Авторизация Категорирование прав доступа

Что это кардшаринг еще здесь.

Авторизация в контексте количества и вида зарегистрированных пользователей Кого следует воспринимать в качестве потенциального злоумышленника В системе зарегистрирован один пользователь В общем случае в системе может быть зарегистрирован один либо несколько пользователей. Случай, когда в системе зарегистрирован только один пользователь, характеризуется тем, что данный пользователь является и прикладным пользователем, и администратором безопасности. Здесь источником потенциальной угрозы является только сторонний сотрудник предприятия, а вся задача защиты сводится к контролю доступа в компьютер (либо в систему), т.е. к парольной защите. Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей Основу классификации задач, решаемых механизмами парольной защиты, составляет назначение защищаемого объекта (компьютера). Именно в соответствии с назначением объекта определяется перечень защищаемых ресурсов и источников угроз (потенциальных злоумышленников) Рассмотрим возможные классификации механизмов идентификации и аутентификации, полученные на основе анализа применения механизмов парольной защиты в ОС (прежде всего семейства Windows), приложениях и современных добавочных средствах защиты ОС. По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования и с целью блокировки. С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь. С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения. Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера — клавиатуры, устройств ввода (например, дисковод — с дискеты), так и с использованием специализированных устройств аутентификации — всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д. Рассмотрим представленные угрозы. Наиболее очевидными явными угрозами являются физические — хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съем пароля при вводе (с клавиатуры, либо с монитора). Основные механизмы ввода пароля. Усиление парольной защиты за счет усовершенствования механизма ввода пароля Для противодействия хищению злоумышленником носителя информации с паролем могут рассматриваться следующие альтернативные способы защиты

Основное достоинство биометрических систем контроля доступа

В двух словах остановимся на рассмотрении новых свойств парольной защиты, реализуемых на основе контроля биометрических характеристик пользователя. Основные способы усиления парольной защиты, используемые в современных ОС и приложениях Применение способов усиления пароля, посредством задания дополнительных требований к параметрам пароля Требования к добавочным механизмам в рамках усиления парольной защиты Необходимые механизмы добавочной защиты, направленные на усиление парольной защиты Рассмотрим возможное техническое решение по комбинированию механизмов добавочной и встроенной парольной защиты входа в систему Альтернативный известный вариант реализации двухуровневой парольной защиты состоит в реализации добавочного механизма не на уровне входа в ОС, а перед загрузкой системы (средствами расширения BIOS). Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам -- объектам Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы — домены. Рассмотрим так называемую матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике.

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом Дополнительные требования к защите секретной информации в контексте использования дискреционной и мандатной моделей управления доступом Понятия «владелец» и «собственник» информации Следует отметить, что на практике существует некоторое противоречие в определении дискреционного управления доступом и требований, формулируемых к его реализации. Так, определение дискреционного управления доступом предполагает: Разграничение доступа между поименованными субъектами и поименованными объектами. Последующие исследования будем проводить с учетом того, что пользователь не является «владельцем» информации, им обрабатываемой. Для механизмов управления доступом к ресурсам данный подход связан с понятиями корректности и полноты реализации разграничительной политики доступа к ресурсам. Немаловажным является вопрос классификации субъектов и объектов доступа. Именно на основе этой классификации определяются задачи, которые должны решаться механизмами управления доступом. При этом разграничивается доступ каждого субъекта к каждому объекту. Так же как и субъекты доступа, в рамках представленной общей классификации могут быть более детально классифицированы и объекты доступа. С учетом сказанного можем сделать вывод о необходимости управления доступом для каждой пары «субъект — объект». Без этого не может быть обеспечена полнота разграничительной п олитики доступа к ресурсам защищаемого объекта.

Угрозы преодоления разграничительной политики доступа к ресурсам. Противодействие угрозам современными ОС Практический анализ современных ОС в контексте принятой классификации угроз преодоления разграничительной политики доступа Структура диспетчера доступа. Требования к механизмам управления доступом к ресурсам Следуя формализованным требованиям к механизмам управления доступом к ресурсам, могут быть сформулированы требования к диспетчеру доступа Каноническая модель управления доступом. Условие корректности механизма управления доступом Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия каналов обмена информацией. Однако такая возможность должна предусматриваться Модель управления доступом с взаимодействием субъектов доступа посредством выделенного канала Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием только существующих объектов доступа без включения в систему дополнительных объектов. Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов Выше были рассмотрены различные модели управления доступом. С учетом сказанного, можем сделать следующие выводы относительно различия и общности альтернативных моделей:

В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и множеств объектов (групп объектов). При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним. Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами-обладателями Очевидно, что различные механизмы, реализующие одну и ту же модель управления доступом, по свой сути идентичны. Их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа

Механизмы задания меток безопасности. Категорирование прав доступа

Ввиду максимальной интуитивной понятности наиболее используемым на сегодняшний день механизмом задания меток безопасности является задание меток на основе уровня конфиденциальности информации и уровня прав доступа (допуска). При этом метки безопасности принято называть метками конфиденциальности. Правила назначения меток безопасности иерархическим объектам доступа Реализация данного подхода позволяет сформулировать следующие общие правила назначения меток безопасности иерархическим объектам доступа. Обоснование корректности механизма мандатного управления доступом к иерархическим объектам Примеры назначения меток безопасности Настройка мандатного механизма управления доступом с иерархической структурой объектов доступа отличается от настройки мандатного механизма управления доступом с неиерархической структурой Теперь проведем анализ возможности корректной реализации моделей управления доступом встроенными в ОС механизмами защиты. Мандатный механизм современными универсальными ОС не реализуется в принципе (данная возможность может быть обеспечена исключительно средствами добавочной защиты) Теперь остановимся на рассмотрении возможностей по реализации приведенных моделей встроенными в ОС средствами. Общим здесь будет то, что «владельцем» любого создаваемого файла должен являться «администратор безопасности». Выше мы рассматривали возможность реализации канонической модели, характеризуемой полным разграничением доступа. Теперь рассмотрим, какие типы каналов взаимодействия субъектов доступа могут быть реализованы для ОС семейства UNIX. Особенность реализации мандатного механизма управления доступом состоит в том, что все субъекты и объекты доступа должны быть помеченными (им должна быть назначена метка безопасности)

Управление доступом к устройствам и отчуждаемым накопителям (дискетам, CD-R0M-дискам) Определим способы разметки (назначения меток безопасности) ресурсов. Размечаться могут как собственно устройства (например, дисковод), так и накопители, размещаемые в устройстве (например, дискета). Разметка накопителя для возможности сохранения на нем объектов только одного уровня. На накопителе (например, дискете, размещаемой в дисководе А:) санкционированным пользователем создается новый объект — каталог (или файл). Объект помечается, то есть ему присваивается имя. В разделяемых сетевых ресурсах — устройствах и файловых объектах (общих папках), как в объектах файловой системы, могут быть реализованы все рассмотренные выше возможности, т.е. дискреционный и мандатный механизмы разграничения прав доступа. Альтернативный подход состоит в реализации управления доступом к разделяемым ресурсам на компьютере, с которого осуществляется доступ.

Субъект доступа «ПРОЦЕСС» и его учет при разграничении доступа Выше рассматривались классические схемы управления доступом к ресурсам, реализуемые на основе дискреционного и мандатного механизмов управления доступом. В качестве субъекта доступа для них понимается «ПОЛЬЗОВАТЕЛЬ». При этом доступ к объектам, в соответсвии с заданными правилами, разграничивается именно для пользователей. Итак, в общем случае следует различать два вида субъекта доступа - «пользователь» и «процесс». Обозначения используемых на схеме функциональных блоков Разграничение доступа к системному диску Для ОС Windows NT/2000, в которых различают пользовательские и системные процессы встроенными в ОС средствами, а также для ОС UNIX, где системные процессы запускаются с правами «root», рассматриваемая проблема имеет иное трактование.

Введем в схему управления доступом субъект доступа «процесс». Разделим процессы на системные и пользовательские. При этом для системных процессов установим режим эксклюзивной проверки прав доступа (вне анализа прав доступа пользователей). Этим процессам разрешим в простейшем случае полный доступ только к системному диску («на запись» и «на чтение») и запретим доступ к каталогам пользователей. Отметим, что в общем случае доступ «на запись» к системному диску может потребоваться разрешить не только системным процессам, но и некоторым процессам приложений. Например, если в системе реализуется добавочная система защиты, которая располагается на системном диске, то ее процессам потребуется обращаться к системному диску «на запись». Запрещать доступ к системному диску «на запись» следует не только с целью обеспечения корректности реализации управления доступом (отсутствуют несанкционированные каналы взаимодействия субъектов доступа), но и с целью предотвращения модификации файловых объектов ОС. Без защиты ОС от модификации пользователями вообще нельзя говорить о какой-либо защите информации на компьютере. Все сказанное выше по поводу разграничения доступа к системному диску относится и к настроечному реестру ОС. При этом объектами доступа здесь являются ветви и ключи реестра (по аналогии с файловыми объектами). В данных объектах находятся настройки как собственно ОС, так и установленных на защищаемом компьютере приложений. Соответственно, доступ «на запись» пользователям к реестру ОС должен быть запрещен. Ввод новых данных в систему при мандатном управлении доступом Механизмы принудительного использования оригинальных приложений Реализация активного симплексного канала взаимодействия субъектов доступа Программа-проводник для реализации активного симплексного канала при назначении меток каталогам Локализация прав доступа стандартных приложений к ресурсам Включение в схему управления доступом субъекта «ПРОЦЕСС» предоставляет широкие возможности по локализации прав доступа стандартных приложений к ресурсам, что, прежде всего, позволяет эффективно противодействовать скрытым угрозам. Локализация прав доступа к ресурсам стандартных приложений со встроенными средствами защиты информации

Управление доступом, посредством назначения меток безопасности субъектам доступа «ПРОЦЕСС». Мандатный механизм управления доступом процессов к ресурсам защищаемого объекта Возможности управления доступом на основе меток безопасности, назначаемых приложениям (процессам), рассмотрим на примере мандатного управленпя доступом к виртуальным каналам внешней сети. Рассмотрим мандатный механизм управления доступом к виртуальным каналам сети связи в общем случае. При этом под виртуальным каналом связи будем понимать канал связи между двумя оконечными устройствами сети (защищаемыми компьютерами) Допустим теперь, что защищаемый компьютер требуется подключить к сети Intranet (корпоративный виртуальный канал связи). При этом, как и в предыдущей задаче, на компьютере осуществляется обработка информации различных уровней конфиденциальности. Пример практического использования Следует отметить, что в случае назначения метки безопасности процессам возникает проблема, которая отсутствует для ОС семейства Windows (в силу своих особенностей). Связана эта проблема с тем, что в системе одновременно могут быть запущены несколько процессов с различными правами доступа к ресурсам (с различными метками безопасности) Особое место среди файловых объектов занимают исполняемые файлы (программы), доступ субъектов к которым также может разграничиваться. Именно исполняемые файлы изначально порождают процессы. Поэтому в качестве разграничения доступа к процессам (как к объектам доступа) прежде всего следует разграничить доступ к исполняемым файлам. Каноническая модель управления доступом к исполняемым файлам Диспетчер доступа реализует механизм управления доступом к исполняемым файлам корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом. Каноническая полномочная модель управления доступом к исполняемым файлам

Механизм обеспечения замкнутости программной среды и его роль в системе защиты Если вернуться к рассмотрению существующей статистики угроз, то можем сделать вывод, что подавляющая их часть требовала от пользователя запуска программного средства, реализующего данные угрозы. Реализация механизма обеспечения замкнутости программной среды Обеспечить замкнутость программной среды можно не непосредственно заданием списков разрешенных к запуску процессов, а областью дискового пространства (каталогом), откуда пользователю можно запускать процессы. Работает система обеспечения замкнутости программной среды следующим образом. Расширение возможностей механизма защиты обеспечения замкнутости программной среды состоит в том, чтобы и в качестве субъекта доступа, и в качестве объекта доступа рассматривать «ПРОЦЕСС» Возможный подход к решению рассматриваемой проблемы заключается в технологии переадресации запросов доступа к объектам файловой системы (каталогам), не разделяемым системой между пользователями Практическая реализация Как отмечали ранее, диспетчер доступа содержит в своем составе набор механизмов управления доступом к ресурсам защищаемого объекта. Возникает проблема построения детальной модели диспетчера доступа в предположении, что корректно реализованы механизмы управления доступом, входящие в состав диспетчера. Файловые объекты данных.

Математика, физика, электротехника примеры решения задач Информатика