G ‒ доступность данного каталога (т.е. переход к нему); X ‒ исполнение задач;
S ‒ наследование подкаталогами атрибутов родительского каталога.
Установленные атрибуты определяют важнейшую часть ПРД пользователя. От правильности выбора и установки атрибутов во многом зависит эффективность работы СЗИ. В этой связи администратор службы безопасности информации должен ясно представлять, от чего и как зависит выбор атрибутов, назначаемых объектам, к которым имеет доступ пользователь. Как минимум, необходимо изучить принцип разграничения доступа с помощью данных атрибутов, а также особенности работы программных средств, которые будут применяться пользователем при работе.
Специальная программа – редактор прав доступа, позволяет администратору БИ для каждой пары субъект ‒ объект определить:
Для дисков:
•доступность, т.е. пользователю доступны только те логические диски, которые явно описаны в ПРД.
Для каталога:
•доступность (переход к данному каталогу);
•видимость (данный каталог будет виден пользователю из файловых оболочек типа Windows Commander или Explorer);
•наследование подкаталогами атрибутов каталога.
Для содержимого каталога:
•создание подкаталогов;
•удаление подкаталогов;
•переименование подкаталогов;
•открытие файлов для записи;
•открытие файлов для чтения;
•создание файлов;
•переименование файлов;
•удаление файлов;
•видимость файлов;
•«фиктивное» открытие файлов для записи.
Для задач:
•исполнение.
351
Дополнительно могут определяться Права доступа к отдельным файлам (с указанием полного пути доступа) ‒ эти права будут обеспечиваться в безусловном порядке, даже если файл расположен в каталоге, доступа к которому данный пользователь не имеет, или атрибуты доступа для файла отличны от атрибутов каталога, в котором он находится. Предусмотрено определение следующих прав:
•открытие файлов для записи;
•открытие файлов для чтения;
•создание файлов;
•удаление файлов;
•переименование файлов;
•видимость файлов;
•«фиктивное» открытие файлов для записи;
•запуск задач.
Существует также и «черный список». Это файлы, или каталоги, которые присутствуют в списке объектов, для которых не установлен ни один атрибут доступа. Объекты, описанные в «черном списке», становятся недоступными пользователю, даже если они расположены в каталогах, к которым пользователь имеет доступ. В «черный список» можно включать также логические имена устройств и драйверы устройств. Эти объекты после такого описания становятся недоступны пользователю. Таким образом, осуществляется сопоставление пользователя и доступных ему устройств.
Кроме этого, в подсистеме дискреционного доступа реализованы два дополнительных атрибута, предназначенных для регистрации обращения пользователя к отдельным ресурсам. Атрибут «r» ‒ определяет регистрацию операций чтения для отдельного объекта, атрибут «w» ‒ регистрацию операций записи. Использование этих атрибутов целесообразно в случае, когда администратору безопасности необходимо иметь информацию обо всех случаях обращения (даже санкционированным) к критичным ресурсам, а не только сообщения об НСД.
Мандатный механизм разграничения доступа. Требования по реализации. Мандатное управление доступом (англ. Mandatory access control) ‒ разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности инфор-
352
мации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого субъекта:
•субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
•субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
В КСЗ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объек-
353
там, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.
Реализация. Разграничение доступа с использованием мандатного механизма управления доступом комплекса «АккордNT/2000» v.3.0 осуществляется путем присвоения (задания) объектам доступа категории доступа (грифа), которые характеризуются уровнем доступа от 0 (самый низкий) до 8 (максимальный). Установленный для объекта доступа гриф является его меткой конфиденциальности.
Пользователям и процессам (опционально) присваиваются категории доступа (уровни допуска), также изменяющиеся от 0 до 8. Доступ пользователя или процесса возможен тогда и только тогда, когда его уровень допуска не ниже грифа объекта доступа.
Категории доступа могут быть поименованы как уровни секретности, либо другим, более удобным для Администратора БИ образом. Для активизации мандатного механизма разграничения доступом необходимо в файле ACCORD.INI в секции [ACED] установить ключ MandatoryAccess=Yes. Если в мандатный механизм необходимо ввести контроль доступа процессов, тогда в этой же секции необходимо установит ключ CheckProcess=Yes.
Названия и количество категорий (меток конфиденциальности) задаются в файле ACCORD.INI в секции [MANDATORY]. По умолчанию в комплексе определены пять категорий конфиденциальности (секретности):
Level0 – общедоступно; Level1 – общий ресурс; Level2 – конфиденциально; Level3 – секретно;
Level4 – совершенно секретно.
Администратор БИ имеет право изменять названия и количество категорий конфиденциальности. С увеличением номера категории повышается конфиденциальность данных. Далее необходимо установить уровень допуска пользователей. Это делается с помощью программы ACED32 ‒ пункт меню «Команды», далее «Уро-
354
вень доступа». После этого Администратор БИ может назначать как для каталогов, так и для отдельных файлов требуемые уровни доступа. Проверка прав доступа субъекта (пользователя или процесса) к какому-либо объекту доступа (ресурсу ПЭВМ, либо АС) осуществляется в следующем порядке:
1.Проверяется, имеет ли пользователь права на доступ, установленные дискреционным механизмом комплекса.
2.Если пользователю установлены права по доступу дискреционным механизмом комплекса, то проверяется уровень допуска пользователя и гриф (метка конфиденциальности) объекта доступа (ресурса ПЭВМ (РС), либо АС).
3.Доступ будет разрешен только в том случае, если уровень допуска пользователя больше, либо равен грифу (метке конфиденциальности) объекта доступа (ресурса ПЭВМ (РС), либо АС).
Вкомплексе «Аккорд-NT/2000» v.3.0 реализована дополнительная функция, позволяющая устанавливать уровень доступа исполняемому процессу, когда он загружается в оперативную память. Исполняемому файлу (программе) присваивается метка конфиденциальности (уровень доступа) как объекту на диске ПЭВМ (РС). При этом файл (программа) будет запускаться только пользователем с определённым уровнем допуска. После успешной загрузки в оперативную память исполняемый файл (программа), получает метку уровня доступа как субъект доступа, который работает с объектами (ресурсами). В этом случае проверка доступа к ресурсу осуществляется в следующем порядке:
1.Проверяется, имеет ли пользователь право на доступ в соответствии с дискреционным механизмом.
2.При наличии дискреционных прав доступа пользователя средствами мандатного механизма комплекса проверяется уровень его допуска и гриф (метка конфиденциальности) объекта доступа (ресурса).
3.Если доступ разрешен, то проверяется, имеет ли текущий процесс уровень допуска больше, либо он равен уровню доступа объекта (ресурса), к которому обратился пользователь с помощью этого процесса.
4.Доступ будет разрешен только в случае успешного выполнения трех вышеописанных проверок.
355