Субъекты, объекты, методы и права доступа. Привилегии субъектов доступа.
Тема 2. Разграничение доступа в ОС
2.1.1. Основные определения
Объектом доступа (или просто объектом) будем называть любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Если правила, ограничивающие доступ субъектов к некоторому элементу операционной системы, определены жестко и не допускают изменения с течением времени, этот элемент операционной системы мы не будем считать объектом доступа.
Методом доступа к объекту называется операция, определенная для некоторого объекта. Например, для файлов могут быть определены методы доступа "чтение", "запись" и "добавление" (дописывание информации в конец файла).
Субъектом доступа (или просто субъектом) будем называть любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Например, пользователи являются субъектами доступа.
Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Но, поскольку процессы в операционной системе выполняются не сами по себе, а от имени и под управлением пользователей (прямым или косвенным), логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа мы будем подразумевать не физического пользователя, работающего с компьютером, а "логического" пользователя, от имени которого выполняются процессы операционной системы. Другими словами, если один физический пользователь может входить в операционную систему под двумя различными именами, мы будем считать, что этим именам соответствуют два различных субъекта доступа.
Итак, объект доступа - это то, к чему осуществляется доступ, субъект доступа - это тот, кто осуществляет доступ, и метод доступа - это то, как осуществляется доступ.
Для объекта доступа может быть определен владелец – субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта. Обычно владельцем объекта автоматически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту. Владелец объекта не может быть лишен некоторых прав на доступ к этому объекту. На владельца возлагается ответственность за корректное ограничение прав доступа к данному объекту других субъектов.
Правом доступа к объекту будем называть право на выполнение доступа к объекту по некоторому методу или группе методов. В последнем случае право доступа дает субъекту возможность осуществлять доступ к объекту по любому методу из данной группы.
Понятие метода доступа и понятие права доступа не идентичны. Например, в операционной системе UNIX право на запись в файл дает возможность субъекту обращаться к файлу как по методу "запись", так и по методу "добавление", при этом, поскольку право доступа "добавление" в UNIX отсутствует, невозможно разрешить субъекту операцию добавления, одновременно запретив операцию записи.
Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам операционной системы, поддерживающим данный метод доступа. Например, если субъект операционной системы Windows NT имеет привилегию отлаживать программы, он имеет право доступа ко всем объектам типа "процесс" и "поток" по группе методов, используемых отладчиками при отладке программ.
Разграничением доступа субъектов к объектам является совокупность правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном разграничении доступа ситуация несколько сложнее.
Субъект доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объектам.
2.1.2. Правила разграничения доступа
Правила разграничения доступа, действующие в ОС, устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок – часть подсистемы защиты операционной системы.
Правила разграничения доступа должны удовлетворять следующим требованиям.
1. Правила разграничения доступа, принятые в ОС, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена ОС.
2. Правила разграничения доступа для субъектов доступа, не обладающих соответствующими привилегиями, не должны допускать разрушающие воздействия на ОС, жизненно важные для обеспечения нормального функционирования ОС.
3. Любой объект доступа должен иметь владельца.
4. Присутствие недоступных объектов – объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, непозволительно. Недоступные объекты фактически бесполезно растрачивают аппаратные ресурсы компьютера.
5. Утечка конфиденциальной информации недопустима. Поскольку защита от этой угрозы труднореализуема, данное требование предъявляется согласно "Оранжевой книге" только к системам класса защищенности В1 и выше.
Рассмотрим наиболее типичные модели разграничения доступа.