Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Сформулируем конструктивную стратегию безопасности, исключающую описанные ранее ситуации.
Определение 6. Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользователя Pn задаются отдельно для каждого доступного пользователю субъекта (или подмножества субъектов), принадлежащего множеству Sn.
Метод расщепления прав включает в себя метод проецирова^-ния прав доступа (когда для любого субъекта задаются равные права доступа к объектам).
Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника.
Утверждение 2 (о доступе в системе с проецированием прав). В условиях расщепления прав субъект X получит тот же доступ к объекту Oj, что и субъект Sj при условии существования потоков Stream^, Ox) -» Ок и Stream^, Ок) -> Ox и отсутствии в JIC КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ox.
Доказательство. Поскольку других субъектов, связанных с внешним субъектом X, в JIC КС нет, то возможны потоки к объекту Oj только через ассоциированный объект Ок субъекта Sj. Поскольку между 0к и Oj возможен только поток, соответствующий праву доступа S1, то и между Ox и О, возможен только такой же поток. Утверждение доказано.
Следствие. В условиях расщепления прав субъект Хне получит доступ к объекту Oj в том случае, если субъект S1 не имеет доступ к Oj и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и Ox.
294
Доказанные утверждения позволяют сформировать методику проектирования защиты JIC КС при условии попарной корректности всех субъектов (включая телекоммуникационный) и гарантированного выполнения стратегии безопасности.
Методика проектирования защиты описывается последовательностью шагов.
1. Формулируется стратегия безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов — чисто локальные и телекоммуникационные — и установить раздельные права для этих групп).
2. Относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов).
3. Реализуется МБО, выполняющий указанную стратегию безопасности.
4. Субъекты JIC КС замыкаются в ИПС с контролем целостности объектов-источников.
Сформулируем одну из возможных стратегий безопасности, связанную с группированием объектов. Предположим, что объекты подразделяются на три подмножества: O1 — доступные только пользователям JIC КС (относительно O1 все пользователи имеют доступ R и W), O2 — множество доступных для внешних пользователей объектов с правом доступа R (например, объекты типа электронных объявлений); O3 — множество доступных для внешних пользователей объектов с правом W (например, почтовые ящики для входящих писем). Субъекты также разделены на две группы: Sx — локальные субъекты; S2 — телекоммуникационные субъекты.
Тогда правила разграничения доступа в JIC КС формулируются согласно табл. 5.3.
Произвольная стратегия безопасности, разделяющая локальные и телекоммуникационные субъекты при их доступе к объектам, будет гарантировать разделение также внутренних и внешних пользователей.
Рассмотрим возможность преднамеренной компрометации информации самим пользователем. Такая возможность реализуется инициированием потока Stream^,, O1) -> Ox со стороны управля-
Таблица 5.3 Групповые правила разграничения доступа в JIC КС
о, O2 O3
RW RW RW
— R W
295
Таблица 5.4
Правила разграничения доступа при запрете транспортировки вне избранных объектов
О/ On
RW RW
S2 — RW
ющего телекоммуникационным субъектом S1 пользователя, имеющего злоумышленные цели. Обозначим множество критичных к отправке во внешнюю сеть объектов как Окг. При разделении прав между локальными и телекоммуникационными субъектами можно задать такие ПРД, при реализации которых в МБО можно обеспечить полноценную работу локальных субъектов с объектами множества Окг, но невозможность транспортировки объектов 0кг во внешнюю сеть. Обозначим множество некритичных к транспортировке и модификации локальных объектов как On.
Тогда ПРД относительно введенных групп субъектов S{ и S2 задаются соотношениями, представленными в табл. 5.4.
Теперь обратимся к ситуации, когда возможно порождение субъекта S*, нарушающего корректность межсубъектного взаимодействия. Возможны два случая:
1) объект-источник Ov для порождения Sf* является внешним (не ассоциированным) для активизирующего субъекта Sf,
2) объект-источник Ov является ассоциированным для субъекта S1 (в данном случае ассоциированный объект-источник может быть неизменным или зависеть от информации, передаваемой субъектом X).
В первом случае при действии МБС с контролем целостности объекта-источника порождение нового субъекта возможно с вероятностью, не превышающей вероятность принять нетождественный объект-источник за тождественный эталонному (данный параметр полностью определен свойствами функции контроля целостности).
