Информационная безопасность Модели управления доступом Разграничение доступа Глобальные сети Средства анализа и управления сетями Примеры скриптов на JavaScript Примеры программирования на Java

Информационная безопасность

Управление доступом с использованием меток процессов

Возможности управления доступом на основе меток безопасности, назначаемых приложениям (процессам), рассмотрим на примере мандатного управленпя доступом к виртуальным каналам внешней сети. Под виртуальным каналом будем понимать сетевую службу, определяющую информационную технологию обработки данных во внешней сети. Примером такой службы могут служить служба открытой почты, служба конфиденциальной почты и т.д.

С учетом сказанного ранее, метка безопасности присваивается сетевой службе (процессу). При этом мандатные разграничения для процесса действуют вне мандатных разграничений для пользователя. В соответствии со своей меткой безопасности помеченный процесс может обращаться к объектам доступа. При этом механизмом разграничения доступа к сети заносятся дополнительные дискреционные разграничения для помеченной службы. В частности с какими компьютерами разрешено взаимодействие и т.д.

Рассмотрим пример организации простого взаимодействия по внешней сети. Пусть система содержит два почтовых приложения для передачи почтовых сообщений, соответственно, в открытом и в защищенном виде (например, почтовые сообщения шифруются при передаче). Назначим почтовым приложениям (процессам) следующие метки безопасности:

» метку  процессу конфиденциальной почтовой службы;

метку процессу открытой почтовой службы.

Данные настройки реализуют следующую возможность взаимодействия в рамках помеченной сетевой службы (почтового взаимодействия). В рамках конфиденциальной почтовой службы любым пользователем (отметим, что метки безопасности пользователям не назначались) по защищенному почтовому каналу могут передаваться объекты, которым сопоставлены метки Мп-1 иМп. То есть только эти объекты служба сможет читать из файловой системы. Любое получаемое по защищенной почте сообщение любой пользователь сможет записать только в объект (например, каталог), которому сопоставлена метка Мп-1. Таким образом исключается возможность записи полученных конфиденциальных данных в объект с большей меткой (с меньшим уровнем конфиденциальности).

Что касается открытого почтового канала, то по нему любой пользователь может передавать только объекты, которым сопоставлена метка Мп (только эти объекты служба сможет читать из файловой системы). Любое получаемое по открытой почте сообщение любой пользователь сможет записать только в объект (например, каталог), которому сопоставлена метка Мп.

Таким образом, при вводе (выводе) объекта с «помеченного» виртуального канала, использующего помеченную сетевую службу, диспетчер доступа обеспечивает соответствие между меткой вводимого (выводимого) объекта и меткой виртуального канала (сетевой службы).

В общем случае модель мандатного управления доступом может быть расширена (по аналогии с дискреционным механизмом). Метки безопасности могут назначаться объекту доступа и обоим видам субъекта доступа - пользователю и процессу (приложению). При этом обработка запроса процесса может осуществляться как эксклюзивно (привилегированный процесс — см. рис. 11.10), так и вместе с правами пользователя. Т.е. в схеме управления доступом одновременно можно учитывать:

категорию пользователя, то есть его допуск к информации, в соответствии с которым назначается метка безопасности;

уровень защищенности информации, обеспечиваемый приложением (метка безопасности процесса).

Протокол с судейством

Чтобы снизить накладные расходы на арбитраж, протокол, в котором участвует арбитр, часто делится на две части. Первая полностью совпадает с обычным протоколом без арбитража, а ко второй прибегают только в случае возникновения разногласий между участниками. Для разрешения конфликтов между ними используется особый арбитр — судья.

Подобно арбитру, судья является незаинтересованным участником протокола, которому остальные участники доверяют. Однако в отличие от арбитра, судья участвует отнюдь не в каждом шаге протокола. Услугами судьи пользуются, только если требуется разрешить сомнения относительно правильности действий участников протокола. Если таких сомнений ни у кого не возникает, судейство не понадобится.

В компьютерных протоколах с судейством предусматривается наличие данных, проверив которые доверенное третье лицо может решить, не смошенничал ли кто-либо из участников этого протокола. Хороший протокол с судейством также позволяет выяснить, кто именно ведет себя нечестно. Это служит прекрасным превентивным средством против мошенничества со стороны участников такого протокола.

Самоутверждающийся протокол

Самоутверждающийся протокол не требует присутствия арбитра для завершения каждого шага протокола. Он также не предусматривает наличие судьи для разрешения конфликтных ситуаций. Самоутверждающийся протокол устроен так, что, если один из его участников мошенничает, другие смогут моментально распознать нечестность, проявленную этим участником, и прекратить выполнение дальнейших шагов протокола.

Конечно же, хочется, чтобы существовал универсальный самоутверждающийся протокол на все случаи жизни. Однако на практике в каждом конкретном случае приходится конструировать свой специальный самоутверждающийся протокол.

Разновидности атак на протоколы

Атаки на протоколы бывают направлены против криптографических алгоритмов, которые в них задействованы, против криптографических методов, применяемых для их реализации, а также против самих протоколов. Для начала предположим, что используемые криптографические алгоритмы и методы являются достаточно стойкими, и рассмотрим атаки собственно на протоколы.

Если некто, не являющийся участником протокола, попытается подслушать информацию, которой обмениваются его участники, — это пассивная атака на протокол. Она так названа потому, что атакующий (будем именовать его Петром) может только накапливать данные и наблюдать за ходом событий, но не в состоянии влиять на него. Пассивная атака подобна криптоаналитической атаке со знанием только шифртекста. Поскольку участники протокола не обладают надежными средствами, позволяющими им определить, что они стали объектом пассивной атаки, для защиты от нее используются протоколы, дающие возможность предотвращать возможные неблагоприятные последствия пассивной атаки, а не распознавать ее.

Атакующий может попытаться внести изменения в протокол ради собственной выгоды. Он может выдать себя за участника протокола, внести изменения в сообщения, которыми обмениваются участники протокола, подменить информацию, которая хранится в компьютере и используется участниками протокола для принятия решений. Это активная атака на протокол, поскольку атакующий (назовем его Зиновием) может вмешиваться в процесс выполнения шагов протокола его участниками.

Итак, Петр пытается собрать максимум информации об участниках протокола и об их действиях. У Зиновия же совсем другие интересы — ухудшение производительности компьютерной сети, получение несанкционированного доступа к ее ресурсам, внесение искажений в базы данных. При этом и Петр, и Зиновий не обязательно являются совершенно посторонними лицами. Они могут быть легальными пользователями, системными и сетевыми администраторами, разработчиками программного обеспечения и даже участниками протокола, которые ведут себя непорядочно или даже вовсе не соблюдают этот протокол. В последнем случае атакующий называется мошенником. Пассивный мошенник следует всем правилам, которые определены протоколом, но при этом еще и пытается узнать о других участниках больше, чем предусмотрено этим протоколом. Активный мошенник вносит произвольные изменения в протокол, чтобы нечестным путем добиться для себя наибольшей выгоды.

Защита протокола от действий нескольких активных мошенников представляет собой весьма нетривиальную проблему. Тем не менее при некоторых условиях эту проблему удается решить, предоставив участникам протокола возможность вовремя распознать признаки активного мошенничества. А защиту от пассивного мошенничества должен предоставлять любой протокол вне зависимости от условий, в которые поставлены его участники.

Общие принципы построения вычислительных сетей