В КОМПЬЮТЕРНЫХ СИСТЕМАХ
УПРАВЛЕНИЕ ДОСТУПОМ К ИНФОРМАЦИИ
Одним из необходимых условий обеспечения безопасности компьютерных систем является управление доступом пользователя к информационным ресурсам. Необходимо контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям. Для обеспечения надежной защиты данных, доступ к информационным ресурсам необходимо строго регламентировать. Для этого сначала следует получить ответы на следующие вопросы:
1) Кто, кому, при каких условиях, к каким ресурсам и при каких видах доступа должен обеспечивать доступ к информационным ресурсам?
2) Какие аппаратно-программные комплексы по разграничению доступа и определению для всех пользователей информационных и программных ресурсов будут использоваться?
3) Каким образом будет происходить управление процедурой доступа?
Для начала следует описать все информационные ресурсы органа внутренних дел (файлы, каталоги, базы данных), определить категории пользователей (их роли и задачи) и права доступа для каждой категории к ресурсам подразделения. Категорирование ресурсов является важным аспектом при разграничении доступа к информации, поскольку в нем определяется, какую важность представляет та или иная информация и соответствующий доступ к ней.
Управление доступом защищает против неавторизованного использования ресурсов информационной системы и может быть обеспечено при помощи соответствующих механизмов управления доступом.
Существуют две основные модели разграничения доступа:
q избирательное (дискреционное) разграничение доступа;
q полномочное (мандатное) разграничение доступа.
При избирательном разграничении доступа определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство операционных систем реализуют именно избирательное разграничение доступа.
Система правил избирательного разграничения доступа формулируется следующим образом:
1. Для любого объекта операционной системы существует владелец.
2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
3. Для каждой тройки субъект – объект – метод возможность доступа определена однозначно.
4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Этот привилегированный пользователь не может игнорировать разграничение доступа к объектам. Например, в Windows NT администратор для обращения к чужому объекту (принадлежащему другому субъекту) должен вначале объявить себя владельцем этого объекта, использовав привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходимые права, и только после этого администратор может обратиться к объекту. Последнее требование введено для реализации механизма удаления потенциально недоступных объектов.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используются такие понятия, как матрица доступа и домен безопасности.
С концептуальной точки зрения текущее состояние прав доступа при избирательном разграничении доступа описывается матрицей, в строках которой перечислены субъекты доступа, в столбцах – объекты доступа, а в ячейках – операции, которые субъект может выполнить над объектом.
Домен безопасности определяет набор объектов и типов операций, которые могут производиться над каждым объектом операционной системы.
Возможность выполнять операции над объектом есть право доступа, представляющее собой упорядоченную пару <object-name, rights-set>.
Таким образом, домен есть набор прав доступа. Например, если домен D имеет право доступа <fiie F, {read, write}>, это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом. Пример доменов показан в таблице.
Специфицирование прав доступа к ресурсам
Домен | Объект | |||
F1 | F2 | F3 | Printer | |
D1 | read | execute | ||
D2 | read | |||
D3 | ||||
D4 | read | read | ||
write | write |
Расширением модели избирательного разграничения доступа является изолированная (или замкнутая) программная среда.
При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объекту. Можно, например, разрешить обращаться к файлам с расширением .doc только программам Word, Word Viewer и WPview.
Реализация изолированной программной среды предполагает соблюдение нескольких непременных условий:
1) на компьютере с проверенной BIOS установлена проверенная операционная среда;
2) достоверно установлена неизменность операционной среды и BIOS для данного сеанса работы;
3) кроме проверенных программ, в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ;
4) исключен запуск проверенных программ в какой-либо иной ситуации, т. е. вне проверенной среды.
Изолированная программная среда существенно повышает защищенность операционной системы от разрушающих программных воздействий, включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе. В то же время изолированная программная среда создает, определенные сложности в администрировании операционной системы. Например, при установке нового программного продукта администратор, должен изменить списки разрешенных программ для пользователей, которые должны иметь возможность работать с этим программным продуктом. Изолированная программная среда не защищает от утечки конфиденциальной информации.
Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов. При использовании данной модели разграничения доступа существенно страдает производительность операционной системы, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтения/записи.
Каждая из рассмотренных моделей разграничения доступа имеет свои достоинства и недостатки.
Свойства модели | Избирательное разграничение доступа | Изолированная программная среда | Полномочное разграничение доступа |
Защита от утечки информации | Отсутствует | Отсутствует | Имеется |
Защищенность от разрушающих воздействий | Низкая | Высокая | Низкая |
Сложность реализации | Низкая | Средняя | Высокая |
Сложность администрирования | Низкая | Средняя | Высокая |
Затраты ресурсов компьютера | Низкие | Низкие | Высокие |
Использование ПО, разработанного для других систем | Возможно | Возможно | Проблематично |
Как видно из вышеприведенной таблицы, в большинстве ситуаций применение избирательного разграничения доступа наиболее эффективно. Изолированную программную среду целесообразно использовать в случаях, когда важно обеспечить целостность программ и данных операционной системы. Полномочное разграничение доступа следует применять в тех случаях, когда для организации чрезвычайно важно обеспечение защищенности системы от несанкционированной утечки информации. В остальных ситуациях, применение этой модели нецелесообразно из-за резкого ухудшения эксплуатационных качеств операционной системы.