Реализация методов контроля доступа к статичным файловым объектам

Реализация дискреционного метода контроля доступа к статичным файловым объектам

Как отмечали во второй главе, применительно к реализации контроля доступа (разграничительной политики доступа) к статичным файловым объектам (а это в первую очередь системные файловые объекты) имеет смысл говорить о реализации метода дискреционного контроля доступа; метод мандатного контроля доступа здесь мало применим, ввиду сложности использования меток безопасности (мандатов) для какого-либо категорирования системных объектов. Мандатный контроль доступа имеет смысл рассматривать и применять в отношении исключительно создаваемых файлов. Реализация данного метода контроля доступа была нами рассмотрена выше.

Субъекты доступа задаются из интерфейса, представленного на рис.47. Заметим, что в системе защиты создается и ведется единый список субъектов доступа для всех механизмов контроля доступа к защищаемым ресурсам, входящих в состав системы защиты. Это обусловливается тем, что доступ одного и того же субъекта может разграничиваться к различным ресурсам вычислительной системы.

Как отмечали ранее, субъекты доступа в общем случае назначаются тремя сущностями: исходное имя (SID) пользователя, эффективное имя пользователя, имя процесса - полнопутевоеимя исполняемого файла процесса, из интерфейса, представленного на рис.26 [8].Объекты доступа задаются из интерфейса, представленного на рис.35.

Задание и отображение в интерфейсе объектов доступа

Рисунок 35. Задание и отображение в интерфейсе объектов доступа

Объект доступа в разграничительной политике может задаваться (из интерфейса, см. рис.35) как своим полнопутевым именем, так и маской, а также переменными среды окружения. Для однозначной идентификации объекта, к которому запрашивается доступ, в разграничительной политике (с целью выбора наиболее точного описателя объекта) для каждого задаваемого объекта должен быть определен его признак: файл, маска файла, каталог, маска каталога, маска, см. рис.35. Это обусловлено тем, что правила доступа субъектов к объектам хранятся не в качестве атрибутов, а в отдельном файле в виде матрицы доступа. Как следствие, при обработке запроса доступа к конкретному файлу диспетчером из матрицы доступа должен быть выбран объект, наиболее точно описывающий объект в запросе доступа, с учетом того, что при использовании масок один и тот же объект в запросе одновременно может подпадать под несколько масок файловых объектов, заданных в разграничительной политике. Это обусловливает реализацию следующего алгоритма выбора наиболее точного соответствия описателя объекта, к которому запрошен доступ, объекту, заданному в разграничительной политике. Сначала объект из запроса доступа сравнивается с объектами в разграничительной политике, определенными как «файл», см. рис.35. Если полное совпадение найдено, выбираются правила доступа, заданные в разграничительной политике для этого объекта (файла). Если полного совпадения не найдено, анализируется полное совпадение с объектами, определенными как «маска файла», затем при соответствующих условиях «каталог», затем «маска каталога», затем «маска».

Замечание. К статичным файловым объектам также относятся и файловые накопители (устройства), см.рис.35. Ключевым требованием к реализации

разграничительной политики доступа к файловым накопителям является их задание в правилах доступа идентификаторами устройств, включая их серийные номера (для идентификации не модели, а конкретного устройства), и ни в коем случае не «буквой диска», к которой устройство монтируется к системе. При задании объекта доступа здесь также могут использоваться маски.

Правила доступа субъектов к объектам задаются из интерфейса, представленного на рис.36.

Задание и отображение в интерфейсе правил доступа субъектов к

Рисунок 36. Задание и отображение в интерфейсе правил доступа субъектов к

статичным файловым объектам

В двух словах собственно о разграничительной политике. Как отмечалось во второй главе, она может быть запретительной либо разрешительной. По умолчанию (без дополнительных настроек) реализована запретительная политика. Для задания разрешительной политики достаточно для любого субъекта, определяемого маской «*», запретить какой-либо доступ к какому-либо объекту; объект также при этом задается маской «*» и определяется как «маска», см. рис.35 (наименее точный описатель объекта доступа). После чего уже следует задавать разрешенные правила доступа. Все запросы доступа, не попадающие под эти разрешенные правила, будут отклоняться диспетчером доступа -реализуется общее правило разрешительной разграничительной политики доступа: все, что явно не разрешено, то запрещено.

Разрешительная политика может быть установлена применительно к какой-то отдельной разграничительной политике (не для системы в целом), например, при реализации контроля доступа к файловым объектам для какого-либо приложения. В этом случае для ее реализации сначала приложению следует запретить доступ ко всем объектам, объект доступа при этом задается маской «*», определяется как «маска», затем задать необходимые разрешения доступа к файловым объектам для данного приложения.

Естественно, что при реализации разрешительной разграничительной политики доступа возникает вопрос, каким образом определить те правила доступа, которые необходимо разрешить субъекту (в первую очередь приложению) для его корректного функционирования в системе. С этой целью используется инструментальный аудит. Для этого задается анализируемый субъект доступа, например, приложение, с учетом либо нет работающего с ним пользователя (обычный пользователь, администратор, System). В качестве объекта доступа задается тот файловый объект, доступ к которому анализируется. Если необходимо проанализировать все возможные обращения субъекта к файловой системе, объект доступа задается маской «*», определяется как «маска», см. рис.35. В интерфейсе, см. рис.36, разрешаются все права доступа заданного субъекта к объекту; для анализируемых же прав доступа, например, только запись либо только исполнение, в пределе для всех устанавливается режим аудита. При заданных настройках требуется осуществить работу приложения в требуемых режимах и соответствующим образом проанализировать результаты аудита, представленные в соответствующем журнале, см. рис.37. На основании проведенного анализа может быть реализована корректная разграничительная политика доступа, что уже не составит особого труда.

Как отмечали во второй главе, важнейшим методом, обеспечивающим корректность реализации разграничительной политики доступа к файловым объектам в общем случае, как следствие, возможность построения безопасной системы, является метод разделения между субъектами не разделяемых системой и приложениями файловых объектов за счет перенаправления диспетчером доступа запроса к неразделяемому объекту, к объекту, предварительно созданному для соответствующего субъекта администратором, чем может быть физически разделен между субъектами любой файловый объект.

Журнал аудита запрашиваемого доступа к файловым объектам приложением 1п1егпе1Ехр1огег при его запуске

Рисунок 37.Журнал аудита запрашиваемого доступа к файловым объектам приложением 1п1егпе1Ехр1огег при его запуске

Интерфейс настройки механизма защиты, реализующего данный метод контроля доступа, представлен на рис.38.

Интерфейс настройки перенаправления запроса доступа к неразделяемым файловым объектам

Рисунок 38. Интерфейс настройки перенаправления запроса доступа к неразделяемым файловым объектам

Здесь опять же используется субъект доступа, задаваемый соответствующими тремя сущностями из интерфейса, представленного на рис.26, как следствие, разделять файловые объекты можно как между пользователями (в том числе с учетом из возможного олицетворения), так и между процессами. В строке «Перенаправить из» интерфейса, см. рис.38, задается файловый объект, который требуется разделить между субъектами; в строке «Перенаправить в» созданный администратором для данного субъекта объект, в который будет перенаправлен соответствующий запрос доступа. Естественно, что перед настройкой механизма защиты данные объекты должны быть заданы в качестве объектов разграничительной политики доступа из интерфейса, представленного на рис.35. К объекту, в который перенаправляется соответствующий доступ, из интерфейса, приведенного на рис.38, задаются правила доступа (перенаправление доступа срабатывает ранее, чем разграничение прав доступа). К исходному файловому объекту коллективного доступа устанавливать каких-либо правил доступа не требуется, поскольку запрос доступа до него не доходит (перенаправляется средством защиты).
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >