Субъектно-объектные модели разграничения доступа
Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одного из наиболее известных отечественных исследователей теоретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концептуального подхода к информационной безопасности. В. А. Герасименко представил общую модель процессов защиты информации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения доступа к ресурсам.
Разграничение доступа к информации - разделение информации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользователей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей.
Разграничение доступа непосредственно обеспечивает конфиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграничение доступа можно рассматривать среди других методов обеспечения информационной безопасности как комплексный программно-технический метод защиты информации. Разграничение доступа является также необходимым условием обеспечения информационной безопасности.
Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объектов доступа.
Рассмотрим основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются безопасными, а другие - нет. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:
1. В системе действует дискретное время.
2. В каждый фиксированный момент времени система представляет собой конечное множество элементов, разделяемых на два подмножества:
подмножество субъектов доступа S;
подмножество объектов доступа О.
Субъект доступа - активная сущность, которая может изменять состояние системы через порождение процессов над объектами, в том числе порождать новые объекты и инициализировать порождение новых субъектов.
Объект доступа - пассивная сущность, процессы над которой могут в определенных случаях быть источником порождения новых субъектов.
При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий «объект» и «субъект» в разных моделях могут различаться.
В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, предполагается также, что в любой момент времени tk, в том числе и в начальный, множество субъектов доступа не пусто.
3. Пользователи представлены одним или некоторой совокупностью субъектов доступа, действующих от имени конкретного пользователя.
Пользователь - лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии системы через субъекты, которыми он управляет.
Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Предполагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не соответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Однако подобная идеализация позволяет построить четкую схему процессов и механизмов доступа.
4. Субъекты могут быть порождены из объектов только активной сущностью (другим субъектом).
Объект оi называется источником для субъекта sm, если существует субъект sj, в результате воздействия которого на объект оi возникает субъект sm. Cубъект sj является активизирующим для субъекта sm.
Для описания процессов порождения субъектов доступа вводится следующая команда: Create (sj, oi) sm — из объекта оi порожден субъект sm, при активизирующем воздействии субъекта sj.
Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздействием активизирующего субъекта в момент времени tk новый субъект порождается в момент времени tk+1.
Результат операции Create зависит как от свойств активизирующего субъекта, так и от свойств объекта-источника.
Активная сущность субъектов доступа заключается в их способности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации.
5. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.
6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации.
Потоком информации между объектом оi и объектом оj называется произвольная операция над объектом оj, реализуемая в субъекте sm и зависящая от объекта оi.
Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д.
Объекты, участвующие в потоке, могут быть как источниками, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объектами, а не между субъектом и объектом.
Доступом субъекта sm к объекту оj называется порождение субъектом sm потока информации между объектом оj и некоторым объектом оi.
Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосредственно к описанию процессов безопасности информации в защищенных системах. С этой целью вводится множество потоков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (множество Р является объединением потоков по всем моментам времени функционирования системы).
Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р.
7. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.
9. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.
10. Основной элемент модели безопасности - это доказательство утверждения (теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.