Полезное:

Категории:

Архитектура Астрономия Биология География Геология Информатика Искусство История Кулинария Культура Маркетинг Математика Медицина Менеджмент Охрана труда Право Производство Психология Религия Социология Спорт Техника Физика Философия Химия Экология Экономика Электроника

Механизмы защиты

⇐ ПредыдущаяСтр 11 из 143Следующая ⇒

В этом пункте будут рассмотрены механизмы защиты и их свойства, входящие в состав ДВБ и обеспечивающие поддержку политики безопасности. Основное внимание уделим механизмам реализации избирательной политики безопасности поскольку, во-первых, она является

основной для коммерческого сектора, а во-вторых, базовые механизмы поддержки этой политики также используются как для поддержки полномочной политики, так и для управления информационным потоком.

Основой ДВБ является ядро безопасности (security kernel) - элементы аппаратного и программного обеспечения, защищенные от модификации и проверенные на корректность, которые разделяют все попытки доступа субъектов к объектам.

Ядро безопасности является реализацией концепции монитора ссылок (reference monitor) - абстрактной концепции механизма защиты.

Помимо ядра безопасности ДВБ содержит другие механизмы, отвечающие за жизнедеятельность системы. К ним относятся планировщики процессов, диспетчеры памяти, программы обработки прерываний, примитивы

ввода-вывода и др. программно-аппаратные средства, а также системные наборы данных.

Под монитором ссылок понимают концепцию контроля доступа субъектов к объектам в абстрактной машине. Схематически монитор ссылок изображен на рис. 1.2.

┌─────────┐ │ База │

│ данных │

│ защиты │

└──┬───┬──┘

V ^

┌─────────┐ ╔══╧═══╧══╗ ┌────────┐

│ Субъект ├──>║ Монитор ╟──>│ Объект │

└─────────┘ ║ ссылок ║ └────────┘ ╚════╤════╝

┌─────┴─────┐

│ Системный │

│ журнал │

└───────────┘

Рисунок 1.2 - Монитор ссылок

Под базой данных защиты (security database) понимают базу данных, хранящую информацию о правах доступа субъектов системы к объектам. Основу базы данных защиты составляет матрица доступа или ее представления, которая служит основой избирательной политики безопасности.

Любая операционная система, поддерживающая ИУД, использует МД и операции над ней, поскольку МД - удобный инструмент контроля использования и передачи привилегий. Однако, вследствие больших размеров и разреженности МД, хранение полной матрицы представляется

нецелесообразным, поэтому во многих системах используют более экономные представления МД: по строкам, по столбцам, поэлементно.

Рассмотрим эти способы более подробно:

1. Профиль (profile).

Профилем называется список защищаемых объектов системы

и прав

доступа к ним, ассоциированный с

каждым

субъектoм.

При обращении к

объекту профиль субъекта проверяется

на

наличие соответствующих прав

доступа. Таким образом МД представляется своими строками.

В системах с большим количеством объектов

профили могут иметь

большие размеры и, вследствие этого,

ими

трудно управлять;

изменение

профилей нескольких

субъектов

может потребовать

большого

количества

операций

привести

к трудностям

работе

системы.

Поэтому

профили

обычно используются лишь администраторами безопасности для

контроля работы субъектов,

даже

такое

их

применение

весьма

ограничено.

2. Список контроля доступа (access control list).

Это представление МД по столбцам - каждому объекту соответствует

список субъектов вместе с их

правами.

В современных условиях списки

контроля доступа (СКД) - лучшее направление реализации ИУД,

поскольку

это

очень

гибкая

структура,

предоставляющая

пользователям много

возможностей.

3. Мандат или билет (capability или ticket).

Это элемент МД, определяющий тип

доступа определенного субъекта к

определенному объекту (т.е. субъект

имеет

"билет"

на доступ к

объекту).

Каждый раз билет выдается субъекту динамически -

при запросе доступа, и

так

же

динамически

билет

может

быть

изъят у субъекта. Поскольку

распространение билетов происходит

очень

динамично, и они могут

размещаться непосредственно внутри объектов, то вследствие этого

контроль

за ним очень затруднен. В чистом виде

билетный механизм хранения и

передачи

привилегий

используется

редко.

Однако

реализация других

механизмов присвоения привилегий (например с использованием СКД) часто осуществляется с помощью билетов.

При реализации полномочной политики безопасности база данных защиты также содержит метки критичности всех объектов и уровни прозрачности субъектов системы.

Монитор ссылок должен выполнять следующие функции:

1. Проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты и положений политики безопасности (избирательной или полномочной);

2. При необходимости регистрировать факт доступа и его параметры в системном журнале.

Реализующее монитор ссылок ядро безопасности должно обладать следующими свойствами:

• контролировать все попытки доступа субъектов к объектам;

• иметь защиту от модификации, подделки, навязывания;

• быть протестировано и верифицировано для получения гарантий надежности;

• иметь небольшой размер и компактную структуру.

В терминах модели Белла-Лападулла (избирательной и полномочной политик безопасности) монитор ссылок должен контролировать состояния системы и переходы из одного в другое. Основными функциями, которые должно выполнять ядро безопасности совместно с другими службами ОС, являются:

1. Идентификация, аутентификация и авторизация субъектов и объектов системы.

Эти функции необходимы для подтверждения подлинности субъекта, законности его прав на данный объект или на определенные действия, а также для обеспечения работы субъекта в системе.

Идентификация - процесс распознавания элемента системы, обычно с

помощью заранее	определенного идентификатора	или другой априорной
информации;	каждый	субъект	или	объект	должен	быть однозначно
идентифицируем.
Аутентификация -	проверка	идентификации	пользователя,	процесса,
устройства или другого	компонента	системы	(обычно осуществляется перед
разрешением доступа);	а также	проверка целостности	данных	при их
хранении	или	передаче	для	предотвращения несанкционированной

модификации.

Авторизация - предоставление субъекту прав на доступ к объекту.

Эти функции необходимы для поддержания разрешительного порядка

доступа к системе и соблюдения политики	безопасности:	авторизованный
(разрешенный) доступ имеет только тот	субъект, чей	идентификатор
удовлетворяет результатам аутентификации.	Они выполняются как в процессе

работы (при обращении к наборам данных, устройствам, ресурсам), так и при входе в систему. Во втором случае имеются отличия, которые мы рассмотрим в следующем пункте.

2. Контроль входа пользователя в систему и управление паролями. Эти функции являются частным случаем перечисленных выше: при

входе в систему и вводе имени пользователя осуществляется идентификация,

при вводе пароля - аутентификация и,	если пользователь с данными именем
и	паролем	зарегистрирован	в системе, ему разрешается	доступ	к
определенным	объектам	и ресурсам	(авторизация).	Однако	при входе	в
систему	существуют	отличия	при	выполнении	этих	функций. Они
обусловлены тем, что в процессе работы система уже	имеет	информацию	о
том,	кто работает, какие у него полномочия (на основе информации в базе

данных защиты) и т.д. и поэтому может адекватно реагировать на запросы

субъекта. При входе в систему	это все только предстоит определить.	В
данном	случае	возникает	необходимость организации "достоверного
маршрута"	(trusted	path) - пути передачи идентифицирующей информации от

пользователя	к	ядру безопасности для	подтверждения	подлинности.	Как
показывает практика, вход пользователя	в систему - одно из наиболее
уязвимых мест защиты; известно множество	случаев взлома пароля, входа
без пароля, перехвата пароля и т.д. Поэтому	при выполнении	входа	и
пользователь,	и	система должны	быть	уверены,	что они	работают

непосредственно друг с другом, между ними нет других программ и вводимая

информация истинна.
Достоверный	маршрут	реализуется	привилегированными
процедурами ядра	безопасности,	чья работа обеспечивается механизмами

ДВБ, а также некоторыми другими механизмами, выполняющими вспомогательные функции. Они проверяют, например, что терминал, с

которого	осуществляется	вход	в систему, не занят никаким другим
пользователем,	который	имитировал окончание работы.
3. Регистрация и протоколирование. Аудит.
Эти функции обеспечивают получение и анализ информации о состоянии
ресурсов системы с помощью специальных	средств контроля, а	также
регистрацию	действий,	признанных	администрацией	потенциально
опасными	для	безопасности	системы. Такими средствами	могут	быть

различные системные утилиты или прикладные программы, выводящие информацию непосредственно на системную консоль или другое определенное для этой цели устройство, а также системный журнал. Кроме того, почти все эти средства контроля могут не только обнаружить какое-либо событие, но и фиксировать его. Например, большинство систем имеет средства протоколирования сеансов работы отдельных пользователей (всего сеанса или его отдельных параметров).

Большинство систем защиты имеют в своем распоряжении средства управления системным журналом (audit trail). Как было показано выше,

системный журнал является	составной частью монитора ссылок и служит
для контроля соблюдения	политики безопасности. Он является одним из

основных средств контроля, помогающим администратору предотвращать возможные нарушения в связи с тем, что:

• способен оперативно фиксировать происходящие в системе события;

• может помочь выявить средства и априорную информацию, использованные злоумышленником для нарушения;

• может помочь определить, как далеко зашло нарушение,

подсказать метод его расследования и способы исправления ситуации.

Содержимое системного журнала и других	наборов данных, хранящих
информацию	о	результатах	контроля,	должны подвергаться

периодическому просмотру и анализу (аудит) с целью проверки соблюдения

политики безопасности.
4. Противодействие "сборке мусора".
После	окончания	работы	программы	обрабатываемая информация
не всегда полностью	удаляется	из памяти. Части данных могут оставаться в
оперативной	памяти,	на	дисках	и лентах, других носителях. Они хранятся на
диске до перезаписи или	уничтожения. При	выполнении этих действий

на освободившемся пространстве диска находятся их остатки.

Хотя при искажении заголовка файла эти остатки прочитать трудно, однако, используя специальные программы и оборудование, такая возможность все-таки имеется. Этот процесс называется "сборкой мусора" (disk scavenging). Он может привести к утечке важной информации.

Для защиты от "сборки мусора" используются специальные средства, которые могут входить в ядро безопасности ОС или устанавливаться дополнительно.

5. Контроль целостности субъектов.

Согласно модели Белла-Лападулла множество субъектов системы есть подмножество множества объектов, то есть каждый субъект одновременно

является	объектом.	При	этом	под содержимым субъекта	обычно
понимают	содержимое	контекста процесса, куда входит содержимое общих и
специальных регистров (контекст процесса постоянно	изменяется).	Кроме
содержимого или значения субъект имеет ряд	специфических атрибутов
приоритет,	список	привилегий,	набор	идентификаторов	и	др.
характеристики. В этом смысле	поддержание целостности субъекта,	то
есть предотвращение	его	несанкционированной модификации,	можно
рассматривать как частный случай этой задачи для объектов вообще.
В то же время субъект	отличается от	объекта	тем, что является,
согласно определению,	активным компонентом	системы. В связи с этим для

защиты целостности субъекта, в качестве представителя которого выступает

процесс,

вводится

такое понятие как рабочая среда или область исполнения

процесса. Эта область является логически защищенной подсистемой,

которой

доступны все ресурсы

системы, относящиеся

соответствующему процессу.

Другими

словами,

область

исполнения

процесса является виртуальной

машиной.

рамках

этой

области

процесс

может

выполнять

любые

санкционированные действия без

опасения нарушения целостности.

Таким

образом,

реализуется

концепция

защищенной

области

для

отдельного

процесса.

Контроль

целостности

обеспечивается

процедурами

ядра

безопасности,

контролируемыми

механизмами

поддержки

ДВБ. Основную

роль играют такие механизмы, как

поддержка виртуальной памяти (для

создания

области

данного

процесса)

режим

исполнения

процесса

(определяет его возможности в рамках данной области и вне ее).

Область

исполнения

процесса

может

содержать

или вкладываться в

другие подобласти,

которые составляют

единую иерархическую структуру

системы.

Процесс

может

менять

области:

это

действие

называется

переключением области

процесса (process switching).

Оно

всегда

связано

с переходом центрального процессора в привилегированный режим работы.

Механизмы	поддержки	областей	исполнения	процесса
обеспечивают	контроль их	целостности	достаточно	надежно. Однако даже
разделенные	процессы		должны	иметь	возможность обмениваться
информацией.	Для	этого	разработаны	несколько специальных механизмов,
чтобы можно	было осуществлять обмен информацией между процессами
без ущерба	безопасности	или целостности каждого из	них.	К	таким
механизмам относятся, например, кластеры флагов событий,	почтовые	ящики
и другие системные структуры данных.	Следует однако учитывать, что с их
помощью может осуществляться утечка информации,	поэтому	если
использование	таких	механизмов	разрешено,	их	обязательно следует
контролировать.
6. Контроль доступа.
Под контролем доступа будем понимать	ограничение возможностей
использования	ресурсов	системы	программами, процессами или другими
системами (для сети)	в	соответствии	с политикой безопасности.	Под

доступом понимается выполнение субъектом некоторой операции над объектом из множества разрешенных для данного типа. Примерами таких операций являются чтение, открытие, запись набора данных, обращение к устройству и т.д.

Контроль должен осуществляться при доступе к:

• оперативной памяти;

• разделяемым устройствам прямого доступа;

• разделяемым устройствам последовательного доступа;

• разделяемым программам и подпрограммам;

• разделяемым наборам данных.

Основным объектом внимания средств контроля доступа являются совместно используемые наборы данных и ресурсы системы. Совместное использование объектов порождает ситуацию "взаимного недоверия" при которой разные пользователи одного объекта не могут до конца доверять друг

другу. Тогда, если с этим объектом что-нибудь случиться, все они попадают в круг подозреваемых.

Существует четыре основных способа разделения субъектов к совместно используемым объектам:

1. Физическое - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

2. Временное - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.

3. Логическое - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект - все объекты"; в этом случае разделение может быть реализовано различными способами разделение оригинала объекта, разделение

с копированием объекта и т.д.

4. Криптографическое	- все	объекты	хранятся	в зашифрованном
виде, права доступа определяются	наличием	ключа для расшифрования
объекта.
Существует множество различных вариантов одних и	тех же способов
разделения субъектов, они	могут	иметь разную реализацию в различных

средствах защиты.

Контроль доступа субъектов системы к объектам (не только к совместно используемым, но и к индивидуальным) реализуется с помощью тех же механизмов, которые реализуют ДВБ и осуществляется процедурами ядра безопасности.

⇐ Предыдущая 6 7 8 9 101112 13 14 15 Следующая ⇒

Date: 2015-06-06; view: 791; Нарушение авторских прав

mydocx.ru - 2015-2025 year. (0.04 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию