Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности
5c8b6e8c

Разграничение доступа


Средства логического разграничения доступа определяют действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информационными ресурсами, процессами, устройствами и т. п.). Такие средства позволяют также обеспечить контроль (поддерживают режим протоколирования) за совершением этих действий. В отличие от физического управления доступом, которое осуществляется на операционном уровне, например, персоналом, регламентирующим доступ пользователя в специальные помещения (компьютерные классы), в данном случае имеется в виду доступ, который обеспечивается программно-техническими средствами. Имея в виду специфику организации Интернет, необходимо подчеркнуть, что этот вид разграничения доступа является определяющим на Метасети.

С формальной точки зрения задача сводится к выполнению заранее установленного (хотя не обязательно статичного) для макрообъекта2 (продукта или системы ИТ) порядка выполнения для каждого из входящих в макрообъект субъектов операций над каждым из потенциальных атомарных объектов (составляющих макрообъект) при соблюдении, может быть, каких-то дополнительных условий (зависящих, например, от времени, места действия, каких-то ограничений используемого сервиса и т. п.)

Разграничение доступа осуществляется различными аппаратно-программными компонентами от ядра ОС, общецелевых программ (например, графика, СУБД) до отдельных систем прикладного программного обеспечения (например, Web-сервер) на основе принятого порядка выполнения и анализа дополнительных условий.

Модели этих отношений (включая порядок выполнения, дополнительные условия или полномочия), сценарии их формирования и изменения (включая уничтожение или появление новых), способы и механизмы организации, хранения, извлечения и анализа данных являются производными от выбранной политики безопасности объекта (продукта или системы ИТ). Они составляют суть (предмет) данного вида сервиса безопасности по отношению к защищаемому объекту. В качестве элементарных, отдельных или атомарных объектов могут выступать файлы, устройства (компьютеры или сетевое оборудование), процессы, такие средства взаимодействия процессов, как сегменты разделяемой памяти, очереди сообщений, семафоры и сокеты, отдельные компоненты прикладных систем, например, таблицы, процедуры баз данных (БД) и т. п.
Заметим, что некоторые из них могут выступать (например, в разных видах сервисов или отдельных приложениях) как в роли объектов, так и субъектов (будем обозначать объект/субъект). Такое обилие существующих и постоянно меняющихся субъектов, объектов и отношений между ними объективно затрудняет централизованное логическое управление доступом. В свою очередь отсутствие таких централизованных начал в управлении, что характерно для большинства традиционно используемых систем ИБ, приводит к объективной рассогласованности в адекватном (соответствующем политике безопасности составного макрообъекта) распределении прав и полномочий доступа отдельных субъектов к составляющим (атомарным) объектам при использовании, например, разных видов сервиса. Обмен данными между субъектами/объектами под управлением различных видов сервиса (функционального) на пересечении областей доступа3 к различным объектам -- классический источник "брешей" в системе ИБ различных продуктов или систем ИТ.

В качестве главной (магистральной) цели на пути совершенствования логического управления доступом следует рассматривать подходы к объединению и согласованию на основе общей политики безопасности макрообъекта сценариев, моделей и механизмов такого разграничения на уровнях ОС, отдельных инфраструктурных и функциональных сервисов и приложений. Такое объединение потребует пересмотра многих, в том числе концептуальных, взглядов на подходы к созданию новой модели. Это очень важная, многоплановая задача, конструктивных подходов к решению которой пока не предложено.

Продуктивным на этом направлении может оказаться объектно-ориентированный подход, суть которого применительно к рассматриваемому предмету изложена в [59]. Его реализация сложна, она потребует пересмотра многих уже сложившихся подходов и принципов, длительного времени, однако она объективно необходима. Деятельность на этом направлении способна создать предпосылки к разработке централизованной схемы разграничения доступа в рамках общей системы управления сложными (в том числе распределенными) объектами.


Необходимо отметить, что в настоящее время многие из концептуальных подходов, принятых и развиваемых в области ИБ, в том числе критериальная база, развиваются вне объектно-ориентированных представлений. Потребуется большая работа по обоснованию целесообразности (необходимости) нового подхода, строгая математическая формализация задачи (первые соображения изложены в [59]), ее эффективное решение, в том числе -- программное, хотя бы на прототипах или ограниченных распределенных прикладных системах, прежде чем он получит признание. Однако с точки зрения перспектив, которые уже рассматриваются, возможности использования современных методов математического моделирования и технологии программирования -- это очень интересное предложение, которое заслуживает поддержки.

Развитие систем управления доступом к объектам путем совершенствования используемых (уже существующих) моделей (описывающих правила разграничения доступа, в том числе традиционных -- дискреционной и мандатной) за счет комбинации преимуществ каждой из них, использования более гибких схем и тонких механизмов -- одна из важнейших задач настоящего времени. Такие работы в мире ведутся, в том числе при поддержке государства в рамках открытых исследовательских проектов. В качестве примеров можно привести проект Trusted Linux [42], направленный прежде всего на изоляцию процессов, выполняющих функции Интернет-серверов и уменьшение последствий атак на них. Пакет LIDS (Linux Intrusion Detection System), созданный в рамках одноименного проекта [43], направленного на создание систем обнаружения вторжений для Linux-систем, позволяет предоставить возможности для более тонкого разделения привилегий между субъектами.

В этом направлении следует отметить исследования, проводимые в 1998-2001 г. на механико-тематическом факультете, в Центре телекоммуникаций и технологий Интернет МГУ им М. В. Ломоносова, и практические результаты на их основе по внедрению мандатной политики доступа и совершенствованию механизмов ее реализации на Интернет-серверах, политика безопасности которых предъявляет повышенные требования к их защите [46].


Результаты деятельности на этом направлении совместно с другими заинтересованными организациями нашли применение при проектировании и инсталляции Интернет-серверов и создании порталов на сетях государственных ведомств.

Одним из перспективных на ближайшие годы способом доступа к корпоративным информационно-вычислительным ресурсам является Интернет-портал. В архитектуре информационных систем с таким сценарием доступа к ресурсам ключевым звеном, регламентирующим доступ пользователей к информации, выступает Web-сервис и центральный (корневой) Web-сервер. Он является, с одной стороны, информационным концентратором, с другой -- первым и единственным рубежом, разграничивающим доступ пользователя к ресурсам. С учетом иерархии такого сорта систем взаимодействие с ресурсами на других нижележащих уровнях происходит с помощью процессов и сервисов (может быть, других -- отличных от Web), имеющих опосредованное (от имени пользователя или даже процессов, не имеющих к нему отношения) отношение к пользователю. Взаимодействие на этих уровнях подчиняется правилам разграничения доступа, описанным выше и сталкивается с необходимостью решения задач, о которых уже упоминалось.

Принимая во внимание актуальность и высокую практическую значимость задачи, известную архитектуру и технологические решения Интернет-портала, представляется целесообразным использовать результаты в области развития и интеграции моделей и систем управления доступом, в первую очередь, на этом направлении. С учетом практической важности такой проблемы для крупной корпоративной системы с богатым информационно-вычислительным ресурсом, хороший уровень проработки задачи [49], целесообразно ее поэтапное решение на инфраструктуре одной из сетей-прототипов. В качестве таких могли бы выступать сети MSUNet МГУ им М. В. Ломоносова, RASNet Российской академии наук или, например, другие сети науки и образования.


Содержание раздела