Исключение из разграничительной политики сущности «объект доступа». Модели и методы контроля доступа

На этой странице:

Обобщим все сказанное ранее и определимся с тем, какие же задачи остаются наиболее актуальными для решения при разработке современных методов контроля доступа:

• необходимость упрощения задачи администрирования путем реализации

разграничительной политики доступа, в которой субъект доступа задается тремя сущностями: исходный идентификатор пользователя, эффективный

идентификатор пользователя, процесс (полнопутевое имя исполняемого файла процесса);

• необходимость реализации разграничительной политики с заданием разграничений прав доступа для субъектов (первичной сущностью в разграничительной политике должен быть «субъект доступа») при ее физической привязке (в качестве атрибутов) к объектам.

Принципы контроля доступа к создаваемым файлам

Прежде всего, в двух словах остановимся на основном противоречии существующих подходов к реализации разграничительной политики доступа субъектов к объектам [3,6]. Первичным при назначении разграничений прав доступа в известных методах контроля доступа является объект, что логично, т.к. именно объект и защищается от несанкционированного доступа. Однако файловые объекты принципиально различаются. Они могут быть подразделены на статичные (прежде всего системные) и создаваемые в процессе работы системы. Принципиальная разница между этими группами объектов в части задания разграничительной политики доступа огромна, и состоит она в том, что системные объекты присутствуют на компьютере на момент настройки администратором прав доступа субъектов к объектам, а создаваемых еще попросту нет. Резонно возникает вопрос: как же к ним разграничивать доступ, если их еще нет? А ведь это те объекты (прежде всего файлы), которые в первую очередь и нуждаются в защите от несанкционированного доступа, поскольку именно они и содержат защищаемую конфиденциальную информацию.

Поскольку на момент задания разграничительной политики доступа создаваемых в процессе работы пользователей файлов еще не существует в системе, администратором заранее создаются хранилища (своего рода «контейнеры») для последующего сохранения создаваемых в процессе работы пользователей файлов. Т.е. администратором создаются папки (контейнеры), к которым и разграничивается доступ. Объект доступа «файл» в общем случае при этом исчезает из разграничительной политики доступа. Разграничительной политикой для созданных папок-контейнеров пользователи «принуждаются» создавать свои файлы только в определенных папках, в противном случае невозможно установить какие-либо разграничения. Созданные файлы наследуют разграничения, установленные для папок. Посредством же реализации разграничительной политики доступа к папкам- контейнерам для пользователей разграничивается доступ и к созданным в процессе функционирования системы файлам.

Как видим, задача реализации разграничительной политики доступа, состоящая в разграничении прав доступа субъектов к обрабатываемой в вычислительной системе информации, решается не напрямую, а опосредованно через объекты доступа.

Естественно, что подобный подход (а именно он сегодня и используется на практике) не только весьма не логичен (если речь не идет о системных объектах), но и обусловливает принципиальное усложнение реализации разграничительной политики доступа к файловым объектам, а в ряде случае и к невозможности ее корректной реализации (обо всем этом мы говорили ранее). Достаточно задуматься о том, какие действия потребуется выполнить администратору, чтобы, например, изолировать обработку информации десятком приложений - для каждого субъекта потребуется создавать свою папку, далее разграничивать к созданным папкам права доступа. Соответственно придется разграничивать доступ и к иным папкам, в частностик системным. А не разделяемые системой и приложениями папки потребуется разделить отдельным механизмом защиты, при этом опять же создать соответствующие дополнительные папки, и т.д. Все это приводит не только к многократному усложнению задачи администрирования, как следствие, к ошибкам администрирования (что представляет собою весьма вероятную угрозу), но и к невозможности гарантированно построить корректную разграничительную политику доступа к файловым объектам в общем случае. Возможность же корректной реализации в данном случае мандатного контроля доступа вообще ставится под сомнение.

Принципы контроля доступа создаваемым файловым объектам основаны на исключении сущности «объект доступа» из разграничительной политики доступа к файловым объектам как таковой (ввиду ее отсутствия на момент задания прав доступа администратором), и состоят они в следующем [3-6]:

  • 1) Сущность «объект» исключается из схемы контроля доступа, при реализации разграничительной политики используются две сущности: идентификатор (учетная информация) субъекта, создавшего объект, и идентификатор субъекта, запрашивающего доступ к созданному объекту.
  • 2) Правила доступа устанавливаются между сущностями: «субъект доступа (учетная информация), запрашивающий доступ к объекту» и «субъект доступа (учетная информация), создавший этот объект».
  • 3) При создании субъектом нового файла самим файлом наследуется учетная информация субъекта доступа, создавшего этот файл.
  • 4) При запросе доступа к любому файлу диспетчер доступа анализирует наличие, а при наличии - содержимое унаследованной файлом учетной информации создавшего его субъекта доступа. При наличии анализирует заданные правила доступа, в результате чего предоставляет запрошенный субъектом доступ либо отказывает в нем. При отсутствии - анализирует правило контроля доступа к неразмеченным (не унаследовавшим учетную информацию субъекта) объектам.
 
Посмотреть оригинал
Предыдущая глава
Ограничение работы пользователя только с определенными тинами файлов (но расширениям), в том числе исполняемых
Следующая глава
Модель и метод дискреционного контроля доступа к создаваемым файлам