Вы находитесь в разделе Типовых решений систем безопасности
Принцип сессионного контроля доступа к ресурсам – основа основ реализации разграничительной политики в корпоративных приложенияхСовременное использование информационных технологий в корпоративных приложениях, предполагающих компьютерную обработку категорированной (в том числе, конфиденциальной) информации, предполагает, что один и тот же пользователь должен на одном и том же вычислительном средстве обрабатывать информацию различных категорий конфиденциальности (как правило, открытую и конфиденциальную – в общем случае уровней конфиденциальности может быть больше), при этом средство защиты должно предотвращать возможность хищения (нарушение конфиденциальности) и несанкционированной модификации (нарушение доступности и целостности), в первую очередь, конфиденциальных данных, т.е. обеспечивать защиту категорированной информации от несанкционированного к ней доступа (НСД). Реализация эффективного решения в принципе невозможна без предварительного его теоретическое обоснование. В данной работе мы и попытаемся теоретически обосновать подходы к реализации разграничительной политики доступа к ресурсам, применительно к современным условиям защиты информации от НСД в корпоративных приложениях. Вместо введения На наш взгляд, для того, чтобы убедить читателя в необходимости реализации в средствах защиты инновационных теоретически обоснованных для использования в современных условиях подходов, достаточно привести следующее, несколько шокирующее, сообщение:
А как мы-то боремся с расширяющейся пропастью? Как отмечалось в статье Функциональная безопасность системных средств, опубликованной автором на сайте www.itsec.ru, ключевым вопросом оценивания функциональной безопасности является формирование требований к набору и к реализации механизмов защиты, применительно к современным условиям использования системного средства. Ведь каковы будут требования, такова, в конечном счете, будет и эффективность защиты, по крайней мере, настолько объективно будет проведена его оценка. Взгляните на функциональные возможности СЗИ НСД представленных на рынке средств защиты. В большинстве своем (за редким исключением) их возможности совпадают – что требуется нормативными документами, то разработчиками средств защиты и реализуется, в той или иной мере в полном объеме и корректно. А как позиционируются подобные СЗИ НСД производителями: соответствие такому-то классу защищенности по нормативному документу. Но основная беда в том, что многие применяемые на практике нормативные документы в области защиты информации созданы еще буквально в прошлом веке. О каких современных условиях и о какой адекватной реакции может идти речь? Как следствие, возникает масса вопросов - как, с какой целью использовать набор механизмов защиты, реализованных в СЗИ НСД, какие задачи защиты применительно к современным условиям использования СЗИ НСД могут быть ею решены и в каком объеме? Но тогда вообще, зачем нужна подобная СЗИ НСД потребителю, кроме выполнения формальных требований? К сожалению, лишь малая часть производителей средств защиты пытается творчески подходить к решению задач защиты информации, а отсюда во многом и негатив потребителя, его непонимание необходимости использования СЗИ НСД, прежде всего, для обеспечения эффективной защиты информации. Возможно, что именно это в большой мере, и обусловливает сложившееся на сегодняшний день положение дел в области информационной безопасности:
Рис. Результаты исследования Прокомментировать данное исследование можно следующим образом: все все видят, все понимают, но практически ничего не делается! Возвращаясь же к существующим нормативным документам, отметим следующее. Необходимо понимать одну простую истину – у любого формализованного требования (да вообще у любого стандарта) две стадии жизненного цикла, сначала, при появлении, данное требование играет положительную роль, в том числе, и в части развития ИТ-технологий, но по прошествии некоторого времени, устаревая, начинает играть отрицательную роль, т.к. оставаясь обязательным для реализации, уже начинает тормозить развитие ИТ-технологий. Зачем производителю размышлять об инновациях, новых подходах к построению защиты, если уровень функциональной безопасности создаваемого им СЗИ НСД все равно будет оцениваться по требованиям, определенным более десятка лет назад. Как следствие, и потенциальный потребитель СЗИ НСД не особенно верит в то, что использование подобных средств может кардинально повысить эффективность защиты обрабатываемой им информации (существует, конечно, и иная причина подобного отношения к вопросам защиты информации, подчас, защищать требуется чужие данные, а деньги в это вкладывать собственные). Да, и некоторые поставщики услуг в области защиты информации, уже позиционируют снижение требований к объему знаний администратора безопасности, чуть ли не как основное потребительское свойство средства защиты, что, применительно к корпоративным приложениям, является просто отрицанием очевидной истины. Рынок всегда будет реагировать на спрос. Как же в этих условиях не расширяться пропасти? Постановка задачи защиты информации в корпоративных приложениях В корпоративных приложениях задача реализации разграничительной политики доступа к ресурсам состоит в следующем. Обрабатываемые данные в корпоративных приложениях, как правило, могут быть категорированы по уровню конфиденциальности: открытая информация, конфиденциальная информация и т.д. При этом один и тот же пользователь в рамках выполнения своих служебных обязанностей должен обрабатывать, как открытые, так и конфиденциальные данные. Однако априори эти данные имеют совершенно различную ценность для предприятия, следовательно, режимы их обработки должны различаться (например, только открытую информацию можно передавать во внешнюю сеть, сохранять на внешних накопителях, конфиденциальные данные могут обрабатываться только неким корпоративным приложением и т.д.). Это обусловливает, что основу разграничительной политики, уже должны составлять не какие-либо конкретные ресурсы (что характерно для современных универсальных ОС, что определяется и существующими требованиями в области защиты информации), а режимы обработки категорированной информации, причем при задании правил обработки информации уже, в первую очередь, должен рассматриваться не вопрос разграничения доступа к ресурсам между различными пользователями, а вопрос реализации различных режимов обработки данных различной категории для одного и того же пользователя. Другими словами, основу реализации разграничительной политики доступа к ресурсам здесь должно составлять принципиальное иное трактовка объекта доступа – это уже не некий ресурс (например, объект файловой системы), а режим обработки данных. Понятие сессионного контроля доступа к ресурсам Введем следующее определение. Определение. Под сессией пользователя будем понимать режим обработки пользователем данных соответствующей категории, реализуемый соответствующей разграничительной политикой доступа к ресурсам. Замечание. По категории обрабатываемых в сессии данных, будем соответствующим образом подразделять на категории и сессии: открытая, конфиденциальная и т.д. С учетом всего сказанного, можем сформулировать следующий основополагающий принцип реализации разграничительной политики доступа к ресурсам в корпоративных приложениях. Аксиома 1. В корпоративных приложениях при реализации разграничительной политики доступа к ресурсам в качестве субъекта доступа к ресурсам следует рассматривать сущность сессия, т.е. именно для этой сущности и должна формироваться разграничительная политика доступа к ресурсам. Определение 1. Под сессионным контролем доступа будем понимать разграничение между сессиями прав доступа к ресурсам, основанное на задании и реализации разграничительной политики доступа сессий к ресурсам и на назначении привилегий сессиям (в том числе, и по доступу к ресурсам). Ввиду того, что один и тот же пользователь на одном компьютере должен обрабатываться данные различных категорий конфиденциальности, один пользователь может получать доступ к различным сессиям, соответственно доступ к смене сессии. Определение Под доступом пользователя к сессии будем понимать запуск на защищаемом компьютере соответствующего режима обработки категорированной информации. Соответственно под изменением пользователем сессии будем понимать изменение на защищаемом компьютере режима обработки категорированной информации. Так как в общем случае доступ к одной и той же сессии может разрешаться различным пользователям (одновременно одним компьютером на предприятии могут пользоваться несколько сотрудников и все они могут быть допущены к обработке информации одной и той же категории), то разграничения для пользователей следует рассматривать как некое подмножество (усеченное множество) разграничений, заданных для сессии. Определение 3. В общем случае (когда несколько сотрудников предприятия допущены на одном и том же компьютере к обработке данных одной и той же категории) субъектом доступа в корпоративных приложениях определяется парой сущностей сессия, пользователь (учетная запись), при этом правила доступа к ресурсам для пользователей следует рассматривать как подмножество (усеченное множество) правил доступа, заданных для сессии. Базовые принципы (требования к корректности) реализации Первый вопрос, возникающий в части реализации сессионного контроля доступа, состоит в том, а допустим ли обмен информацией между сессиями (если да, то по каким правилам), либо обработка информации в сессии должна быть полностью изолированной (в этом случае пользователь получает возможность доступа к информации иной категории только посредством изменения сессии. Утверждение 1. Обработка информации между сессиями различной категории должна быть полностью изолированной. Допускается обмен информацией между различными пользователями только в рамках сессий одной категории. Доказательство. Для доказательства данного утверждения напомним, что задача защиты информации от НСД состоит как предотвращении хищения информации, так и в нарушении ее целостности или доступности. Введем следующие обозначения. Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа Сi, i = 1,…,k рассматривается как отдельный пользователь, так и группа пользователей, обладающих одинаковыми правами доступа, заметим, что на практике это могут быть как различные пользователи, так и один и тот же пользователь, обладающий различными правами доступа при различных режимах обработки информации), соответственно, в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа. Пусть S = {0,Чт,Зп} – множество прав доступа, где 0 обозначает отсутствие доступа субъекта к объекту, Чт – разрешение доступа для чтения объекта, Зп – разрешение доступа для записи в объект. В части противодействия несанкционированному понижению категории данных, с целью изменения режима их обработки (смена режима в сторону снижения категории сессии априори повышает вероятность хищения данных) широко на практике используется полномочный контроль доступа, в основе которого лежит иерархическая формализация отношения полномочий, состоящий в следующем. Иерархическая шкала полномочий вводится на основе категорирования данных (открытые, конфиденциальные, строго конфиденциальные и т.д.) и прав допуска к данным пользователей (по аналогии с понятием формы допуска). Будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}). Соответствующая формализация правил доступа субъектов к объектам при этом, как правило, сводится к следующему:
Матрица доступа D, описывающая полномочную модель контроля доступа, имеет следующий вид. В части решения альтернативной задачи защиты информации от НСД - защиты данных от нарушения их целостности и доступности, следует рассматривать вопросы антивирусной защиты данных. Обозначим же через Pi вероятность того, что документ i-й категории заражен вирусом (например, макро-вирусом), при этом априори имеем: P1 < P2 <…< Pk. (чем выше категория конфиденциальности документа, тем жестче режимы его обработки, причем для режима обработки открытых документов (например, разрешен доступ в сеть Интернет) можем принять Pk = . Беря во внимание тот факт, что макро-вирус начинает действовать (что может нести в себе угрозу заражения) лишь после прочтения его соответствующим приложением, и что предотвращать следует возможность заражения документа более высокой категории макро-вирусом из документа более низкой категории (после его прочтения приложением), получаем следующую матрицу доступа F, описывающую модель контроля доступа, реализуемую для антивирусного противодействия: Видим, что при реализации данной модели контроля доступа разрешается запись документов, имеющих меньшую вероятность заражения вирусом в объекты, документы в которых имеют большую вероятность заражения вирусом – обратное запрещено, т.е. предотвращается повышение вероятности заражения документов более высокой категории конфиденциальности, за счет того, что одновременно с ними на одном и том же компьютере могут создаваться, обрабатываться и храниться документы более низкой категории, вероятность заражения вирусом которых выше. Очевидно, что обоим условиям (корректное решение задачи защиты информации от НСД) соответствует лишь режим полностью изолированной обработки данных, описываемый матрицей доступа I: Утверждение доказано. Вывод. Сформулированное и доказанное Утверждение 1 позволяет нам сделать важный вывод о некорректности применения в корпоративных приложениях принципа мандатного контроля доступа к ресурсам, реализующего матрицу доступа D (регламентируемого для использования в данных приложениях соответствующими нормативными документами). Это следует из того, что использование принципа мандатного контроля доступа обеспечивает лишь частичное решение задачи защиты информации от НСД - лишь в части защиты от нарушения конфиденциальности данных. При этом (что следует из матрицы доступа F) использование принципа мандатного контроля доступа влечет за собою усиление угрозы нарушения доступности и целостности защищаемой информации. Замечание. Задача антивирусной защиты в принципе не должна рассматриваться как некая самостоятельная задача защиты информации – это задача защиты от НСД, решаемая в части защиты данных от нарушения их целостности и доступности. Другое дело, что современные средства антивирусной защиты (сигнатурные и поведенческие анализаторы) основаны на реализации механизмов контроля (сравнения с эталоном, соответственно, с эталоном кода, либо с эталоном поведения), а не на реализации разграничительной политики доступа к ресурсам, отсюда и их низкая эффективность, обусловливаемая принципиальной невозможностью обеспечения достаточности набора эталонов. С учетом сказанного ранее и доказанного Утверждения 1, сессионный контроль доступа (субъектом доступа является сессия) может быть представлен (описан) моделью (или матрицей) доступа и моделью (или матрицей) привилегий пользователей (напомним, об этом говорилось ранее, что разграничительная политика доступа к ресурсам задается атрибутами доступа к ресурсам и привилегиями пользователей, в том числе, в части доступа к ресурсам). Введем следующие обозначения. Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно упорядоченные (по категориям конфиденциальности, пусть, чем меньше порядковый номер, тем выше категория) множества сессий и ресурсов (объектов доступа). В качестве субъекта доступа Сi, i = 1,…,k рассматривается отдельная сессия (права доступа конкретного пользователя, работа которого разрешена в данной сессии, есть подмножество разрешений, заданных для сессии), в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми категориями. Пусть S = {0,Дi} – множество прав доступа, где 0 обозначает отсутствие доступа субъекта к объекту, Дi – разрешения доступа (в зависимости от типа ресурса, например, Чт/Зп (Запись/Чтение) – для информационных и системных ресурсов, В (Выполнение) – для исполняемых файлов и т.д.) к ресурсам в i-й сессии, а L = {0,Пi} – множество привилегий пользователя, где 0 обозначает отсутствие каких-либо привилегий (т.к. доступ к ресурсам запрещен), Пi - привилегии пользователя (в том числе, и в части доступа) к ресурсам в i-й сессии. Второй, не менее важный вопрос, состоит в том, что первично: задание сессии с последующим доступом к данным, либо, наоборот, загрузка данных, категория которых определяет категорию сессии (режим обработки этих данных). Модель сессионного контроля доступа можно представить матрицей доступа S, и матрицей привилегий пользователя P, имеющими следующий вид: Доказательство. В противном случае имеем следующее противоречие. Если сессия определяется тем, какие данные считаны (например, если считываются конфиденциальные данные, то вступает в силу конфиденциальная сессия – режим обработки конфиденциальных данных), то, необходимо в начальный момент времени (сессия не определена) разрешить пользователю чтение данных всех категорий, к которым он допущен в рамках своей служебной деятельности. Однако при этом не могут быть реализованы требования к заданию различных режимов обработки данных различных категорий (невозможно задать для данных различных категорий, каким процессом, с какими привилегиями пользователя, с какого устройства, с какими правами доступа к системным ресурсам и т.д., они могут быть прочитаны). Следовательно, для реализации этого условия, режимы обработки (в частности, по доступу к данным различных категорий конфиденциальности) до выбора сессии должны совпадать, что противоречит требованию, сформулированному в Утверждении 1. Следствие. В общем случае субъект доступа задается парой сущностей сессия, пользователь (учетная запись), где права пользователя являются подмножеством прав доступа субъекта сессия. С учетом этого соответствующие матрицы S и P могут быть представлены для каждого пользователя при работе в каждой сессии. При этом допускается взаимодействие различных пользователей информацией только одной категории конфиденциальности (в одной категории сессий). Следствие. С учетом того, что один и тот же пользователь в общем случае должен иметь доступ к различным сессиям, т.е. сессия должна выбираться пользователем, в схему сессионного контроля доступа к ресурсам должны быть включены дополнительные сущности: субъект и объект выбор сессии, причем в данной сессии пользователю будет запрещен доступ к любому иному ресурсу, кроме как к ресурсу (объекту) выбор сессии, реализующему настройку выбранного пользователем режима обработки категорированных данных. Обозначим соответственно сессию выбора сессии и объект выбора сессии C0 и О0, а Д0 – разрешение доступа к объекту выбора сессии. Получим следующую матрицу доступа S0 (с режимом выбора (соответственно, изменения) сессии). Утверждение 2. Сессия должна быть задана (выбрана) до начала обработки данных (данные должны загружаться – из файлового объекта, из сети и т.д. только после того, как определен режим их обработки, соответственно и загрузки, т.е. сессия). Альтернативные способы определения сущности сессия Утверждение доказано. Аксиома Сущность сессия должна быть определена единым способом для всех механизмов контроля доступа к ресурсам. Теперь рассмотрим альтернативные способы определения сущности сессия. В общем случае возможны различные пути задания сущности сессия. При реализации данного способа решение состоит в следующем. Вводится некий дополнительный субъект выбор сессии, пусть это программа, управление которой выносится в виде некого меню на рабочий стол. При входе пользователя в систему (после идентификации и аутентификации) автоматически запускается сессия выбор сессии (соответствующая программа) – пользователю разрешается доступ только к объекту выбора сессии (предлагается выбрать сессию для работы). Объектом здесь служат настройки механизмов контроля доступа к ресурсам, которые должны быть загружены в результате выбора соответствующей сессии. После выбора сессии вступают в силу разграничения для выбранной пользователем сессии (в общем случае, совокупность разграничений для сущностей пользователь и сессия) – пользователь может работать в данной сессии. Переход от сессии к сессии (изменение сессии) осуществляется аналогично и поддерживается необходимыми для корректной реализации разграничительной политики доступа к ресурсам мерами, в частности, осуществляется очистка буфера обмена, принудительно завершаются приложения, запущенные в предыдущей сессии и т.д. Естественно, что в части обеспечения корректности решения рассматриваемой задачи выдвигается ряд дополнительных требований по реализации разграничительной политики доступа к ресурсам, в частности, все буфер обмена, файловые объекты, не разделяемые между пользователями: временные файлы, корзины и т.д. и другие ресурсы, в том числе, системные уже должны разделяться между сессиями. Не смотря на очевидность данного тезиса, на практике дело обстоит совсем иначе. Например, известны системы защиты, в которых сессия определяется уровнем конфиденциальности прочтенного документа (уже противоречие Утверждению , а разграничение доступа к большинству ресурсов (в частности и к файловым объектам в части контроля выполнения – замкнутость программной среды, к устройствам и т.д.) реализуется для учетной записи пользователей. Противоречие здесь состоит в том, что одна и та же учетная запись используется для обработки данных разного уровня конфиденциальности, т.е. априори не является сущностью сессия, однако именно для нее реализуется разграничительная политика доступа к большинству ресурсов. О каком задании режимов обработки данных различных категорий конфиденциальности здесь может идти речь, тогда, в чем состоит решение задачи защиты, в первую очередь, задача противодействия внутренним ИТ-угрозам (угрозам хищения данных санкционированными – допущенными к работе с защищаемыми данными, пользователями - инсайдерами? Если вдумчиво разобраться с тем, какие концептуальные решения положены в основу многих представленных на рынке средств защиты, то можно столкнуться и не с такими чудесами. С точки зрения вопросов сессионной обработки данных различных категорий конфиденциальности, возникает вопрос, а можно ли реализовать режим одновременной работы пользователя в нескольких сессиях (т.е. без обязательного завершения предыдущей сессии перед выбором последующей сессии). Теоретически подобная возможность существует и состоит она в следующем. Будем отождествлять сессию с сущностью процесс. При этом для каждой сессии разрешим запускать определенный набор процессов (в любом случае замкнутость программной среды реализуется для субъекта доступа сессия), а при запуске процесса позволим пользователю выбирать сессию, в которой запускается данный процесс. При этом в системе одновременно может быть одним пользователем запущено несколько процессов в разных сессиях. Не будем останавливаться на анализе вопросов обеспечения корректности данного решения (очевидно, что их хватает), лишь отметим, что это существенное усложнение итак весьма непростой задачи для практической реализации. Включение в схему контроля доступа к ресурсам дополнительных сущностей: сессии выбор сессии и объекта выбор сессии. Рассмотренный выше способ решения задачи, при всей своей привлекательности и теоретической обоснованности, весьма сложен для практической реализации (по крайней мере, средства защиты, корректно реализующие данный способ, на наш взгляд, на сегодняшний день отсутствуют, и их создание потребует времени), а задачу противодействия внутренним ИТ-угрозам необходимо решать сегодня. Попытаемся максимально облегчить задачу реализации сессионного контроля доступа к ресурсам (переведем наши теоретические исследования в более практическую плоскость), памятуя о том, что вся разграничительная политика доступа к ресурсам в современных универсальных ОС реализуется для субъекта доступа пользователь (учетная запись), причем, как в части задания правил доступа к ресурсам, так и в части задания привилегий, т.е. попытаемся максимально использовать существующие на сегодняшний день наработки, применительно к решению рассматриваемой задачи защиты информации – противодействие внутренним ИТ-угрозам. Данное решение позволяет корректно решить рассматриваемую задачу защиты в общем виде. При этом субъект доступа определяется парой сущностей сессия, пользователь (учетная запись), причем основу разграничительной политики составляет задание прав доступа к ресурсам и привилегий для сущности сессия (не для учетных записей пользователей). Данный способ практически не имеет недостатков, за исключением одного. Он требует радикального изменения всей концепции защиты, реализуемой в современных универсальных ОС, где в качестве субъекта доступа рассматривается сущность пользователь. Другими словами, чтобы его реализовать, необходимо забыть обо всех наработках и реализованных в ОС решениях и создать всю защиту заново, совершенно на иных принципах. При реализации данного способа решение состоит в следующем. Итак, сессия должна определяться учетной записью. Введем понятие категории учетной записи, соответственно данные определенной категории могут обрабатываться только под учетной записью соответствующей категории. Пользователь для обработки данных соответствующей категории должен войти в систему под этой учетной записью. Очевидно, что данное решение позволяет реализовать разграничительную политику для учетных записей при обработке категорированной информации, т.е. относительно простое решение рассматриваемой задачи существует!. Заметим, что при этом реализуются все требования, сформулированные выше, в частности, может быть обеспечена изолированная обработка данных различных категорий (по средством реализации изолированной обработки данных для различных учетных записей), а сессия выбирается пользователем до получения доступа к данным (до прохождения процедуры идентификации доступ к какому-либо ресурсу невозможен). Для работы в сессии также могут устанавливаться привилегии, назначаемые при данном решении учетным записям. Возможность решения задачи в общем виде также обусловливается и тем, что разграничения могут быть реализованы для субъекта сессия, пользователь. Для этого для каждого пользователя должны быть созданы собственные учетные записи для обработки данных различных категорий. Использование для задания сессии сущности пользователь (учетная запись) Например, современные ОС семейства Windows, предоставляют возможность пользователю запустить процесс с правами другого пользователя (под другой учетной записью) без перезагрузки. Это реализуется с использованием утилиты runas. Начиная с Windows XP, данная опция вынесена в интерфейс (запуск процесса с правами другого пользователя можно осуществить из проводника - выбрав ее для исполняемого файла по правой кнопки мыши). Таким образом, одновременно (на рабочем столе) пользователем могут быть запущены приложения под различными учетными записями (никакой перезагрузки компьютера при этом не требуется). С учетом того, что вся разграничительная политика доступа к ресурсам, включая задание привилегий, в современных системах реализуется для субъекта доступа пользователь (учетная запись), а основу сессионного контроля доступа к ресурсам составляет задание разграничительной политики доступа для субъекта доступа сессия, имеет смысл попытаться использовать для задания сессии сущности пользователь (учетная запись). Теперь несколько слов о корректности решения задачи. Требования к корректности при данном способе задания сессии определяются требованием к реализации изолированной обработки данных различной категории конфиденциальности (в соответствии с Утверждением – в данном случае – к изолированной обработке данных одним и тем же пользователем под различными учетными записями. Очевидно, что одним из важных свойств системы защиты является ее минимальное влияние на удобство работы пользователя. Недостатком рассмотренного выше способа решения задачи является то, что, во-первых, для изменения сессии необходима смена учетной записи, во-вторых, пользователь не может работать одновременно в двух сессиях. Однако здесь нам приходит на помощь возможность обработки данных в многопользовательском режиме, предоставляемая современными универсальными ОС. Использование для задания сессии сущности процесс Сразу отметим, что не следует заблуждаться относительно того, что задача противодействия внутренним ИТ-угрозам сколько-нибудь корректно может быть решена механизмами защиты современных универсальных ОС – они для этого не предназначены. Рассматривая возможность задания сущности сессия учетной записью, мы лишь говорили о способе, позволяющем максимально использовать существующие наработки, не более того! Чтобы решить задачу корректно, необходим весьма внушительный список дополнительных механизмов защиты. При реализации данного способа решение состоит в следующем. Разграничение прав доступа устанавливается для процессов (приложений), характеризующих категорируемый информационный сервис, например, для процессов сетевых служб. Т.е. именно процесс выступает в качестве субъекта доступа, следовательно, для всех пользователей разграничения при работе с этим процессом совпадут. Для получения доступа к категорированному информационному сервису пользователь должен запустить процесс, для которого заданы соответствующие права доступа к ресурсам (по сути, изменить сессию) – все запросы пользователя к ресурсам, производимые данным процессом (например, к файловым объектам, к объектам реестра ОС, к сетевым ресурсам – хостам, и т.д.) будут осуществляться в рамках прав доступа к ресурсам, заданных для процесса. Акцентируем внимание читателя лишь на некоторых проблемах (на примере архитектурных решений ОС Windows), без устранения которых в принципе невозможно говорить о каком-либо решении задачи противодействия внутренним ИТ-угрозам рассматриваемым способом:
К кажущимся недостаткам данного способа можно отнести то, что для его реализации (как и в первом рассматриваемом случае) необходимо коренным образом изменить принципы реализации разграничительной политики доступа к ресурсам, используемые в современных универсальных ОС, т.к. здесь субъектом доступа выступает сущность процесс, а не сущность пользователь (учетная запись). Однако, если речь заходит о корпоративных приложениях, то этого все равно будет не избежать, т.к. существует еще одна, не менее актуальная задача защиты информации – противодействие внешним ИТ-угрозам. Основу же противодействия внешним ИТ-угрозам составляет реализация разграничительной политики доступа к ресурсам для субъекта процесс, т.к. применительно к этой задаче, уже не пользователь, а именно процесс (приложение) несет в себе угрозу НСД к информации. Комплексная же система защиты информации должна в равной степени обеспечивать противодействие как внутренним, так и внешним ИТ-угрозам (смешно будет, если защищая корпоративную сеть, про одну из этих доминирующих групп угроз мы забудем). Если выше нами рассматривались решения в общем виде, то данное решение частное. Частность данного решения обусловливается тем, что сессия определяется сущностью процесс или полнопутевым именем процесса. Т.е., другими словами, категорируется некий информационные сервис (например, работа с сетью Интернет разрешается только в открытой сессии). Запуск категорированного процесса означает запуск категорированного информационного сервиса (приложения) с соответствующей ему разграничительной политикой доступа к ресурсам. Не лишним будет уточнить, что при реализации данного способа также должно быть предусмотрено ряд технических мер, направленных на обеспечение корректности решения, в частности, замкнутость программной среды должна устанавливаться для субъекта доступа процесс, между соответствующими процессами должен разграничиваться буфер обмена и др. Это обусловливается тем, что в сессиях различных категорий обработка информации осуществляется под одной учетной записью (одним пользователем). Не смотря на свою частность (один и тот же информационный сервис – процесс, может использоваться только для обработки данных одной категории), данное решение весьма эффективно в некоторых конкретных приложениях, например, если с компьютера, на котором обрабатывается конфиденциальная информация, пользователям следует разрешить доступ в сеть Интернет, при этом предотвратить возможность передачи конфиденциальных данных пользователями в сеть. Таким образом, рассматривая возможность практического использования данного способа, подразумеваем, что средство защиты, ориентированное на использование в корпоративных приложениях, априори должно предоставлять такой сервис защиты информации, как разграничение прав доступа к ресурсам для субъекта процесс. В этих предположениях (заметим, мы говорим об эффективных средствах защиты информации), реализация данного способа не требует сколько-нибудь серьезной модернизации разграничительной политики доступа к ресурсам, обеспечиваемой средством защиты информации. Читайте далее: Ежегодный анализ тайваньского рынка безопасности. Комментарий к security 50 04 - 10 февраля 2008 года Созидающая волоконная оптика 08 - 09 марта 2008 года 14 - 20 апреля 2008 года ,рынок it, 28 - 30 апреля 2008 года ,рынок безопасности, 01. 04. 2008 05 - 11 мая 2008 года ,рынок безопасности, 12 - 18 мая 2008 года ,рынок it, 26 - 31 мая 2008 года ,рынок it, Организация строительно-монтажных, пусконаладочных работ и ввода в эксплуатацию интегрированных сист Наш опыт прокладки кабелей Заземление в системах промышленной автоматизации ,часть 2, Способы устранения искажений видеосигнала в линиях связи
|