CC BY
34
УДК 004.056
СПОСОБ УПРАВЛЕНИЯ ДОСТУПОМ В СИСТЕМАХ С РАЗЛИЧНЫМИ РЕАЛИЗАЦИЯМИ МАНДАТНОГО МЕХАНИЗМА РАЗГРАНИЧЕНИЯ
ДОСТУПА
А.В. Добычина, А.Ю. Кузнецов, А.Н. Бегаев
Для решения проблемы обеспечения доступа пользователей к информации различного уровня конфиденциальности в системах с различными реализациями мандатного механизма разграничения доступа необходимо правильное распределение прав доступа к такой информации. В данной статье приводится способ управления доступом в таких системах, удовлетворяющий требованиям обеспечения целостности, доступности и конфиденциальности передаваемой информации. Рассмотрены модели Белла-Лападулы и Биба для формирования меток конфиденциальности и доступности информации.
Ключевые слова: управление доступом, конфиденциальность информации, защита информации, модель Белла-Лападулы, модель Биба.
Мандатная модель управления доступом (англ. Mandatoryaccesscontrol, MAC) строилась на жестких принципах и правилах разграничения доступа субъектов к объектам информационной системы, которые нашли применение во многих протоколах и платформах, реализующих данный механизм управления доступом [1]. На сегодняшний день существуют различные реализации MAC как в операционных системах (например, SELinux, FreeBSD, AstraLinux), так и в специальном программном обеспечение (например, OracleLabel Security). В свою очередь операционные системы семейства Winodws (начиная с Windows Vista и WindowsServer 2008) внедрили систему обязательного контроля целостности (англ. Mandatory Integrity Control, MIC), которая заключается в использовании политик управления целостностью и уровнями целостности задействованных субъектов и объектов.
Однако использование в одной корпоративной сети устройств с различными реализациями MAC может привести к нарушению целостности, доступности и конфиденциальности обрабатываемой информации. Таким образом, проблема передачи данных между системами с различной реализацией MAC является актуальной.
Цель данной работы - разработкаспособа управления доступом в системах с различными реализациями мандатного механизма разграничения доступа. Данный способ должен обеспечивать целостность, доступность и конфиденциальность данных как в принимающей системе, так и в передающей.
Предварительный анализ существующих подходов к управлениюдоступом в системах с различными реализациями MAC показал [2 - 5], что существует сложность в выборе единого метода, удовлетворяющего заданным критериям целостности, доступности и конфиденциальности.
Некоторые из существующих реализации МАСопираются на модельконтроля и управления доступом Белла-Лападулы [6].
Рассмотрим формальное описание модели:
1. Введем следующие условные обозначения:
— S - множество субъектов;
-О - множество объектов;
— R = {г, w] - множество прав доступа, где:
— г - доступ на чтение;
— w - доступ на запись;
— L = {U,S, TS, HS} - множество уровней секретности, где:
62
- U - несекретно (англ. Unclassified);
- S - секретно (англ. Secret);
- TS - совершенно секретно (англ. TopSecret);
- HS - особой важности (англ. HighlySecret);
- V - множество состояний системы, представляемое в виде набора упорядоченных пар (F, М), где:
- F:S U О L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;
- М - матрица текущих прав доступа.
2. Определение состояния безопасности осуществляется следующим образом:
- состояние системы (F, М) называется безопасным по чтению, если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:
Vs G S,Vo Е О,г Е M[s,o] F(o) < F(s) (1)
- состояние системы (F, М) называется безопасным по записи в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:
Vs G S,Vo G О,г Е M[s,o] F(s) < F(o) (2)
- состояние системы (F, М) называется безопасным, если оно безопасно по чтению и по записи;
- система Е = (v0, R, Т) называется безопасной, если ее начальное состояние v0, и все состояния, достижимые из v0, путём применения конечной последовательности запросов из R, безопасны.
MAC, использующие только классическую модель Белла-Лападулы имеют ряд серьезных недостатков, ключевым из которых является отсутствие контроля целостности объектов информационной системы. Именно поэтому, во многих современных операционных системах дополнительно используется модель контроля целостности Биба [7]. Формально, данную модель можно описать следующим образом:
1. Введем следующие условные обозначения:
- S - множество субъектов;
-О - множество объектов;
- R = {е, m, i, о} - множество прав доступа, где:
- е - доступ на выполнение;
- пг- доступ субъекта на модификацию объекта;
- i - доступ на обращение (запись) субъекта к субъекту;
- о - доступ на чтение субъекта к объекту;
- L = {/, VI, С} - множество уровней целостности, где:
- / - важный (англ. Important);
- VI - весьма важный (англ. Verylmportant);
- С - ключевой (англ. Crucial);
- V - множество состояний системы, представляемое в виде набора упорядоченных пар (F, М), где:
- F:5uO->L - функция уровней целостности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень целостности;
- М - множество возможных множеств текущих доступов в системе.
2. Определение состояния безопасности осуществляется следующим образом:
- состояние системы (F, М) называется безопасным по чтению, если для каждого субъекта, осуществляющего в этом состоянии доступ по чтению к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта:
Vs G S, Vo G О, г Е M[s, о] F(s) < F(o) (3)
- состояние системы (F, М) называется безопасным по записи в случае, если для каждого субъекта, осуществляющего в этом состоянии доступ по записи к объекту, уровень безопасности субъекта доминирует над уровнем безопасности объекта:
Vs G S, Vo G 0, r G M[s, o] F(o) < F (s) (4)
- состояние системы (F, M) называется безопасным, если оно безопасно по чтению и по записи;
- система Е = (v0, R, Т) называется безопасной, если ее начальное состояние v0, и все состояния, достижимые из v0, путём применения конечной последовательности запросов из R, безопасны.
Таким образом, для обеспечения заданного уровня целостности и конфиденциальности обрабатываемой информации, необходимо использовать обе модели, а субъектам и объектам доступа назначать как метки конфиденциальности, так и метки целостности.
Исходя из вышесказанного, для передачи данных между системами с различными реализациями MAC, помимо самих данных, необходимо передавать их метки. Однако в различных системах данные метки могут быть представлены в различных форматах. Следовательно, проблема управления доступом в системах с различными реализациями MAC сводится к проблеме приведения меток целостности и конфиденциальности к единому формату.
Для решения поставленной задачи предлагается добавить промежуточный буфер для обмена данными между информационными системами. Задача данного буфера заключается в преобразовании меток целостности и конфиденциальности различных систем из одного типа в другой. Для успешного процесса преобразования меток, данный буфер должен удовлетворять следующим требованиям:
1. Быть доступным для авторизованных пользователей информационных систем, осуществляющих обмен данными.
2. Иметь актуальный каталог меток доступности и конфиденциальности, имеющихся в информационных системах.
3. Не иметь доступ непосредственно к объектам, транслируемым между информационными системами.
Предложенный способ может быть проиллюстрирован рис. 1.
Рис. 1 Схема функционирования информационных систем с использованием
буфера обмена
Его можно охарактеризовать следующими этапами:
- инициализация обмена между информационными системами. На данном этапе буфер обмена получает информацию о типе меток передаваемого объекта;
64
- получение нужных форматов меток из каталога меток доступности и конфиденциальности, имеющихся у буфера;
- преобразование меток из одного формата в другой;
- добавление новой метки к объекту и передача объекта с корректной меткой из одной системы в другую.
Более подробно последовательность действий разработанного способа по управлению доступом в системах с различными реализациями MAC представлена на рис. 2.
Рис. 2 Блок-схема способа управления доступом в системах с различными реализациями MAC
Разработанный способ позволяет осуществить управление доступом к информационным ресурсам в зависимости от уровня их конфиденциальности в системах с различными реализациями мандатного механизма разграничения доступа за счет использования дополнительного буфера обмена, в котором хранятся метки доступности и конфиденциальности информационных систем, тем самым обеспечивается достижение поставленной задачи.
Вычисление итоговых прав доступа, предоставляемых в информационных системах с различными реализациями мандатного механизма разграничения доступа для обеспечения передачи данных из одной системы в другую в режиме реального времени, происходит через буфер обмена на основе реестра меток доступности и конфиденциальности. Данный подход обеспечивает целостность и конфиденциальность данных как в принимающей системе, так и в передающей. Обеспечение доступности объектов информационной системы осуществляется путем авторизации субъектов информационной системы с помощью идентификации и аутентификации субъектов.
Представленный способ определяет перспективное направление для разработки подходов к разграничению доступа к информации различного уровня конфиденциальности в системах с различными реализациями мандатного механизма разграничения доступа.
Список литературы
1. QuigleyD., LuJ., and Haynes T.Registry Specification for Mandatory Access Control (MAC) Security Label Formats.RFC 7569, DOI 10.17487/RFC7569, July 2015
2. Стародубцев Ю.И., Бегаев А.Н., Козачок А.В. Способ управления доступом к информационным ресурсам мультисервисных сетей различных уровней конфиденциальности //Вопросы кибербезопасности, 2016. №. 3 (16).
3. Исаева М.Ф., Глухарев М.Л., Ветлугин К.А. Реализация многоуровневой модели разграничения доступа в базах данных под управлением системы управления базами данных MicrosoftSQLServer //Интернет-журнал Науковедение, 2017. Т. 9. №. 3 (40).
4. Гайдамакин Н.А. Многоуровневое тематико-иерархическое управление доступом (MLTHS-система) //Прикладная дискретная математика, 2018. №. 39. С. 42-57.
5. Гайдамакин Н. А. Анализ индивидуально-групповых систем разграничения доступа к иерархически организованным объектам //Вопросы защиты информации, 2014. №. 3. С. 9-16.
6. Bell D.E., LaPadula L.J. Secure computer systems: Mathematical foundations. MITRE CORP BEDFORD MA, 1973. №. MTR-2547-VOL-1.
7. Biba K. J. Integrity considerations for secure computer systems. MITRE CORP BEDFORD MA, 1977. №. MTR-3153-REV-1.
Добычина Анна Владимировна, студент, anndobychinal agmail.com, Россия, Санкт-Петербург, Университет ИТМО,
Кузнецов Александр Юрьевич, канд. техн. наук, доцент, alkuz-netcovacorp.ifmo.ru, Россия, Санкт-Петербург, Университет ИТМО,
Бегаев Алексей Николаевич, канд. техн. наук, доцент, anbegaevacorp. ifmo.ru, Россия, Санкт-Петербург, Университет ИТМО
METHOD OF MANAGING ACCESS IN SYSTEMS WITH DIFFERENT IMPLEMENTA TIONSS OF THE MANDATORY ACCESS CONTROL
A. V. Dobychina, A. Y. Kuznetsov, A.N. Begaev
To solve the problem of providing users with access to information with different levels of confidentiality in systems with different implementations of the mandatory access control, it is necessary to properly distribute access rights to such information. This article provides a way to control access in such systems, satisfying the requirements of ensuring the integrity, availability and confidentiality of the transmitted information.
Key words: access control, mandatory access control (MAC), confidentiality, information security, Bell-LaPadula Model (BLP), Biba's model.
Dobychina Anna Vladimirovna, student, anndobychinal agmail. com, Russia, Saint-Petersburg, ITMO University,
Kuznetsov Alexander Yuryevich, candidate of technical science, docent, alkuz-netcovacorp. ifmo.ru, Russia, Saint-Petersburg, ITMO University,
Begaev Alexey Nikolaevich, candidate of technical science, docent, anbe-gaevacorp.ifmo.ru, Russia, Saint-Petersburg, ITMO University
66
