Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Существенных различий с точки зрения доступа субъекта X к локальному объекту между ситуациями активности субъекта St или Sj* не существует — в обоих случаях существует сложный поток, включающий в себя ассоциированные объекты локального субъекта (S/ или Sj* соответственно).
Различие описанных ситуаций находится в области корректного межсубъектного взаимодействия в рамках JIC КС, т.е. поскольку процесс активизации может быть инициирован субъектом X, вновь порожденный субъект помимо реализации потоков к внешнему субъекту может реализовать и потоки к ассоциированным объектам субъектов JIC КС, например к МБС и МБО. В данном случае нарушается основное условие попарной корректности субъектов.
Будем полагать, что в JIC КС могут существовать только попарно корректные субъекты, замкнутые в ИПС (т.е. в составе JIC КС существует МБС), с контролем целостности порождаемых субъектов. Кроме того, в множестве субъектов JIC КС действует МБО, реализующий некоторую стратегию безопасности.
Рассмотрим общепринятую на сегодняшний день стратегию безопасности в контексте сформулированного взаимодействия локального и внешнего сегмента КС. Предварительно заметим, что в сформулированных условиях (генерация ИПС) для выделенного JIC КС в случае отсутствия или неактивности ТПО) гарантированно реализуется любая стратегия безопасности, заданная в МБО.
Предположим для произвольно выделенного нами JIC КС наличие т пользователей: Ри Pn, Рт.
Введем понятие прав доступа субъектов к объектам как возможностей реализации потоков Stream^, On) -» Ov (On, ассоциированный объект Sm) — право доступа типа Ж (Write — запись) и потоков Stream^, Ov) -» On, — право доступа R (Read — чтение). Следовательно, если субъект имеет право доступа R к объекту Ov, то это эквивалентно возможности существования потока Stream^, Ov) -» On,.
Задаваясь некоторыми свойствами потока Stream^, On) -» О, или Stream^, O1) -> On,, можно говорить о некотором конечном множестве прав G = {gl, gl}. В рассматриваемом случае мощность множества G равна 2.
Определение 3. Множеством доступных пользователю Pn субъектов Sn называется множество субъектов, которые данный пользо-
292
ватель может активизировать в ИПС из произвольного множества объектов-источников.
Определение 4. Множеством доступных пользователю Pn объектов Ln(T) относительно права доступа Г называется подмножество всех объектов, относительно которых реализуемы потоки соответствующего права доступа при активизации всех субъектов, входящих ъ SnM имеющих право доступа Т.
Рассмотрим традиционную стратегию безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает Ln(T) для любого подмножества множества субъектов Sn (если субъект потенциально способен реализовать поток, соответствующий праву доступа Г) и в период работы пользователя Pn обеспечивает для выполнения потоков права T любому субъекту из Sn доступ к любому объекту, принадлежащему Ln(T).
Для введенного множества прав это означает, что любой Stream^,, 0к) -> О, разрешен, если S1 принадлежит Sn, a O1 принадлежит Ln(W). Практически это означает, что в спроектированной с учетом такой стратегии безопасности системе защиты права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).
Определение 5. Стратегией безопасности с полным проецированием прав пользователя или методом доступа с полным проецированием прав пользователя Pn на объекты КС называется такой порядок составления ПРД, при котором любой из субъектов, принадлежащий Sn, обладает одним и тем же правом доступа Г к любому объекту множества Ln(T).
Сформулируем утверждение, описывающее потоки в JIC КС в присутствии телекоммуникационного субъекта Sj.
Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты). В условиях действия стратегии безопасности с полным проецированием прав пользователя Pn на локальные объекты КС субъект X имеет доступ Г к любому объекту множества Ln(T) при условии существования потоков Stream (X, Ok) -> Ox и Stream^, Ox) -> 0k и доступности субъекта S1- для пользователя Р„.
Доказательство. Пусть у пользователя есть право R доступа к объекту Oj. В условиях полного проецирования прав на любой субъект это означает, что для любого субъекта Sn из Sn (доступному пользователю) возможен поток Stream (Sm, Oj) -> On,, где 0,„ — ассоциированный объект Sn,. По условию доказываемого утверждения S, входит в Sn, следовательно, существует Stream^,, OJ) -» Ok. По условию утверждения существует и поток Stream^, Ok) -> Ox. По свойству транзитивности потоков существует Stream^, Oj) -» Ox. Это означает, что субъект X также имеет право доступа R к объекту Oj. Поскольку Oj произвольно выбран из множества Ln(R), ко-
293
торое описано потоком Stream^, OJ) -> 0„„ то утверждение верно для всех объектов Ln(T).
Аналогично доказывается утверждение в случае наличия у пользователя права доступа Wk объекту 0}. Утверждение доказано.
Из данного утверждения следует, что система защиты от НСД любого JIC КС, в котором гарантированно выполнена стратегия безопасности с полным проецированием прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС), является потенциально ненадежной (т.е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т.е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника.
