Дискреционное управление доступом к объектам
Компьютерных систем
Все элементы КС разделяются на множество субъектов и объектов. Понятие субъекта отличается от понятия пользователя КС. Пользователь КС – это физическое лицо, обладающее некоторой идентифицирующей его информацией. Возможны псевдопользователи, например, сама система. Пользователь управляет работой субъекта с помощью его интерфейсных элементов (команд меню, кнопок и т.п.).
Дискреционное управление доступом(Discretionary Access Control, DAC) к объектам КС предполагает выполнение следующих требований:
все субъекты и объекты КС должны быть однозначно идентифицированы;
для любого объекта КС должен быть определен пользователь-владелец;
владелец объекта должен обладать правом определения прав доступа к объекту со стороны любых субъектов КС;
в КС должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).
Последнее свойство определяет невозможность существования в КС потенциально недоступных объектов, владелец которых отсутствует.
Дискреционное управление доступом к объектам КС реализуется обычно в виде матрицы доступа, строки которой соответствуют субъектам КС, а столбцы – ее объектам. Элементы матрицы доступа определяют права доступа субъектов к объектам. В целях сокращения затрат памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого из них создается список всех объектов, к которым разрешен доступ со стороны данного субъекта) или в виде списков контроля доступа (для каждого объекта КС создается список всех субъектов, которым разрешен доступ к данному объекту).
К достоинствам дискреционного управления доступом к объектам КС относятся относительно простая реализация (проверка прав доступа субъекта к объекту производится в момент открытия этого объекта в процессе субъекта) и хорошая изученность (в наиболее распространенных ОС универсального назначения применяется разграничение доступа на основе дискреционного управления).
Недостатки дискреционного управления доступом к объектам КС.
1. Статичность разграничения доступа – права доступа к уже открытому субъектом объекту в дальнейшем не изменяются, независимо от изменения состояния КС.
2. При использовании дискреционного управления доступом к объектам КС не существует возможности проверки, не приведет ли разрешение доступа к объекту для некоторого субъекта к нарушению безопасности информации в КС (например, владелец файла с конфиденциальной информацией, дав разрешение на его чтение другому пользователю, делает этого пользователя фактически владельцем защищаемой информации). Иначе говоря, дискреционное управление доступом к объектам КС не обеспечивает защиты от утечки конфиденциальной информации.
3. Дискреционное управление доступом к объектам КС не позволяет обеспечить надежную защиту от проникновения в КС вредоносных программ. Что может произойти при передаче прав доступа к объекту.
4. Автоматическое назначение прав доступа субъектам (из-за большого числа объектов в КС в качестве субъектов доступа остаются только пользователи КС, а значение элемента матрицы доступа вычисляется с помощью функции, определяющей права доступа порожденного пользователем субъекта к данному объекту КС).
Мандатное управление доступом к объектам
Компьютерных систем
Мандатное управление доступом (Mandatory Access Control, MAC) к объектам КС во многом лишено отмеченных недостатков. Характерные признаки мандатного управления доступом.
1. Все субъекты и объекты КС должны быть однозначно идентифицированы.
2. Должен существовать линейно упорядоченный набор меток конфиденциальности и соответствующих им степеней допуска (нулевая метка или степень соответствует открытому объекту и степени допуска к работе только с открытыми объектами).
3. Каждому объекту КС должна быть присвоена метка конфиденциальности.
4. Каждому субъекту КС должна быть присвоена степень допуска.
5. В процессе своего существования каждый субъект должен иметь свой уровень конфиденциальности, равный максимуму из меток конфиденциальности объектов, к которым данный субъект получил доступ.
6. В КС должен существовать привилегированный пользователь, имеющий полномочия на удаление любого объекта системы.
7. Понизить метку конфиденциальности объекта может только субъект, имеющий доступ к данному объекту и обладающий специальной привилегией.
8. Право чтения информации из объекта получает только тот субъект, чья степень допуска не больше метки конфиденциальности данного объекта (правило «не читать выше»).
9. Право на запись информации в объект получает только тот субъект, чей уровень конфиденциальности не меньше метки конфиденциальности данного объекта (правило «не записывать ниже»).
Основной целью мандатного управления доступом к объектам КС является предотвращение утечки информации из объектов с высокой меткой конфиденциальности в объекты с низкой меткой конфиденциальности (противодействие созданию каналов передачи информации «сверху вниз»).
Достоинства мандатного управления доступом.
1. Более высокая надежность работы самой КС, так как при разграничении доступа к объектам контролируется и состояние самой системы, а не только соблюдение установленных правил.
2. Большая простота определения правил разграничения доступом по сравнению с дискреционным управлением (эти правила более ясны для разработчиков и пользователей КС).
Недостатки мандатного управления доступом к объектам КС.
1. Сложность программной реализации, которая увеличивает вероятность внесения ошибок и появления каналов утечки конфиденциальной информации.
2. Снижение эффективности работы КС, так как проверка прав доступа субъекта к объекту выполняется не только при открытии объекта в процессе субъекта, но и перед выполнением любой операции чтения из объекта или записи в объект.
3. Создание дополнительных неудобств в работе пользователей КС, связанных с невозможностью изменения информации в неконфиденциальном объекте, если тот же самый процесс использует информацию из конфиденциального объекта (его уровень конфиденциальности больше нуля).
Классы защищенности
В руководящих документах Гостехкомиссии России определены девять классов защищенности АС от несанкционированного доступа, объединенных в три группы (наиболее защищенным является первый класс):
однопользовательские АС с информацией, размещенной на носителях одного уровня конфиденциальности (класс 3Б и 3А);
многопользовательские АС с одинаковыми полномочиями пользователей и информацией на носителях разного уровня конфиденциальности (классы 2Б и 2А);
многопользовательские АС с разными полномочиями пользователей и информацией разного уровня конфиденциальности (в порядке возрастания защищенности от класса 1Д до класса 1А).
В руководящих документах Гостехкомиссии России для АС класса защищенности 1Г и ниже должно быть обеспечено дискреционное управление доступом к объектам КС, а для КС класса 1В, 1Б, 1А – мандатное управление доступом к объектам КС.