Модель контроля доступа к создаваемым файловым объектам

Тип работы:
Реферат
Предмет:
ТЕХНИЧЕСКИЕ НАУКИ


Узнать стоимость

Детальная информация о работе

Выдержка из работы

УДК 004. 056. 53
К. А. Щеглов, А. Ю. Щеглов
МОДЕЛЬ КОНТРОЛЯ ДОСТУПА К СОЗДАВАЕМЫМ ФАЙЛОВЫМ ОБЪЕКТАМ
Предложены метод контроля доступа к создаваемым файловым объектам, характеризующийся исключением сущности «объект доступа& quot- из разграничительной политики, и модель контроля доступа, с использованием которой разработаны требования к принудительному управлению потоками информации, обеспечивающие построение безопасной системы.
Ключевые слова: защита информации, разграничение доступа, создаваемый файловый объект, контроль доступа, информационный поток.
Введение. Основу защиты обрабатываемой компьютером информации от несанкционированного доступа составляет построение разграничительной политики доступа к файловым объектам, которую обеспечивает диспетчер доступа, перехватывающий и анализирующий все запросы от субъектов к объектам. Диспетчер однозначно выявляет в запросе доступа субъект и объект и на основании анализа заданного правила контроля принимает решение о предоставлении субъекту запрашиваемого доступа.
При назначении разграничений прав доступа первичен объект, поскольку именно он требует защиты от несанкционированного доступа. Однако применительно к решению задачи контроля доступа файловые объекты принципиально различаются — они могут быть подразделены на статичные (в первую очередь, системные) и создаваемые пользователями в процессе работы системы. Системные объекты присутствуют на момент настройки администратором прав доступа субъектов к объектам, а объекты второй группы еще не созданы. Возникает вопрос: как разграничивать доступ к еще не созданным объектам? А ведь эти объекты (прежде всего, файлы), особенно нуждаются в защите от несанкционированного доступа, поскольку содержат защищаемую конфиденциальную информацию.
Известные методы контроля доступа. Контроль доступа к статичным объектам осуществляется посредством назначения им атрибутов (прав доступа субъектов к объекту). Возможны два варианта назначения прав доступа к создаваемым объектам.
1. Права доступа задаются опосредованно, путем включения в систему на момент задания разграничительной политики доступа соответствующих статичных объектов — папок (своего рода «контейнеров& quot-), доступ субъектов к которым, в том числе и по созданию в них новых объектов, разграничивается администратором. Вследствие разграничений пользователь может создавать новые файловые объекты (файлы) только в специально созданных папках. Создаваемые файловые объекты наследуют разграничения доступа от соответствующих включающих объектов (папок).
Как видим, собственно к создаваемым объектам контроль доступа не осуществляется, файл как сущность «исчезает& quot- из разграничительной политики доступа — используются субъект доступа и специально созданный контейнер — объект доступа, что определяет сложность задачи администрирования, многократно возрастающую, если в качестве субъекта доступа рассматривать не только учетную запись (пользователя), но и непосредственно процесс (приложение), без чего эффективную защиту в современных условиях не создать [1].
2. В разграничительной политике доступа используется сущность «Владения& quot-, предоставляемая современными универсальными ОС: пользователь, создавший объект («Владелец& quot-) наделяется полномочиями разграничивать права доступа к этому объекту для иных пользователей. В этом случае несмотря на то что права доступа в виде атрибутов назначаются именно
статичному объекту (владельцем, уже после создания им объекта), в определенном смысле можно говорить о контроле доступа к создаваемым файлам, поскольку права доступа на созданный файл назначаются пользователем-владельцем уже после задания администратором разграничительной политики доступа к объектам. Таким образом, изменяются собственно схема администрирования, способ задания разграничительной политики — реализуется непрерывное администрирование в процессе функционирования системы.
Однако функции администрирования при этом возлагаются уже не на администратора, а непосредственно на пользователя, что недопустимо в современных условиях.
Модель контроля доступа к статичным файловым объектам. Для оценки безопасности системы, основанной на контроле доступа к статичным файловым объектам, на практике используется модель Харрисона-Уззо-Ульмана [2]. Если считать, что С = {С1,…, С/} и О = {О1,., О^} - соответственно линейно упорядоченные множества субъектов и объектов доступа, а Я = {Я^…, Ят} - конечное множество прав доступа (чтение, запись, удаление, исполнение и т. д.), то разграничительная политика доступа субъектов к объектам описывается матрицей доступа М, где М[С, О] - ячейка матрицы, которая содержит набор прав доступа субъекта из множества С к объекту из множества О. В любой момент времени система описывается текущим состоянием Q = (С, О, М).
Требование к безопасности системы в рассматриваемом случае может быть сформулировано следующим образом: «Для заданной системы состояние Q0 = (Со, О0, М0) следует считать безопасным относительно некоторого права Я, если не существует применимой к Q0 последовательности действий, в результате выполнения которой субъектом С0 приобретается право Я доступа к объекту О0, исходно отсутствующее в ячейке матрицы М0[С0, О0]& quot-. Если право Я, отсутствующее в ячейке матрицы М0[С0, О0], приобретается субъектом С0, то можно говорить, что произошла утечка права Я, и относительно Я его система небезопасна.
Поскольку последовательность действий генерирует субъект доступа, пользователь (действия администратора не имеет смысла рассматривать при анализе изменений состояния системы), то для рассматриваемой модели о безопасности системы можно говорить исключительно в предположении, что действия пользователя не приведут к утечке права Я. Однако при реализации сущности «Владения& quot- именно пользователь, создавший объект, наделяет правом доступа Я к этому объекту других пользователей. Как следствие, о безопасности системы в данном случае можно говорить исключительно в предположении, что субъект доступа (пользователь) не несет угрозы генерирования утечки права Я с целью хищения, несанкционированной модификации или удаления обрабатываемой на предприятии информации. Однако в современных условиях, особенно применительно к корпоративным приложениям, где пользователь обрабатывает не собственную, а корпоративную информацию, и понятие «Владелец& quot- (не в технологическом смысле) к нему малоприменимо, нельзя сделать подобное предположение даже с большими оговорками. Например, в исследовании [3] сделан вывод о том, что наибольшую опасность для компаний сегодня представляет именно несанкционированный доступ собственных сотрудников к конфиденциальной информации предприятия.
Вывод. В безопасной системе контролем доступа должно осуществляться принудительное для пользователя управление потоками информации (или информационными потоками), сущность «Владения& quot- должна быть исключена из схемы контроля доступа.
Замечание. Перенос информации от С к О — информационный поток записи, от О к С — информационный поток чтения. Управление потоками — предоставление/изменение права Я генерирования потока информации между С и О.
Правила управления потоками информации. Предлагаемый метод контроля доступа к создаваемым файловым объектам базируется на реализации принципов, изложенных в статье [4]. «Объект& quot- исключается из схемы реализации разграничительной политики — используются две сущности: идентификатор (учетная информация) субъекта, создавшего объект, и
идентификатор субъекта, запрашивающего доступ к созданному объекту. Новым файлом, созданным субъектом, наследуется учетная информация этого субъекта доступа. Учетная информация субъекта доступа, в общем случае используемая при реализации разграничительной политики, определяется следующими сущностями: исходный идентификатор пользователя (учетная запись, под которой осуществлен вход в систему) — «полнопутевое& quot- имя исполняемого файла процесса, запрашивающего доступ к ресурсу- эффективный идентификатор пользователя (учетная запись, от которой осуществлен запрос доступа к ресурсу) [1].
При запросе доступа к любому файлу диспетчер доступа анализирует наличие, а при наличии — содержимое унаследованной файлом учетной информации создавшего его субъекта доступа. Матрица доступа здесь приобретает совершенно иной вид, поскольку из разграничительной политики доступа исключена сущность «Объект& quot-. Если считать, что С = {С1, …, С/} - линейно упорядоченное множество субъектов доступа, а Я = {Я^ …, Ят} - конечное множество прав доступа (г — чтение, w — запись, ё — удаление, х — исполнение и т. д., 0 — отсутствие прав доступа) субъекта Сг к объекту, созданному субъектом С (=1, …, /, 7=1, …, /) то матрица доступа М, используемая для реализации разграничительной политики методом контроля доступа с принудительным управлением потоками информации имеет следующий вид (условимся в строках матрицы указывать учетную информацию субъектов, запрашивающих доступ к объектам, а в столбцах — учетную информацию субъектов, унаследованную созданными объектами):
С1
С2
м =.
С/ С
/-1
С1
г, w, ё г
С2
w г, w, ё
С о о
о о
0 г
w г, w, ё
В любой момент времени система описывается своим текущим состоянием Q = (С, С, М), М[С, С] - ячейка матрицы, которая содержит набор прав доступа. Разрешение права доступа субъекта С к объектам, созданным субъектом Сг (=1, …, /-7=1, …, /, где Я = {х^, Я, ё}), обозначим как С](Я)Сг.
Вывод. Используя предложенный метод контроля доступа к создаваемым файловым объектам, можно построить безопасную систему, поскольку за счет контроля доступа осуществляется принудительное для пользователя управление потоками информации.
Сформулируем основные правила (требования) управления потоками, при реализации которых в системе отсутствует утечка права Я = {х^, г, ё}, что не приводит к несанкционированному обмену информацией между субъектами, который будем обозначать С7[Я]Сг, (субъект С] получает несанкционированный доступ к информации, обрабатываемой субъектом Сг):
1. Недопустимо разрешение пользователям права исполнения (х) файла, созданного в процессе функционирования системы. При выполнении данного требования система безопасна относительно х. Заметим, что выполнение именно этого требования обеспечивает эффективную защиту от вредоносных программ [5]. Как следствие, разрешенные права доступа к создаваемым файловым объектам: Я =, г, ё}.
2. При назначении разграничительной политики «по умолчанию& quot- должны быть установлены права доступа: С^, г, ё)Сг (г=1, …, /). Данное правило обусловливает задание диаго-
нальной («канонической& quot- [1]) матрицы доступа, характеризуемой условием: Ci (w, r, d)Ci- Ci (0)Cj (?4з, -=1, …, /, 7=1, …, /). Реализующая каноническую модель доступа система безопасна относительно прав записи и чтения (г).
3. При расширении канонической матрицы доступа правом чтения Ci®Cj и при уже разрешенном в матрице праве чтения Ck®Ci, одновременно должно также разрешаться право чтения (г): Ck®Cj (?#Д, -=1, …, /-7=1, …, /- к=1, …, /), что предотвращает возможность несанкционированного обмена информацией между субъектами Ck[Я]Cj, из-за возникающей при этом утечки права чтения Ck®Cj.
4. При расширении канонической матрицы доступа правом записи Ci (w)Cj, при уже разрешенном в матрице праве записи Cj (w)Ck, одновременно с этим должно также разрешаться право записи Ci (w)Ck (г^^, г=1, …, /- ]=1, …, /- k=1, …, /), что предотвращает возможность несанкционированного обмена информацией между субъектами Ci[Я]Ck, из-за возникающей при этом утечки права записи Ci (w)Ck.
5. При расширении канонической матрицы доступа правом удаления (3) включающих объектов (папок, в которых создаются файлы), должно реализовываться следующее правило управления: любой включающий объект (папка) может быть удален любым субъектом при условии отсутствия включенных в него объектов (в первую очередь — файлов).
Замечание. Поскольку предлагаемый метод контроля доступа не предполагает реализации разграничительной политики доступа к статичным объектам — папкам — любой субъект может удалить любую папку, соответственно и все включенные в нее файлы, что приводит к утечке права удаления (3).
Таким образом, предложенный метод относится к дискреционным с принудительным управлением потоками информации. При реализации сформулированных требований метод позволяет построить безопасную систему.
Заключение. Использование предложенного метода контроля доступа к создаваемым файловым объектам позволяет пересмотреть принципы построения разграничительной политики доступа к защищаемым ресурсам, разделив задачи защиты статичных и создаваемых файловых объектов и способы их решения.
СПИСОК ЛИТЕРАТУРЫ
1. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. СПб: Наука и техника, 2004. 384 с.
2. Harrison M., Ruzzo W., Ullman J. Protection in operating systems // Communication of ACM. 1976. Vol. 19, N 8. P. 461−472.
3. [Электронный ресурс]: & lt-http://www. securitycode. ru/company/news/SC-analytic-2011>-.
4. Щеглов К. А. Принципы контроля доступа к создаваемым файловым объектам // Сб. тр. молодых ученых и сотрудников кафедры ВТ. СПб: НИУ ИТМО, 2012. Вып. 3. С. 85−86.
5. Щеглов К. А., Щеглов А. Ю. Защита от вредоносных программ методом контроля доступа к создаваемым файловым объектам // Вестн. компьютерных и информационных технологий. 2012. № 8. С. 46−51.
Сведения об авторах
Константин Андреевич Щеглов — студент- Санкт-Петербургский национальный исследовательский
университет информационных технологий, механики и оптики, кафедра вычислительной техники- E-mail: schegl_70@mail. ru Андрей Юрьевич Щеглов — д-р техн. наук, профессор- Санкт-Петербургский национальный
исследовательский университет информационных технологий, механики и оптики, кафедра вычислительной техники- E-mail: info@npp-itb. spb. ru
Рекомендована кафедрой Поступила в редакцию
вычислительной техники 08. 02. 12 г.

ПоказатьСвернуть
Заполнить форму текущей работой