В чем суть мандатной политики разграничения доступа

Обновлено: 16.05.2024

Мобильная система Вооружённых Сил (МСВС) — защищенная многопользовательская многозадачная операционная система (ОС) общего назначения с разделением времени, разработанная на основе ОС Red Hat Linux. ОС обеспечивает многоуровневую систему приоритетов с вытесняющей многозадачностью, виртуальную организацию памяти и полную сетевую поддержку; работает с многопроцессорными (SMP — symmetrical multiprocessing) и кластерными конфигурациями на платформах Intel, IBM S390, MIPS (комплексы серии Багет производства компании Корунд-М) и SPARC (Эльбрус-90микро). Особенность ОС МСВС 3.0 — встроенные средства защиты от несанкционированного доступа, удовлетворяющие требованиям Руководящего документа Гостехкомиссии при Президенте РФ по классу 2 средств вычислительной техники. Средства защиты включают мандатное управление доступом, списки контроля доступа, ролевую модель и развитые средства аудита (протоколирования событий). ОС МСВС предназначена для построения стационарных защищённых автоматизированных систем. Разработчик МСВС — Всероссийский научно-исследовательский институт автоматизации управления в непромышленной сфере им. В. В. Соломатина (ВНИИНС). Принята на снабжение в ВС РФ в 2002 году.

Файловая система ОС МСВС 3.0 поддерживает имена файлов длинной до 256 символов с возможностью создания русскоязычных имен файлов и каталогов, символьные ссылки, систему квот и списки прав доступа.

Существует возможность монтирования файловых систем FAT и NTFS, а также ISO-9660 (компакт-диски). Механизм квотирования позволяет контролировать использование пользователями дискового пространства, количество запускаемых процессов и объем памяти, выделяемой каждому процессу. Система может быть настроена на выдачу предупреждений при приближении запрошенных пользователем ресурсов к заданной квоте.

В состав ОС МСВС 3.0 входит графическая система на основе X Window. Для работы в графической среде поставляются два оконных менеджера: IceWM и KDE. Большинство программ в ОС МСВС ориентировано на работу в графической среде, что создает благоприятные условия не только для работы пользователей, но также и для их перехода с ОС Windows на ОС МСВС.

ОС МСВС 3.0 поставляется в конфигурации, которая кроме основной управляющей программы (ядра) включает набор дополнительных программных продуктов. Сама ОС используется как базовый элемент организации автоматизированных рабочих мест (АРМ) и построении автоматизированных систем. Дополнительное программное обеспечение (ПО) может устанавливаться по выбору, и ориентировано на максимальную автоматизацию управления и администрирования домена, что позволяет уменьшить затраты на обслуживание АРМов и сконцентрироваться на выполнении пользователями их целевой задачи. Программа инсталляции позволяет установить ОС с загрузочного компакт-диска или по сети по протоколу FTP. Обычно сначала с дисков устанавливается и настраивается инсталляционный сервер, а затем по сети происходит инсталляция остальных компьютеров. Инсталляционный сервер в работающем домене выполняет задачу обновления и восстановления ПО на рабочих местах. Новая версия выкладывается только на сервере и затем происходит автоматическое обновление ПО на рабочих местах. При повреждении ПО на рабочих местах (например, при удалении файла программы или несовпадении контрольных сумм исполняемых или конфигурационных файлов), автоматически происходит повторная установка соответствующего ПО.

При инсталляции администратору предлагается выбрать либо один из стандартных типов инсталляции, либо настраиваемую инсталляцию. Стандартные типы используются при установке на стандартные рабочие места и охватывают основные типовые варианты организации рабочих мест на базе ОС МСВС 3.0. Каждый стандартный тип определяет набор инсталлируемых программных продуктов, конфигурацию диска, набор файловых систем и ряд системных настроек. Настраиваемая инсталляция позволяет явно задать все указанные характеристики конечной системы вплоть до выбора индивидуальных программных пакетов. При выборе настраиваемой инсталляции можно установить ОС МСВС 3.0 на компьютер с уже установленной другой ОС (например, Windows NT).

В состав ОС МСВС 3.0 входит единая система документации (ЕСД) с информацией о самых разных аспектах функционирования системы.

Мандатный метод

ЕСД состоит из сервера документации и базы данных, содержащей тексты описаний, доступ к которым возможен через браузеры. При установке дополнительного ПО в базу данных ЕСД устанавливаются соответствующие справочные разделы. ЕСД может размещаться локально на каждом рабочем месте, либо в домене ОС МСВС может быть выделен специальный сервер документации. Последний вариант полезно использовать в доменах ОС МСВС большой размерности для экономии суммарного дискового пространства, упрощения процесса управления и обновления документации. Доступ к документации с остальных рабочих мест возможен через Web-браузер, поставляемый вместе с ОС МСВС 3.0.

ОС МСВС 3.0 русифицирована как в алфавитно-цифровом, так и в графическом режимах. Поддерживаются виртуальные терминалы, переключение между которыми осуществляется с помощью комбинации клавиш.

Ключевым моментом с точки зрения целостности системы является операция регистрации новых пользователей ОС МСВС, когда определяются атрибуты пользователя, включая атрибуты безопасности, в соответствии с которыми система управления доступом будет в дальнейшем контролировать работу пользователя. Основу для мандатной модели составляет информация, вводимая при регистрации нового пользователя.

Для реализации дискреционного управления доступом используются традиционные для Unix механизмы бит прав доступа и списков прав доступа (ACL — access control list). Оба механизма реализуются на уровне файловой системы ОС МСВС 3.0 и служат для задания прав доступа к объектам файловой системы. Биты позволяют определять права для трех категорий пользователей (владелец, группа, остальные), однако, это не достаточно гибкий механизм и применяется при задании прав для большинства файлов ОС, одинаковым образом используемых основной частью пользователей. С помощью списков ACL можно задавать права на уровне отдельных пользователей и/или групп пользователей, и, тем самым, достичь существенной детализации в задании прав. Списки применяются при работе с файлами, для которых требуется, например, задать разные права доступа для нескольких определенных пользователей.

Технические характеристики ОС МСВС 3.0:

Установка ОС МСВС 3.0

На практическом занятии будет рассматриваться процесс установки ОС МСВС на ПК или сервер компьютерной сети. Процесс установки ОС МСВС 3.0 состоит из следующих этапов:

Разграничение доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы. Также данные правила называют правами доступа или политиками безопасности. Существуют две основные модели разграничения доступа:

• мандатное разграничение доступа;
• дискреционное (избирательное) разграничение доступа.

Мандатное разграничение доступа

В мандатной модели обычные пользователи лишены возможности управлять настройками политик безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем секретности объекта и уровнем доступа пользователя, которые жестко заданы для каждого пользователя и объекта. Данная модель обладает невысокой гибкостью и высокой трудоемкостью настройки политик безопасности, но при этом позволяет достичь высокого уровня управляемости безопасностью.

Дискреционное разграничение доступа

Дискреционное (избирательное, контролируемое) разграничение доступа — управление доступом субъектов к объектам базируется на том, что пользователи в том или ином объеме могут управлять настройками политик безопасности. Наиболее популярной реализацией дискреционной модели является модель, которая реализует ограничение доступа к файлам и объектам межпроцессной коммуникации в обычных пользовательских представителях семейств операционных систем Unix и Windows. В этих реализациях пользователь может произвольно изменить права доступа к файлу, который он создал, например, сделать его общедоступным.

Владелец

Одним из стандартных понятий, появляющихся в стандартной реализации дискреционной модели доступа в рамках файловой системы, является владелец объекта — субъект, который несет ответственность за конфиденциальность, целостность и доступность объекта. На владельца возлагается ответственность за корректное ограничение доступа к данному объекту других субъектов, другими словами, имеет возможность предоставить те или иные права доступа к объекту любому другому субъекту. Обычно владельцем объекта автоматически назначается субъект, создавший данный объект. В дальнейшем владелец с помощью соответствующего метода доступа к объекту может быть изменен.

Избирательное управление доступом является базовой реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.

Улучшенные с точки зрения безопасности версии операционных систем ограничивают доступ к файлам и другим объектам с помощью мандатного ограничения доступа. В результате пользователь, даже являясь создателем объекта, не может произвольно менять права доступа к этому файлу. Не гарантируется и то, что после создания пользователь сохранит доступ к созданному объекту, если специально это не оговорено в соответствующей политике безопасности.

Привилегии

Другим понятием, возникающим в реализациях дискреционной модели доступа, является понятие привилегии на определенный метод доступа. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу ко всем объектам, поддерживающим данный метод доступа.

Как правило, небольшая группа привилегированных пользователей — контролирует все процессы и настройки системного уровня. Подобных пользователей называют суперпользователями.

Ролевая модель

Удобным средством описания политик безопасности является ролевая модель. Ролевая модель представляет собой набор групп, объединяющих пользователей с одинаковым уровнем доступа. Уровень доступа к тому или иному объекту определяется по совокупности групп, которым принадлежит субъект. Например, если пользователь принадлежит группе Стерилизационное отделение и группе Заведующие отделениями, он обладает полномочиями, предписанными должности заведующего стерилизационным отделением.

Ролевая модель может использоваться для описания политик безопасности как в дискреционной, так и в мандатной модели разграничения доступа.

Разграничение прав доступа — важнейший элемент обеспечения безопасности информационной системы, однако сама по себе безопасность не самоцель, хотя об этом не всегда помнят. Если на одном компьютере разместить исключительно секретные материалы и физически отрезать его от сети, то проблемы с безопасностью будут решены. В ряде случаев так и поступают, однако выделять по компьютеру на каждую категорию секретности неразумно — иногда требуется, не покидая защищенную систему, иметь доступ ко всей информации, в том числе и несекретной. Каким образом, запуская в защищенной среде таких разных ОС, как Astra Linux Special Edition и SELinux/SEPGSQL, приложение, использующее СУБД PostgreSQL, обеспечить разграничение прав доступа и предоставить пользователю ровно тот уровень секретности, который ему положен? При этом очевидно, что ставить мандатную СУБД поверх немандатной ОС бессмысленно.

Всегда можно представить ситуацию, когда в большой базе данных лишь часть информации секретна и важно обеспечить гранулированность доступности. Например, сотрудники районных отделений полиции получают доступ к данным только о жителях своего района, а на уровне города должна быть доступна информация о любом жителе мегаполиса. Такое разграничение доступа реализуется на уровне записей, или строк таблицы (Row Level Security, RLS), однако оно поддерживается не всеми СУБД.

Имеется некоторый набор средств для реализации мандатных ОС, но для российской действительности актуальны две — SELinux [1] и Astra Linux Special Edition [2].

SELinux (Security-Enhanced Linux) представляет собой обычный дистрибутив Linux, скомпилированный с набором модулей (LSM, Linux Security Modules), перехватывающих системные вызовы.

MAC В POSTGRESQL ДЛЯ SELINUX

Существующая реализация sepgsql имеет ряд особенностей и ограничений, которые необходимо принимать во внимание, но самое важное — это неспособность ограничения доступа на уровне строк. В версиях PostgreSQL 9.5 и 9.6 и во всех версиях Postgres Pro такая возможность предусмотрена.

MAC В POSTGRESQL ДЛЯ ASTRA LINUX

В качестве главного контейнера выбрано табличное пространство pg_global — одно на кластер базы данных. Применение мандатных прав доступа работает на уровне доступа к объектам базы данных и на уровне доступа непосредственно к данным. В отличие от sepgsql, эта реализация поддерживает разграничение на уровне записи: записи рассматриваются как объекты, а содержащие их таблицы — как контейнеры. Метки системных объектов располагаются в записях таблиц системного каталога, непосредственно описывающих защищаемый объект.

В реальности встречаются ситуации, когда sepgsql недостаточно, — например, когда требуется защита на уровне строк. В поставку ОС Astra Linux входит защищенная СУБД, привязанная к мандатной системе безопасности ОС Astra Linux. При этом многие потребители нуждаются в защищенной, но платформенно-независимой СУБД. Кроме того, такую комбинацию СУБД и ОС проще сертифицировать: получить сертификат на комбинацию защищенной сертифицированной ОС и защищенной сертифицированной СУБД легче, чем на комплекс, в котором СУБД и ОС тесно взаимосвязаны. В последнем случае при изменении ОС (даже при переходе на другую версию той же ОС) придется заново начинать процесс инспекционного контроля сертифицированного продукта или процедуру сертификации.

Однако абсолютно кросс-платформенное решение невозможно — ОС, созданные даже на основе одного и того же ядра Linux, могут сильно отличаться [3]. Технически задача упростится, если исключить из набора платформ специфические ОС и взять за основу стандартные средства SELinux. Но тогда пришлось бы отказаться от поддержки платформы Astra Linux, популярной на ряде отечественных предприятий.

Возможно компромиссное решение — создать ПО связующего слоя, которое предоставит все необходимые для работы защищенной СУБД мандатные атрибуты, не требуя изменения кода ядра СУБД и исходного кода расширений ОС. Однако разработчикам придется потрудиться и над тем, чтобы универсальность не достигалась в ущерб производительности СУБД.

Модульная структура провайдеров безопасности дает возможность подключать новые модули и интегрировать СУБД в состав других защищенных ОС, имеющих мандатное разграничение доступа, что существенно упрощает и ускоряет процесс сертификации. ***

Очевидно, что по разным причинам безопасные мандатные системы будут достаточно активно развиваться, а значит, будут развиваться подходы к обеспечению совместимости и кросс-платформенности ОС и СУБД. Кроме того, дополнительные исследования потребуются в области организации работы сетей в мандатной среде, обеспечения репликации, а также создания удобных интерфейсов взаимодействия с различными ОС и СУБД.

Денис Макашов,
руководитель службы представления проектов компании "Поликом Про"

Информационной безопасности в наше время уделяется (и справедливо уделяется!) очень большое внимание. Создана большая нормативно-теоретическая база, формальные математические методы которой обосновывают большинство понятий, формулировавшихся ранее лишь с помощью словесных описаний. При этом разработчики систем безопасности, реализующих различные способы и методы противодействия угрозам информации, стараются максимально облегчить работу по администрированию безопасности. Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Разработка системы защиты информации должна реализовывать какую-либо политику безопасности (набор правил, определяющих множество допустимых действий в системе), при этом должна быть реализована полная и корректная проверка ее условий.

Модель систем дискреционного разграничения доступа

• каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
• система имеет одного выделенного субъекта — суперпользователя, который уполномочен устанавливать права владения для всех остальных субъектов системы.

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Мандатное управление доступом

Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Комплекс средств защиты (КСЗ) при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

• субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;
• субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.

Ролевое разграничение

Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемыми каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем. Однако до недавнего времени исследователи мало обращали внимание на этот принцип.

Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах.

Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. При этом такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.

Роль является совокупностью прав доступа на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Если подвести итог, то у каждой из перечисленных нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной системе. Они просто разные и служат для разных целей.

Читайте также:

  
• На сколько лишают прав за вождение под травой
  
• Мораль обладает более широким пространством действия чем право
  
• Берут ли слепых в армию
  
• Какие из отраслей права римляне не относили к частному праву
  
• 5 было высказано предположение что не является ли это свидетельством слабости позиции администрации