

При распределенном подходе матрица доступа как отдельный объект не создается, а представляется или «списками доступа», распределенными по объектам системы, или «списками возмож- ностей», распределенными по субъектам доступа [10]. В первом случае каждый объект системы, помимо идентифицирующих характеристик, наделяется еще своеобразным списком, непо- средственно связанным с самим объектом и представляющим,

 

по сути, соответствующий столбец матрицы доступа. Во вто- ром случае список с перечнем разрешенных для доступа объ- ектов (строку матрицы доступа) получает каждый субъект при своей инициализации.

И централизованный, и распределенный принципы органи- зации матрицы доступа имеют свои преимущества и недостат- ки, присущие в целом централизованному и децентрализован- ному принципам организации и управления.

Согласно принципу управления доступом выделяются два подхода:

· принудительное управление доступом;

· добровольное управление доступом.

В случае принудительного управления право создания и из- менения матрицы доступа имеют только субъекты администра- тора системы, который при регистрации для работы в системе нового пользователя создает с соответствующим заполнением новую строку матрицы доступа, а при возникновении нового объекта, подлежащего избирательному доступу, образует новый столбец матрицы доступа. Подобный подход наиболее широко представлен в базах данных.

Принцип добровольного управления доступом основывает- ся на принципе владения объектами. Владельцем объекта до- ступа называется пользователь, инициализировавший поток, в результате чего объект возник в системе, или определивший его иным образом. Права доступа к объекту определяют их вла- дельцы.

Заполнение и изменение ячеек матрицы доступа осущест- вляют субъекты пользователей-владельцев соответствующих объектов. Подобный подход обеспечивает управление досту- пом в тех системах, в которых количество объектов доступа яв- ляется значительным или неопределенным. Такая ситуация ти- пична для операционных систем.

Все дискреционные модели уязвимы для атак с помощью

«троянских» программ, поскольку в них контролируются только

 

операции доступа субъектов к объектам, а не потоки информа- ции между ними. Поэтому, когда «троянская» программа пере- носит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, то формально никакое пра- вило дискреционной политики безопасности не нарушается, но утечка информации происходит.

 

⇐ Предыдущая23242526272829303132Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: