Управление доступом к устройствам Процессы системные и пользовательские Механизм обеспечения замкнутости программной среды
Стандартный способ закрыть такой потайной ход состоит в том, чтобы удалить из исходного текста компилятора “вредный” код, а затем его перекомпилировать. Но при перекомпиляции опять не обойтись без компилятора. И Томпсон дописал свой компилятор так, чтобы тот распознавал, когда на его вход поступала исправленная версия его самого. В этом случае компилятор добавлял в нее код, который, в свою очередь, при компиляции программ с приглашением login дописывал в них код, дающий Томпсону привилегированный доступ, а также код, который позволял компилятору распознавать свою обновленную версию при перекомпиляции. Таким образом, не имеет значения, насколько надежным был криптографический алгоритм, который использовался для шифрования паролей пользователей операционной . системы UNIX. Потайной ход, придуманный Томпсоном, оставался открыт для него при любых условиях.

Управление доступом, посредством назначения меток безопасности субъектам доступа «ПРОЦЕСС». Мандатный механизм управления доступом процессов к ресурсам защищаемого объекта

Метки безопасности процессов

Ранее рассматривалось назначение меток безопасности субъекту доступа «ПОЛЬЗОВАТЕЛЬ». В этом случае основой для назначения метки безопасности служили уровень конфиденциальности информации и уровень доступа пользователя.

Теперь необходимо определиться исходя из чего следует назначать метки процессам (приложениям). В качестве критерия в этом случае может рассматриваться уровень защиты обрабатываемой информации, обеспечиваемой самим приложением (его внутренними механизмами). При этом могут быть сопоставлены метка безопасности объекта (категории информации) и метка безопасности приложения (процесса). Делается это в соответствии с требованиями к механизмам защиты по обработке информации соответствующей категории.

Итак, под меткой безопасности процесса (приложения) будем понимать классификационную метку, назначаемую в соответствии с уровнем защищенности, обеспечиваемым механизмами защиты приложения.

При этом условиями корректной настройки механизма мандатного управления доступом процессов являются следующие положения:

Метка безопасности, назначаемая процессу (сетевой службе), определяется меткой безопасности информации, обрабатываемой этой службой (должна совпадать с ней).

Метка безопасности, устанавливаемая на исполняемый файл процесса для задания полномочий на его запуск, должна совпадать с меткой безопасности, назначаемой пользователю.

Возможности управления доступом на основе меток безопасности, назначаемых приложениям (процессам), рассмотрим на примере мандатного управленпя доступом к виртуальным каналам внешней сети. Рассмотрим мандатный механизм управления доступом к виртуальным каналам сети связи в общем случае. При этом под виртуальным каналом связи будем понимать канал связи между двумя оконечными устройствами сети (защищаемыми компьютерами) Допустим теперь, что защищаемый компьютер требуется подключить к сети Intranet (корпоративный виртуальный канал связи). При этом, как и в предыдущей задаче, на компьютере осуществляется обработка информации различных уровней конфиденциальности. Пример практического использования Следует отметить, что в случае назначения метки безопасности процессам возникает проблема, которая отсутствует для ОС семейства Windows (в силу своих особенностей). Связана эта проблема с тем, что в системе одновременно могут быть запущены несколько процессов с различными правами доступа к ресурсам (с различными метками безопасности) Особое место среди файловых объектов занимают исполняемые файлы (программы), доступ субъектов к которым также может разграничиваться. Именно исполняемые файлы изначально порождают процессы. Поэтому в качестве разграничения доступа к процессам (как к объектам доступа) прежде всего следует разграничить доступ к исполняемым файлам. Каноническая модель управления доступом к исполняемым файлам Диспетчер доступа реализует механизм управления доступом к исполняемым файлам корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом. Каноническая полномочная модель управления доступом к исполняемым файлам

Распределение ролей

Чтобы описание протоколов было более наглядным, имена их участников однозначно определяют роли, им уготованные (табл. 7.1). Пусть Антон и Борис принимают участие во всех двухсторонних протоколах. Как правило, начинает выполнение шагов, предусмотренных протоколом, Антон, а ответные действия предпринимает Борис. Если протокол является трех- или четырехсторонним, исполнение соответствующих ролей берут на себя Владимир и Георгий. Об остальных персонажах подробнее будет рассказано позже.

Таблица 7.1. Роли, которые играют участники протоколов

Участник протокола

Роль в протоколе

Антон

Первый участник протоколов

Борис

Второй участник протоколов

Владимир

Участник трех- и четырехсторонних протоколов

Георгий

Участник четырехсторонних протоколов

Дмитрий

Доверенное лицо, наделенное правами арбитра

Зиновий

Злоумышленник

Кирилл

Контролер

Олег

Охранник

Петр

Подслушивает за участниками протоколов

Сергей

Свидетель

Протокол с арбитражем

Арбитр — участник протокола, которому остальные участники полностью доверяют, предпринимая соответствующие действия для завершения очередного шага протокола. Это значит, что у арбитра нет личной заинтересованности в достижении тех или иных целей, преследуемых участниками протокола, и он не может выступить на стороне любого из них. Участники протокола также принимают на веру все, что скажет арбитр, и беспрекословно следуют всем его рекомендациям.

В протоколах, которым мы следуем в повседневной жизни, роль арбитра чаще играет адвокат. Однако попытки перенести протоколы с адвокатом в качестве арбитра из повседневной жизни в компьютерные сети наталкиваются на существенные препятствия.

r Легко довериться адвокату, про которого известно, что у него

незапятнанная репутация, и с которым можно установить личный контакт. Однако если два участника протокола не доверяют друг другу, арбитр, не облаченный в телесную оболочку и существующий где-то в недрах компьютерной сети, вряд ли будет пользоваться у них доверием.

r Расценки за услуги, оказываемые адвокатом, известны. Кто и каким

образом будет оплачивать издержки за аналогичные услуги арбитра в компьютерной сети?

r Введение арбитра в любой протокол увеличивает время, затрачиваемое

 на реализацию этого протокола.

r Поскольку арбитр контролирует каждый шаг протокола, его участие в

очень сложных протоколах может стать узким местом при их реализации. Увеличение числа арбитров позволяет избавиться от данного узкого места, однако одновременно возрастут и накладные расходы на реализацию протокола.

r В силу того, что все участники протокола должны пользоваться

услугами одного и того же арбитра, действия злоумышленника, который решит нанести им ущерб, будут направлены, в первую очередь, против этого арбитра. Следовательно, арбитр представляет собой слабое звено любого протокола с арбитражем.

Несмотря на отмеченные препятствия, протоколы с арбитражем находят широкое применение на практике. В ходе дальнейшего изложения доверенное лицо, наделенное правами арбитра, будет именоваться Дмитрием.

Потайные ходы

Причины появления потайных ходов в криптографических системах довольно очевидны: их разработчики хотят иметь контроль над шифруемой в этих системах информацией и оставляют для себя возможность расшифровывать ее, не зная ключа пользователя. Средство, с помощью которых данная возможность реализуется на практике, и принято именовать потайным ходом. Иногда потайные ходы применяются для целей отладки, а после ее завершения разработчики в спешке просто забывают убрать их из конечного продукта.

Управление доступом