Мандатный механизм разграничения доступа — это просто

Е.А. Маренникова, Закрытое акционерное общество «ОКБ САПР», Москва, Россия

В статье рассматривается разграничение доступа пользователей на примере типовой современной компьютерной системы. Обозначены основные угрозы информационной безопасности компьютерной системы, определен способ блокирования угроз. Рассмотрены основные принципы управления потоками информации в рамках мандатного механизма разграничения доступа в СЗИ от НСД «Аккорд».

Ключевые слова: мандатный механизм разграничения доступа, управление потоками информации, метки доступа.

В большинстве КС для разграничения доступа используется дискреционный механизм разграничения доступа [1]. Существует мнение, что применение мандатного механизма неизбежно приведет к возникновению проблем, таких как, например, отсутствие возможности работы с файлами, доступ к которым закрыт мандатными метками. Однако в большинстве случаев некорректная работа мандатного механизма разграничения доступа связана с некорректным выполнением процедуры установки меток мандатного доступа. Зная основные принципы работы мандатного механизма разграничения доступа, выполнить процедуру установки меток мандатного доступа просто.

Рассмотрим на примере типовой современной компьютерной системы (КС) [2], [3], как корректно выполнить разграничение доступа пользователей к объектам КС.

Пусть имеется КС такая, что вся информация (персональные данные пользователей и т.д.), с которой работают пользователи, находится на терминальном сервере (или ферме терминальных серверов).

На рабочем месте сотрудника организована лишь трансляция производимых им действий в графическом виде на монитор. Пусть в состав данной КС входит следующий набор составных частей:

• серверная часть;
• клиентская часть.

Серверная часть предназначена для выполнения пользовательских приложений и организации доступа пользователей к этим приложениям в режиме терминального доступа, а также построения среды хранения данных пользователей и служебных данных, необходимых для выполнения КС своих функций.

Структурными единицами серверной части КС являются терминальные серверы, предназначенные для выполнения приложений в терминальном режиме и файловый сервер, предназначенный для хранения личных папок и профилей пользователей КС.

При работе с информацией ограниченного доступа, часть терминальных серверов, участвующих в данном процессе, объединяются в отдельную ферму, доступ к которой предусматривается для пользователей, работающих с информацией ограниченного доступа.

Клиентская часть включает в себя рабочие станции пользователей КС.

Основные угрозы информационной безопасности КС [4], [5]:

• нарушение доступности информации
• нарушение целостности информации (данных) и программного обеспечения
• нарушение конфиденциальности (неправомерное использование) информации, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.

К числу угроз, связанных с недостатками действующих правил разграничения доступа (ПРД), относятся:

• передача или копирование информации из конфиденциальных каталогов в открытые, в том числе сохранение информации конфиденциального характера в открытые каталоги;
• возможность превышения должностных полномочий персонала КС.

Задача управления потоками информации и обеспечения невозможности передачи информации конфиденциального характера в открытые каталоги, являющаяся актуальной в рамках устранения (блокирования) выявленных угроз информационной безопасности КС, может быть реализована только посредством использования соответствующих функций СЗИ от НСД.

В большинстве распространенных СЗИ от НСД реализация данной задачи обеспечивается с использованием возможностей мандатного управления доступом.

Управление потоками информации в рамках мандатного механизма разграничения доступа, на первый взгляд, представляется достаточно громоздкой и сложной задачей. Для корректной настройки мандатного механизма необходимо проанализировать, к каким объектам обращался процесс с запросом на создание, чтение, запись, а после выполнения анализа необходимо корректно установить соответствующие метки доступа процессу и соответствующим объектам (файлам, каталогам, сетевым ресурсам и т.д.) [6].

Процедуры анализа и установки меток доступа занимают достаточно большое количество времени. Возможно, именно поэтому многие организации испытывают затруднения при использовании мандатного механизма разграничения доступа.

Однако процедуры установки меток доступа и анализа, к каким объектам обращался процесс с запросом на создание, чтение, запись в рамках мандатного механизма разграничения доступа можно упростить, используя СЗИ от НСД, в которых предоставляются соответствующие механизмы автоматизации [7].

Так, в СЗИ от НСД «Аккорд» [8] управление потоками информации в рамках мандатного механизма разграничения доступа осуществляется по следующему алгоритму:

• необходимо присвоить определенную метку доступа процессу;
• необходимо присвоить соответствующую метку доступа объектам (файлам, каталогам, сетевым ресурсам и т.д.), к которым обращается процесс с запросом на создание, чтение, запись;
• необходимо присвоить соответствующий уровень доступа пользователю, который работает с процессом в рамках выполнения должностных обязанностей;
• необходимо разрешить в рамках одного сеанса пользователя выполнение процедуры редактирования документов с разными метками доступа.

После выполнения описанных действий запустить процесс может только пользователь с соответствующим уровнем доступа. После запуска процесс с установленным уровнем доступа может получить доступ к объектам (данным, другим процессам) только с соответствующей меткой доступа.

Для решения проблемы редактирования документов с разными метками доступа в рамках одного сеанса пользователя в ПО ПАК «Аккорд» имеется механизм автоматизации, в рамках которого администратор информационной безопасности может:

• определить перечень задач (включая системные процессы), использование которых необходимо для выполнения должностных обязанностей пользователя КС;
• определить объекты, к которым выполняются запросы на открытие файлов для чтения/записи (эти запросы зачастую не зависят от переменных среды, а определяются разработчиками программных пакетов).
• назначить метку «ОБЩИЙ_РЕСУРС» информации, которую необходимо обрабатывать в рамках сеансов работы пользователей с разными уровнями доступа. Если администратор безопасности присваивает эту метку какой-либо папке, то далее создается несколько копий этого объекта, и каждой копии присваивается одна из меток доступа прописанных в конфигурационном файле системы защиты. Имена копий различаются на один символ, а в процессе работы монитор безопасности динамически перенаправляет ввод-вывод с объекта-оригинала на копию с нужной меткой доступа;
• предоставить пользователю выбор уровня доступа запускаемой задачи или выбор уровня конфиденциальности сеанса пользователя.

Процедура определения перечня задач и объектов доступа основана на анализе журналов регистрации событий СЗИ от НСД «Аккорд». При этом требуется высокая детальность журнала, чтобы определить, какая программа к каким объектам обращается с запросами на чтение/запись.

ПО ПАК «Аккорд» позволяет выбрать из журнала список исполняемых файлов, отследить операции чтения/записи для отдельных процессов, и сохранить в файл процессы и объекты, которым нужно присвоить метку «ОБЩИЙ_РЕСУРС», а также сформировать списки «общих» ресурсов для конкретных процессов: «общих» ресурсов, необходимых для работы всех пользователей, «общих» ресурсов, необходимых для работы отдельного пользователя, процессов, которые требуется запускать как в конфиденциальном, так и в общедоступном режиме.

Итак, зная основные принципы работы мандатного механизма разграничения доступа, можно достаточно просто выполнить процедуру установки меток мандатного доступа, тем самым позволяя:

• осуществлять корректную работу программ с реальным выполнением дисциплины контроля потоков информации;
• выполнять обработку документов разного уровня конфиденциальности одним набором прикладного ПО без ухудшения надежности защитных механизмов.
• выполнять обработку информации разных уровней конфиденциальности в рамках сеансов работы пользователя с выбором уровня доступа.

СПИСОК ЛИТЕРАТУРЫ

• Киреенко А.Е. Разработка метода и алгоритма контроля информационных потоков в операционных системах с дискреционным разграничением доступа. – Режим доступа: www.pvti.ru/data/file/bit/2013/2013_2/part_11.pdf;
• Терминальный доступ: понятие, преимущества, недостатки и особенности работы данной системы [Электронный ресурс]. – Режим доступа: http://wwshindler.ru/content/terminalnyi-dostup-ponyatie-preimushchestva-nedostatki-i-osobennosti-raboty-dannoi-sistemy. – Заглавие с экрана;
• Защита информации в системах терминального доступа [Электронный ресурс];
• Угрозы безопасности информации [Электронный ресурс]. – Режим доступа: http://data-seru/public/information-threats/. – Заглавие с экрана;
• Конявский В.А. Компьютерная преступность. – М., 2008;
• Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». – М., 1999;
• Конявский В.А. Методы и аппаратные средства защиты информационных технологий электронного документооборота. – М., 2005;
• Способ защиты от несанкционированного доступа к информации, хранимой на персональной ЭВМ/ Патент на изобретение № 2475823. 20.02.2013, бюл. №5.

Автор: Маренникова Е. А.

Дата публикации: 01.01.2016

Библиографическая ссылка: Маренникова Е. А. Мандатный механизм разграничения доступа — это просто // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. С. 209–212

---