Решение проблемы внедрения моделей безопасности в ОС.

 

Попытки решить проблему отображения множества объектов и субъектов модели безопасности (далее курсивом будут выделяться абстрактные понятия, обозначающие активную и пассивную сторону взаимодействия) на сущности, присутствующие в ОС, лобовым методом не приводят к успеху и требуют отступления от первоначальной модели. Однако, при ближайшем рассмотрении оказывается, что все проблемы с внедрением модели безопасности относятся только к тем объектам системы, которые являются служебными. Все объекты, созданные пользователями совершенно очевидным способом отображаются в объекты модели безопасности, доступ к ним регламентируется согласно правилам модели и не требует никаких дополнительных ухищрений. Например, файлы, созданные пользователем, очевидно, являются объектами, а все запущенные им процессы — субъектами, представляющими пользователя.

Что же касается служебных объектов — файлов конфигурации, системных утилит и т.д., то доступ к ним просто не может контролироваться на уровне всего объекта целиком, т к они содержат информацию, требующую раздельного управления доступом (те же записи в файле имен и паролей пользователей). Это означает, что для корректного осуществления разграничения доступа эти объекты надо рассматривать не как единое целое, а как совокупность данных(записей, строк и т.д.), которые и являются объектами с точки зрения модели безопасности. Т.е. применять модель безопасности следует не к объекту целиком, а к содержащейся в нем информации. Например, для того же случая с файлом идентификаторов и паролей(/etc/passwd) очевидно, что каждый пользователь должен иметь доступ по чтению к именам всех пользователей и по записи к своему паролю, т.е. разграничение доступа нужно проводить на уровне записей в этом файле. В этом случае не надо вводить никаких специальных процессов, имеющих особые права, — с этим файлом можно работать с помощью любых программных средств. Фактически, это означает создание новой модели безопасности, основанной на семантике информации, содержащейся в этих объектах. Разработка и программная реализацию такой схемы доступа к объектам, содержащим системную информацию, не требуют существенных усилий, хотя и связана с пересмотром традиционной концепции защиты ОС.

Таким образом, предлагается следующая схема применения моделей безопасности к ОС.

1. Система разбивается на пользовательскую и системную часть Принцип разделения достаточно очевиден — пользовательскими будут те файлы, которые были созданы пользователями, а объекты, которые создаются в процессе установки или загрузки ОС, являются системными.

2. К пользовательским объектам применяется требуемая модель безопасности.

3. Объекты системной части подвергаются анализу с целью разработки схемы регламентирования доступа к содержащейся в них информации на основе ее семантического смысла. Детали реализации зависят от конкретной системы, ее типа и архитектуры.

 

Заключение.

 

Существующий подход к построению систем защиты вообще и защищенных ОС в частности, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов (см главу 1). С другой стороны, любой из типов угроз — как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности (см. главу 3).

Очевидно, что только устранение данных причин (в идеальном случае) позволит создать систему лишенную недостатков исключить возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Предлагаемый подход не противоречит существующим требованиям к защите ОС и моделям безопасности, а является их развитием. Общая схема предлагаемой технологии представлена на рис. 6 2.

	Теоретические модели		Стандарты безопасности		угрозы

 

 

Рис.6.2. Технология создания защищенных систем.

 

Предлагаемый подход к созданию защищенных систем благодаря заложенным возможностям противодействия как известным, так и вновь появляющимся типам угроз позволяет достичь качественно нового уровня стойкости защищенных систем. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью.

Приложение 1.