Модернизация системы информационной безопасности БТИ

Требования  к принципам разграничения доступа

Для реализации дискреционного принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Контроль доступа  должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.

Право изменять ПРД, должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).

Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

КСЗ должен содержать механизм, претворяющий в жизнь дискретизационные ПРД, как для явных действий пользователя, так и для скрытых. Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств, а под "скрытыми" — иные действия, в том числе с использованием собственных программ работы с устройствами/17/.

Модель  дискреционного доступа

Политика дискреционного доступа охватывает самую многочисленную  совокупность моделей разграничения доступа, реализованных в большинстве защищенных КС, и исторически является первой, проработанной в теоретическом и практическом плане.

Модели дискреционного доступа непосредственно основываются и развивают субъектно-объектную модель КС как совокупность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дискретным набором троек "Пользователь (субъект)-поток (операция)-объект".

Конкретные модели специфицируют способ представления области безопасного доступа и механизм проверки соответствия запроса субъекта на доступ области безопасного доступа. Если запрос не выходит за пределы данной области, то он разрешается и выполняется. При этом постулируется, что осуществление такого доступа переводит систему в безопасное состояние.

Специфика и  значение моделей заключается в  том, что исходя из способа  представления (описания) области безопасного доступа и механизма разрешений на доступ анализируется и доказывается, что за конечное число переходов система останется в безопасном состоянии. 

Модель дискреционного доступа, предложенная Хартсоном, вероятно наиболее наглядно в формальном плане иллюстрирует дискреционный принцип разграничения доступа, выраженный языком реляционной алгебры. Приведем ее основные положения в кратком изложении.

1. Система представляется  совокупностью пяти наборов (множеств):

-  множества  пользователей  U;

-  множества  ресурсов R;

-  множества  состояний S;

-  множества  установленных полномочий A;

-  множества  операций E .

2. Область безопасности  представляется декартовым произведением: 

A × U × E ×  R × S          (3.3)

3. Пользователи  подают  запросы на доступ к  ресурсам, осуществление которых переводит систему в новое состояние. Запросы на доступ представляются четырехмерными кортежами

q = (u, e, R', s),           (3.4)

где u ∈ U, e ∈ E, s∈ S, R' ⊆ R (R'- требуемый набор ресурсов).

Таким  образом,  запрос  на  доступ  представляет  собой  подпространство четырехмерной проекции пространства безопасности. Запрос удовлетворяется, если  он  полностью заключен в области безопасности (3.3).

4. Процесс организации  доступа алгоритмически описывается следующим образом.

4.1. Определить  из U те группы пользователей, к которым принадлежит u. Затем выбрать из A те спецификации, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.

4.2. Определить  из множества  A набор полномочий P =F(e), которые устанавливают e как основную операцию. Набор полномочий P =F(e) определяет привилегию операции e.

4.3. Определить  из множества A набор полномочий P =F(R'), разрешающих доступ к набору ресурсов R'. Набор полномочий P =F(R') определяет привилегию ресурсов R'.

Полномочия, которые  являются общими для всех трех привилегий, образуют так называемый домен полномочий запроса D(q)

D(q) = F(u) ∩ F(e) ∩ F(R' ) .

4.4. Убедиться, что запрашиваемый набор ресурсов R'  полностью содержится в домене запроса D(q), т. е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q).

4.5. Осуществить  разбиение D(q) на эквивалентные классы так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.

В каждом классе произвести операцию логического ИЛИ  элементов D(q) с учетом типа операции e.

В результате формируется  новый набор полномочий на каждую единицу ресурса, указанного в D(q) - F(u, q). Набор F(u, q) называется фактической привилегией пользователя u по отношению к запросу q.

4.6. Вычислить  условие фактического доступа (EAC), соответствующее запросу q , через операции логического ИЛИ по  элементам полномочий F(u, q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' – набор фактически доступных по запросу ресурсов.

4.7. Оценить EAC и принять решение о доступе: 

- разрешить  доступ, если R'' и R' полностью перекрываются; 

- отказать в  доступе в противном случае/25/.

Разработка  модели разграничения доступа для ФГУП

Для АСОД ФГУП характерна дискреционная модель разграничения доступа, соответственно необходимо разработать дискреционный принцип разграничения доступа для АСОД.

Ресурсы, подлежащие защите, располагаются на файловом сервере, соответственно необходимо рассмотреть структуры каталогов, в которых располагаются ресурсы. Все ресурсы четко разделены по отдельным каталогам, к которым имеют доступ соответствующие пользователи. Структура каталогов повторяет организационную структуру предприятия, что упрощает процесс построения модели. На рисунке 3.2 изображена структура каталогов, расположенных на файловом сервере.

 

 

Рисунок 3.2 –  Структура каталогов на сервере

 

Пользователи на предприятии объединены в группы, для удобства администрирования. Группы пользователей образованы согласно занимаемым ими должностям. На рисунке 3.3 представлена структура должностей ФГУП. Каждая из должностей имеет свои категории прав и свое множество ресурсов (каталогов) на которые распространяются соответствующие им категории прав. Таким образом, разграничение доступа должно проводиться с учетом возможностей на выполнение тех или иных операций с ресурсами в АСОД для каждой должности, и пользователя (сотрудника) имеющего данную должность.

 

 

Рисунок 3.3 –  Структура должностей предприятия

 

Рассмотрев структуру каталогов и структуру должностей, можно приступить к созданию модели разграничения доступа. На рисунке 3.4 представлена модель разграничения доступа для ФГУП. Данная модель полностью отражает права доступа на ресурсы расположенные на файловом сервере для групп и пользователей. Согласно модели пользователи (П) группы 1 (Гр₁) имеет доступ на запись только к собственным каталогам (К_n). Пользователи входящие в Гр₂ (начальники отделов) помимо прав на запись собственных каталогов, имеют права доступ на чтение каталогов пользователей работающих в отделе. Пользователи состоящие в Гр₃ (директор) так же как и пользователи Гр₁ имеют права доступа на запись в собственный каталог и права доступа на чтение всех каталогов находящихся на файловом сервере.

Результат разграничения  доступа записывается, т.е. производит изменения, в списки доступа АСL, которые в свою очередь представляет прямоугольную матрицу (таблицу), строки которой соответствуют субъектам доступа, столбцы объектам доступа, а в ячейках записываются разрешенные операции соответствующего субъекта над соответствующим объектом (таблица 3.1).

"Прописанные"  в  ячейках  матрицы  права  доступа  в  виде  разрешенных операций над объектами определяют виды безопасных доступов соответствующего субъекта к соответствующему объекту. Для выражения типов разрешенных операций используются специальные обозначения, составляющие  основу (алфавит)  некоторого  языка  описания  политики  разграничения. Таким образом, в рамках дискреционной политики каждая ячейка агрегирует некоторое подмножество троек "субъект-операция(поток)-объект"/25/.

Таблица 3.1 –  Матрица права доступа

	Объекты доступа
Субъекты доступа				…		…
		r	r	…	w		r
		w	r	…	r	…	w
		…	…	…	….	…	…
		r	w	…	r	…	w
		…	…	…	….	…	…
		w	e	…	w	…	r

 

 

 

Рисунок 3.4 –  Модель разграничения доступа для  ФГУП

 

Теперь необходимо математически описать модель разграничения  доступа.

Конечным итогом разработанной модели должен стать  массив, в котором содержатся имена  пользователей, принадлежащие им ресурсы, категория прав доступа m, и неотъемлемый атрибут имя учетной записи системного администратора и соответствующая ему категория прав доступа m ко всем ресурсам.

Под категорией прав доступа понимается возможность  выполнения, каких либо действий над определенным ресурсом или группой ресурсов. Среди категорий можно выделить следующие:

n – запрет на доступ;

r – возможность чтения ресурса;

w – возможность записи ресурса и дальнейшего его чтения;

с – возможность  выполнения вех возможных операций над ресурсами, без возможности изменения свойств доступа к ресурсу;

f – возможность выполнения вех возможных операций над ресурсами, с возможности изменения свойств доступа к ресурсу.

Но каждая категория  прав m включает в себя более низкую категорию:

 

 

 

Так же необходимо отметить, что системный администратор имеет самую высокую категорию прав доступа – f.

Теперь рассмотрим непосредственно представление  модели разграничения доступа, выраженную языком реляционной алгебры.

k – множество групп;

l – множество пользователей;

m – множество ресурсов (каталогов);

n – множество категорий прав доступа;

o –имя системного администратора в АС.

1. Необходимо получить список групп k и пользователей l, входящих в эти группы.

{ ; }             (3.5)

Такие что:

               (3.6)

2. Определение администратора o АС из всех пользователей l:

       (3.7)

Для администратора o, права доступа n всегда «f».

таким образом, производим объединение множества пользователей и групп, в которых состоят первые, и имя администратора с правами «f»:

{ ; = { ; }             (3.8)

3. Теперь необходимо определить категории прав доступа, т.е. поставить в соответствие группам пользователей соответствующие категории прав доступа n. Для этого производится назначение соответствующей группе пользователей соответствующие категории прав доступа. Мы уже имеем список групп k, теперь определяем для каждого соответствующие категории прав :

           (3.9)

4. Теперь необходимо определить каталоги, принадлежащие группам. Для этого производим поиск каталогов, принадлежащих i группе, следующим образом: