1.2.5. Модели разграниченного доступа

Известные модели разграничения доступа, построенные по принципу предоставления прав, делятся на два основных типа: модели дискреционного и мандатного доступа. Предлагаются [60–62] различные отечественные реализации дискреционного механизма, отличающиеся, в первую очередь, составом набора общих прав.

В СЗИ НСД «Dallas Lock» [60] неявно используются атрибуты Y — право полного доступа субъекта к объекту (на чтение, запись, модификацию и т. д.);  — отсутствие такого права. В соответствии с этим каждому субъекту-пользователю ставится в соответствие либо список разрешенных объектов, либо список запрещенных объектов.

В СЗИ НСД «Secret Net» [61] набор применяемых атрибутов шире, а именно   R — право (разрешение) на чтение; W — право на модификацию; X —  право на запуск задачи.

Наиболее полный набор общих прав используется в СЗИ НСД «Аккорд» [62] и включает   

·        R — разрешение на открытие файлов только для чтения;

·        W — разрешение на открытие файлов только для записи;

·        C — разрешение на создание файлов на диске;

·        D — разрешение на удаление файлов;

·        N — разрешение на переименование файлов;

·        V — видимость файлов;

·        O — эмуляция разрешения на запись информации в файл;

·        M — разрешение на создание каталогов на диске;

·        E — разрешение на удаление каталогов на диске;

·        G — разрешение перехода в этот каталог;

·        X — разрешение на запуск программ.

Заметим, что наборы атрибутов RS и RA близки к атрибутам, применяемым в ОС UNIX и NetWare соответственно.

Опуская особенности реализации, рассмотрим некоторые возможности применения различных наборов атрибутов для описания политик информационной безопасности.

Пусть набор атрибутов — U1 и U2. Каждый пользователь имеет право полного доступа Y к некоторому множеству объектов, иными словами, для пользователя U1 определен список разрешенных объектов О1. Для пользователя U2 соответственно определен список разрешенных объектов О2.

В случае, когда , т. е. когда существует хотя бы один объект, который содержится в списке разрешенных объектов как для пользователя U1, так и для пользователя U2, возможна утечка информации.

Покажем это. Пусть существует:  и  следующим образом:  интересуют данные, хранящиеся в объекте  помещает в объект О данные из объекта , а пользователь  получает доступ к информации, хранящейся в объекте  не имеет права доступа, т. е. происходит утечка информации.

Для описанного состава атрибутов утечка информации возможна в любом случае, когда

Комментарий. С субъективной точки зрения результат понятен специалисту, соответствует реальности, но, в определенном смысле, он не вытекает из модели и даже ей противоречит. Причина — некорректное описание модели: смешение чисто формальной терминологии математики с бытовым и профессиональным сленгом. Из определений «вдруг» оказывается, что общее право — это не одно право (например, чтения), а несколько прав (в том числе, право копирования, право изменения текста). Да и само понятие «утечка информации» не определено. На таком поле понятий можно сконструировать любое предложение, в том числе, и противоположное. Например,

В случае, когда OOÆ, т. е. когда не существует ни одного объекта, который содержался бы в списке разрешенных объектов как для пользователя U1 так и для пользователя U2, возможна утечка информации.

Для обоснования достаточно подразумевать (но умолчать в утверждении!), что существует третий пользователь U3, для которого определен список разрешенных объектов, имеющий непустое пересечение со списками для пользователя U1 и для пользователя U2.  Как и раньше, здесь кое-что (наличие третьего пользователя) недоговорено. Но если умолчание разрешено для первого положения, то почему недопустимо для второго?

Как следствие, некорректен и вывод из модели, что «…существует только одна выполнимая политика безопасности, а именно: списки разрешенных пользователям объектов не имеют общих элементов». Этот вывод вытекает «по здравому смыслу», но формально не следует из модели. И действительно, если право «полного доступа» состоит из единственного «права чтения», то вывод, как легко видеть, неверен. А вот если из единственного «права записи», то — верен. Общее и частные права необходимо задавать конкретно, описывать совокупностью характеристик, например, транзитивность, коммутативность и др.

Понятия: «определен», «право», «доступ» или, еще более расплывчатого — «полный доступ», в модели определены некорректно. «Право» есть характеристика субъекта, «доступ» есть операция на множестве из субъектов и объектов, это абсолютно разные математические характеристики. Для существования права не нужны объекты, а вот операция доступа без наличия объектов немыслима. Что отличает «полный доступ» от просто «доступа»? Существует ли «неполный доступ», и что это такое? Разумеется, из контекста понятно, о чем на самом деле идет речь, но в модели подобное недопустимо. 

«Здравый смысл» — это не доказательство, а только предпосылка существования доказательства. Разумеется, на начальных этапах развития проблематики защиты информации подобные неформальные модели допустимы, а зачастую — и необходимы. Только на основе таких моделей можно перейти к обобщению частных результатов и их формализации.

Перейдем к дальнейшему обзору. Рассмотрим теперь набор атрибутов . Этот набор шире . Действительно, атрибуты из  могут быть описаны атрибутами из , а именно: ; . Обратное — невозможно.

Предположим, что в системе действуют два пользователя U1 и  имеет права доступа U2 имеет право доступа {R}к объекту O2. Предположим, что пользователя U2 интересуют данные, хранящиеся в объекте O1. При этом пользователь U1, пользуясь имеющимся у него правом W на модификацию объекта O1, может переименовать его в O2. Пользователь U2, в свою очередь, пользуясь имеющимися у него правами {R} на объект O2, получает доступ к данным, которые содержались в объекте O1, т. е. происходит утечка информации. При этом ни пользователь U1, ни пользователь U2 не нарушают политики безопасности. Таким образом, для данного состава атрибутов утечка информации возможна в том случае, если хотя бы один из пользователей имеет право доступа {W} к защищаемому объекту.

Это также очень сильное ограничение, и в этой связи возможности разграничения доступа, предоставляемые данным набором атрибутов, обычно усиливаются дополнительными механизмами.

Атрибуты из RS, в свою очередь, могут быть описаны атрибутами из RA, а именно:

Комментарий принципиально не отличается от приведенного при анализе атрибутов   

<<Назад   Оглавление   Далее>>