Дискреционная модель политики безопасности

При использовании в политике информационной безопасности дискреционного управления доступом (Discretionary Access Control; DAC) система защиты представляется в виде декартова произведения множеств, составными частями которых являются составные части системы защиты (например: субъекты, объекты, уровни доступа, операции и т.д.). В качестве математического аппарата используется аппарат теории множеств.

Дискреционное (избирательное) управление доступом подразумевает, что:

· все субъекты и объекты системы должны быть идентифицированы;

· права доступа субъекта к объекту системы определяются на основании некоторого внешнего (по отношению к системе) правила (свойство избирательности).

Для описания свойств дискреционного управления доступом применяется модель системы на основе матрицы доступа (МД), которую иногда называют матрицей контроля доступа. В матрице доступа объекту системы соответствует столбец, а субъекту - строка. На пересечении столбца и строки указывается тип (или типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как доступ на чтение, доступ на запись, доступ на исполнение и др.

 

	О1	О2	…	Оn
S1	rw	w		x	Профили (profile) субъектов
S2	rw	r		r
…
Sm	rwx	rwx		r
	Списки контроля доступа (AСL) объектов

Модель матрицы доступа

 

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей дискреционного управления доступом.

Например, доступ субъекта к конкретному объекту может быть разрешен только в определенные дни (дата-зависимое условие), часы (время-зависимое условие), в зависимости от других характеристик субъекта (контекстно-зависимое условие) или в зависимости от характера предыдущей работы. Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъект с определенными полномочиями может передать их другому субъекту (если это не противоречит правилам политики безопасности).

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанный в соответствующей ячейке матрицы доступа. Обычно, дискреционное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту.

Матрица доступа - наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных АС.

Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД:

1. Профиль (profile). Профилем называется список защищаемых объектов системы и прав доступа к ним, ассоциированный с каждым субъектом. При обращении к объекту профиль субъекта проверяется на наличие соответствующих прав доступа. Таким образом, МД представляется своими строками. В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять; изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы. Поэтому профили обычно используются лишь администраторами безопасности для контроля работы субъектов, и даже такое их применение весьма ограничено.

2. Список контроля доступа (access control list). Это представление МД по столбцам - каждому объекту соответствует список субъектов вместе с их правами. В современных условиях списки контроля доступа - наиболее перспективное направление реализации дискреционной модели доступа, поскольку это очень гибкая структура, предоставляющая пользователям много возможностей.

3. Мандат или билет (capability или ticket). Это элемент МД, определяющий тип доступа определенного субъекта к определенному объекту (т.е. субъект имеет билет на доступ к объекту).

Каждый раз билет выдается субъекту динамически - при запросе доступа, и так же динамически билет может быть изъят у субъекта. Поскольку распространение билетов происходит динамично и, они могут размещаться внутри объектов, то контроль за ними затруднен. В чистом виде билетный механизм хранения и передачи привилегий используется редко. Однако реализация других механизмов присвоения привилегий (например, с использованием ACL) часто осуществляется с помощью билетов.

К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. К недостаткам относится «статичность» моделей - не учитывается динамика изменений состояния АС, в этой связи и не накладываются ограничения на состояния системы. Кроме того, при использовании данной политики перед диспетчером доступа (монитором обращений), который при санкционировании доступа субъекта к объекту руководствуется определенным набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению принятых правил безопасности или нет.

Избирательное управление доступом является основой требований к классам защищенности СВТ 6 и 5 по РД ГТК; С2 и С1 по «Оранжевой книге». Дискреционная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Одной из первых моделей DAC была модель АДЕПТ-50. В ней представлено четыре типа сущностей: пользователи (u), задания (j), терминалы (t) и файлы (f), причем каждая сущность описывается тройкой (L, F, М), включающей параметры безопасности:

Уровень безопасности L — скаляр — элементы из набора иерархически упорядоченных уровней безопасности.

Полномочия F — группа пользователей, имеющих право на доступ к определенному объекту.

Режим М — набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ПРИСОЕДИНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ.

Если U={u} обозначает набор всех пользователей, известных системе, a F (i) — набор всех пользователей, имеющих право использовать объект i, то для модели формулируются следующие правила:

1. Пользователь u получает доступ к системе Û uÎY.

2. Пользователь и получает доступ к терминалу t Û uÎF(t), т.е. в том и только в том случае, когда пользователь и имеет право использовать терминал t.

3. Пользователь и получает доступ к файлу j Û A(j)³A(f), C(j)ÊC(f), M(j)ÊM(f) и uÎF(f), т.е. только в случае, если привилегии выполняемого задания шире привилегий файла или равны им; пользователь является членом F(f).

Трехмерный кортеж безопасности, полученный на основе прав задания, а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов. Например, наивысшим полномочием доступа к файлу для пользователя «СОВ. СЕКРЕТНО», выполняющего задание с «КОНФИДЕНЦИАЛЬНОГО» терминала будет «КОНФИДЕНЦИАЛЬНО».

Одну из реализаций DAC на основе пятимерного пространства безопасности называют по фамилии автора моделью Хартсона. В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.

Модель имеет пять основных наборов:

А — установленных полномочий;

U — пользователей;

Е — операций;

R — ресурсов;

S — состояний.

Область безопасности будет выглядеть как декартово произведение:

A´U´E´R´S.

Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции e над ресурсами R, в то время, когда система находится в состоянии s. Например, запрос на доступ представляется четырехмерным кортежем q =(u, e, R, s), u ÎU, е ÎЕ, s ÎS, r ÎR. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ — подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.

Процесс организации доступа можно описать алгоритмически следующим образом. Для запроса q, где q (u, e, R, s), набора U' вполне определенных групп пользователей, набора R' вполне определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур:

1. Вызвать все вспомогательные программы, необходимые для «предварительного принятия решений».

2. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.

3. Определить из Р набор F(e) полномочий, которые устанавливают e как основную операцию. Этот набор называется привилегией операции е.

4. Определить из Р набор F(R) (привилегию единичного ресурса R) — полномочия, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R.

Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса

q: D(q)=F(u)ÇF(e)F(R)

5. Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).

6. Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса.

Новый набор полномочий — один на каждую единицу ресурса, указанную в D(q), есть F(u, q) — фактическая привилегия пользователя и по отношению к запросу q.

7. Вычислить ЕАС — условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q).Это И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.

8. Оценить ЕАС и принять решение о доступе: разрешить доступ к R, если R перекрывается и отказать в доступе в противном случае.

9. Произвести запись необходимых событий.

10. Вызвать все программы, необходимые для организации доступа после «принятия решения».

11. Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.

12. Если решение о доступе было положительным — завершить физическую обработку.

Автор модели, Хартсон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе.

Модель HRU (Харрисона, Руззо, Уллмана) используется для анализа системы защиты, реализую­щей дискреционную политику безопасности, и ее основного элемента-матрицы доступов. При этом система защиты представляется конечным ав­томатом, функционирующим согласно определенным правилам перехода. Модель HRU была впервые предложена в 1971 г, а в 1976 г. появилось формальное описание модели которым мы и будем руководство­ваться.

Обозначим:

О - множество объектов системы;

S - множество субъек­тов системы (S O);

R - множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own);

М - матрица доступа, строки которой соответствуют субъектам, а столбцы - объектам;

M [s,о] R- права доступа субъекта s к объекту о.

Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматри­вается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами:

1. "Внести" право r R в М [s,о] - добавление субъекту s права доступа г объекту о. При этом в ячейку M[s,o] матрицы доступов добавляется элемент г.

2. "Удалить" право r R из М [s,о] - удаление у субъекта s права доступа г к объекту о. При этом из ячейки M [s,o] матрицы доступов удаляется элемент г.

3. "Создать" субъект s’ - добавление в систему нового субъекта s'. При этом в матрицу доступов добавляются новый столбец и строка.

4. "Создать" объект о' - добавление в систему нового объекта о'. При этом в матрицу доступов добавляется новый столбец.

5. "Уничтожить" субъект s' - удаление из системы субъекта s'. При этом из матрицы доступов удаляются соответствующие столбец и строка.

6. "Уничтожить" объект о' - удаление из системы объекта о'. При этом из матрицы доступов удаляется соответствующий столбец.

 

В результате выполнения примитивного оператора α осуществляется переход системы из состояния Q = (S,O,M) в новое состояние Q'= = (S', О', М’).

 

Из примитивных операторов могут составляться команды. Каждая команда состоит из двух частей:

• условия, при котором выполняется команда;

• последовательности примитивных операторов.

 

Таким образом, запись команды имеет вид:

command С (xi,..., х_k)

if r₁ M [x_s1, x_o1] and... and r_m М [x_sm, x_om] then

α₁;

…

α_n1;

end

Согласно требованиям большинства критериев оценки безопасности, системы защиты должны строиться на основе определенных математиче­ских моделей, с помощью которых должно быть теоретически обосновано соответствие системы защиты требованиям заданной политики безопас­ности. Для решения поставленной задачи необходим алгоритм, осуществ­ляющий данную проверку. Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности сис­тем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае. Это утверждение опирается на фак­т, доказанный в теории машин Тьюринга:

не существует алгоритма проверки для произвольной машины Тьюринга и произвольного начально­го слова, т.е. однозначно не возможно определить, остановится ли машина Тьюринга в конечном состоянии или нет (под машиной Тьюринга понимается способ переработки слов в ко­нечных алфавитах, слова записываются на бесконечную в обе стороны ленту, разбитую на ячейки).

В этой связи очевидны два пути вы­бора систем защиты:

· с одной стороны, общая модель HRU может выра­жать большое разнообразие политик дискреционного разграничения дос­тупа, но при этом не существует алгоритма проверки их безопасности,

· с другой стороны, можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким.

Например, монооперационные системы не могут выразить политику, дающую субъектам права на созданные ими объекты, так как не существует одной операции, которая и создает объект, и помечает его как принадлежащий создающему субъекту одновременно.

Дальнейшие исследования модели HRU велись в основном в на­правлении определения условий, которым должна удовлетворять система, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции «создать». В 1978 г. обосновано, что таковыми могут быть системы монотонные и моноусловные, т.е. не содержащие операторов «уничтожить» или «удалить» и имеющие только ко­манды, части условия которых имеют не более одного предложения. В том же году в показано, что задача безопасности для систем с конеч­ным множеством субъектов в принципе разрешима, но вычислительно очень сложна.

Для анализа адекватности систем на основе DAC, в 1976 года была предложена модель распространения прав доступа Take-Grant. Цель модели – дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в определенном состоянии безопасности.

Формальное описание модели:

· О – множество объектов (например, файлов);

· S О – множество субъектов (т.е. активных объектов: пользователей, процессов);

· R= {r₁, r₂, …r_m} {t,g} – множество прав доступа, где

· t (take) – право брать права доступа, g (grant) – право давать права доступа;

· G = (S,O,E) – конечный граф, представляющий текущие доступы в системе;

· элементы множества E О´О´R – дуги графа, помеченные непустыми подмножествами из множества прав доступа R.

Состояние системы описывается графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов.

В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа (способа санкционированного получения прав и способа похищения прав). Санкционированный способ передачи прав доступа предполагает идеальное сотрудничество объектов. В случае перехвата прав доступа предполагается, что передача прав доступа объекту осуществляется без содействия субъекта, изначально обладавшего правами.

В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков в системах с DAC. В классической модели Take-Grant no существу рассматриваются два права доступа: t и g, а также четыре правила (правила де-юре) преобразо­вания графа доступов: take, grant, create, remove. В расширенной модели дополнительно рассматриваются два права доступа: на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразования графа доступов: post, spy, find, pass и два правила без названия.

Правила де-факто служат для поиска путей возникновения возмож­ных информационных потоков в системе. Эти правила являются следст­вием уже имеющихся у объектов системы прав доступа и могут стать при­чиной возникновения информационного потока от одного объекта к друго­му без их непосредственного взаимодействия.

В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w. Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе. К мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.

Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров.

Пример 1. Пусть субъект х не имеет право r на объект z, но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у. Тогда х может, просматривая информацию в у, пытаться искать в нем информациюиз z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х, что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом, т. е. пассивным элементом системы, то информационный канал от z к х возникнуть не мог.

Пример 2. Пусть субъект у имеет право r на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следователь­но, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.

Проблемы взаимодействия - центральный вопрос при перехвате прав доступа. Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализации правиладе-факто необходимы один или два субъекта. Например, в де-фактоправилах post, spy, find обяза­тельно взаимодействие двух субъектов. Желательново множестве всех субъектов выделить подмножество такназываемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматри­вая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содер­жать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно.

Можно рассмотреть проблему поиска и анализа информационных каналов в ином аспекте. Допустим, факт нежелательной передачи прав или информации уже состоялся. Каков наиболее вероятный путь его осущест­вления? В классической модели Take-Grant не дается прямого ответа на этот вопрос. Можно говорить, что есть возможность передачи прав или информации, но нельзя определить, какой из путей при этом ис­пользовался. Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути. Например, на рис. 1.3.1 видно, что интуитивно наиболее вероятный путь передачи инфор­мации от субъекта z к субъекту х лежит через объект у. В тоже время злоумышленник для большей скрытности может специально использовать более длинный путь.

 

 

Рис. 1.3.1 Пути возникновения информационного канала от Z к X

 

Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь.

 

Есть два основных подхода к опре­делению стоимости путей.

1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов. В этом случае стоимость дуги определяется в за­висимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.

2. Подход, основанный на присваивании стоимости каждому исполь­зуемому правилу де-юре или де-факто. Стоимость правила при этом мож­но выбрать, исходя из сферы применения модели Take-Grant. Стои­мость может:

• быть константой;

• зависеть от специфики правила;

• зависеть от числа участников при применении правила;

• зависеть от степени требуемого взаимодействия объектов.

Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.

Важно отметить, что модель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности. В модели опре­делены условия, при которых происходит передача или перехват прав доступа. Однако на практике редко возникает необходимость в использо­вании указанных условий, так как при анализе большинства реальных сис­тем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей воз­никновения в системе информационных каналов, определению их стоимо­сти представляются наиболее интересными и актуальными.