Разграничение доступа к объектам ОС

Объекты и сбъекты:

компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные (файлы, программы, семафоры). Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции. Объекты - абстрактные типы данных.

Правила разграничения доступа (ПРД), действующие в ОС, устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил следит диспетчер доступа (монитор ссылок в англоязычной литературе), представляющий собой часть подсистемы защиты ОС.

ПРД должны удовлетворять следующим требованиям:

- ПРД, принятые в ОС, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена ОС;

- ПРД не должны допускать разрушающие воздействия на ОС субъектов доступа, не обладающих соответствующими привилегиями, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для обеспечения нормального функционирования ОС;

- любой объект доступа должен иметь владельца (присутствие объектов, не имеющих владельца, недопустимо);

- присутствие объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, недопустимо;

- утечка конфиденциальной информации недопустима.

Рассмотрим наиболее типичные модели разграничения доступа.

Избирательное разграничение доступа. Система правил избирательного или дискреционного разграничения доступа формулируется следующим образом:

• для любого объекта ОС существует владелец;

• владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту;

• для каждой тройки субъект-объект-метод возможность доступа определена однозначно;

• существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа. Это не означает, что этот пользователь может игнорировать разграничение доступа к объектам и поэтому является суперпользователем.

Избирательное разграничение доступа является наиболее распространенным механизмом разграничения доступа, однако при этом защищенность ОС во многих случаях недостаточна.

Изолированная программная среда. Изолированная (замкнутая) программная среда представляет собой расширение модели избирательного разграничения доступа. Здесь ПРД формулируются следующим образом:

• для любого объекта ОС существует владелец;

• владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту;

• для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно;

• существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу;

• для каждого субъекта определен список программ, которые этот субъект может запускать.

Изолированная программная среда существенно повышает защищенность ОС от разрушающих программных воздействий включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе. В то же время изолированная программная среда создает определенные сложности в администрировании ОС.

Изолированная программная среда не защищает от утечки конфиденциальной информации.

Полномочное разграничение доступа без контроля информационных потоков. Полномочное или мандатное разграничение доступа обычно применяется в совокупности с избирательным. При этом правила разграничения доступа формулируются следующим образом:

• для любого объекта ОС существует владелец;

• владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту;

• для каждой тройки субъект-объект-метод возможность доступа определена однозначно;

• существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект;

• во множестве объектов доступа ОС выделяется подмножество объектов полномочного разграничения доступа; при этом каждый объект имеет гриф секретности, причем, чем выше его числовое значение, тем секретнее объект (нулевое значение грифа означает, что объект несекретен); если объект не является объектом полномочного разграничения доступа или если объект несекретен, администратор может обратиться к нему по любому методу;

• каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска. Обычно ненулевое значение допуска назначается только субъектам-пользователям и не назначается субъектам, от имени которых выполняются системные процессы.

При использовании данной модели разграничения доступа существенно страдает производительность ОС, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтения / записи.