Субъекты, объекты, методы и права доступа. Привилегии субъектов доступа.


Тема 2. Разграничение доступа в ОС

2.1.1. Основные определения

Объектом доступа (или просто объектом) будем называть любой элемент операционной системы, доступ к которому пользователей и дру­гих субъектов доступа может быть произвольно ограничен. Если правила, ограничивающие доступ субъектов к некоторому элементу операционной системы, определены жестко и не допускают изменения с течением вре­мени, этот элемент операционной системы мы не будем считать объектом доступа.

Методом доступа к объекту называется операция, определенная для некоторого объекта. Например, для файлов могут быть определены методы доступа "чтение", "запись" и "добавление" (дописывание информа­ции в конец файла).

Субъектом доступа (или просто субъектом) будем называть лю­бую сущность, способную инициировать выполнение операций над объек­тами (обращаться к объектам по некоторым методам доступа). Например, пользователи являются субъектами доступа.

Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Но, поскольку процессы в операционной системе выполняются не сами по себе, а от имени и под управлением пользователей (прямым или косвенным), логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом досту­па мы будем подразумевать не физического пользователя, работающего с компьютером, а "логического" пользователя, от имени которого выполня­ются процессы операционной системы. Другими словами, если один физи­ческий пользователь может входить в операционную систему под двумя различными именами, мы будем считать, что этим именам соответствуют два различных субъекта доступа.

Итак, объект доступа - это то, к чему осуществляется доступ, субъ­ект доступа - это тот, кто осуществляет доступ, и метод доступа - это то, как осуществляется доступ.

Для объекта доступа может быть определен владелец – субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта. Обычно владельцем объекта автома­тически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствую­щего метода доступа к объекту. Владелец объекта не может быть лишен некоторых прав на доступ к этому объекту. На владельца возлагается ответственность за корректное ограничение прав доступа к данному объекту других субъектов.

Правом доступа к объекту будем называть право на выполнение доступа к объекту по некоторому методу или группе методов. В последнем случае право доступа дает субъекту возможность осуществлять доступ к объекту по любому методу из данной группы.

Понятие метода доступа и понятие права доступа не идентичны. Например, в операционной системе UNIX право на запись в файл дает возможность субъекту обращаться к файлу как по методу "запись", так и по методу "добавление", при этом, поскольку право доступа "добавление" в UNIX отсутствует, невозможно разрешить субъекту операцию добавления, одновременно запретив операцию записи.

Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объек­там операционной системы, поддерживающим данный метод доступа. На­пример, если субъект операционной системы Windows NT имеет привиле­гию отлаживать программы, он имеет право доступа ко всем объектам типа "процесс" и "поток" по группе методов, используемых отладчиками при отладке программ.

Разграничением доступа субъектов к объектам является совокуп­ность правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному ме­тоду. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном разграничении доступа ситуация несколько сложнее.

Субъект доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объек­там.

2.1.2. Правила разграничения доступа

Правила разграничения доступа, действующие в ОС, устанавливаются администраторами системы при определении те­кущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок – часть подсистемы защиты операцион­ной системы.

Правила разграничения доступа должны удовлетворять следующим требованиям.

1. Правила разграничения доступа, принятые в ОС, должны соответствовать аналогичным правилам, принятым в орга­низации, в которой установлена ОС.

2. Правила разграничения доступа для субъектов доступа, не обладающих соответствую­щими привилегиями, не должны допускать разру­шающие воздействия на ОС, жизненно важные для обеспечения нормального функционирования ОС.

3. Любой объект доступа должен иметь владельца.

4. Присутствие недоступных объектов – объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, непозволительно. Недоступные объекты фактически бесполезно растра­чивают аппаратные ресурсы компьютера.

5. Утечка конфиденциальной информации недопустима. Поскольку защита от этой угрозы труднореализуема, данное требование предъявля­ется согласно "Оранжевой книге" только к системам класса защищенности В1 и выше.

Рассмотрим наиболее типичные модели разграничения доступа.