...
Оглавление
Система защиты информации (далее - СЗИ) ОССН Смоленск оперирует тремя понятиями:
- уровень конфиденциальности
- категории доступа
- уровень целостности
Что есть что в этом списке, в чем сходство и различие?
«Секретность» и «целостность» — в чем различия?
Секретность
Первые два параметра ("уровень конфиденциальности " и " категории доступа") отвечают за то , чтобы информация не попадала к тому, кто не дожен уполномочен её получать.
При этом,
...
.
Классический пример уровней конфиденциальности - степени повышающейся секретности "
...
Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно".
Очевидно, что в такой системе пользователю с уровнем допуска, например, "ДСП", разрешено читать только материалы уровня "ДСП" и "Не секретно",
и не разрешено читать материалы с более высоким уровнем секретности.
Не столь очевидно, что пользователю с уровнем допуска, например "Секретно", нельзя (преднамеренно или случайно) передать пользователю с более низким уровнем "ДСП" секретные материалы,
(теоретические поробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулла).
Для более точного управления доступом в дополнение к уровням конфиденциальности СЗИ предоставляет возможность разделить материалы по категориям доступа.
Простой пример категорий доступа имеется в Руководстве по СЗИ ОССН Смоленск, п. 4.8.10.7: использование двух категорий "Танки" и "Самолёты".
...
При этом, пользователь, работающий с "Танками" не сможет получить ни получать сведения о "Самолётах", ни передавать сведения о "Танках" тем, кто работает с "Самолётами"
Итак, с помощью параметров уровень конфиденциальности и категории доступа СЗИ обесечивает:
- невозможность прочитать информацию, к которой нет допуска (чтение "с верхнего уровня" "вниз" запрещено), так и
- невозможность передать информацию тому, у кого к ней нет допуска (записть "в верхнего уровня" "вниз" запрещена)
Правила, по которым СЗИ определяет возможность доступа к данным, описаны ниже.
Целостность
Параметр "уровень целостности" отвечает за то, чтобы информацию не могли изменять те, кому не положено её изменять.
И, в первую очередь, параметр "целостность" отвечает за безопасность самой информационной системы.
Пример для пояснения:
Информация |
---|
Модель контроля целостности с 2007 г. реализуется в механизме MIC (Mandatory Integrity Control) всех ОС семейства Microsoft Windows, |
(теоретические подробности модели можно найти в описаниях модели безопасности Биба).
В общем, требование защиты целостности выглядит так:
- процесс, работающий на некотором уровне целостности, может записывать (изменять) только в объекты своего или более низкого уровня (запись "наверх" запрещена).
В СЗИ ОССН Смоленск начиная с версии 1.5 реализована была реализована двухуровневая модель целостности,
а начиная с версии ОССН Смоленск 1.6 модель целостности расширена до многоуровневой.
Правила, по которым СЗИ определяет возможность доступа к данным при работе с контролем целостности, также описаны ниже.
Сущности мандатного доступа
Система мандатного доступа работает со следующими сущностями:
...
Решение о возможности или невозможности вполнения операций принимается на основании сравнения мандатных меток объекта и субъекта.
Мандатная метка, классификационная метка
Мандатная метка состоит из следующих атрибутов мандатного доступа:
классификационная метка, которая, в свою очередь состоит из атрибутов
уровень конфиденциальности сущности
категория доступа сущности
уровень целостности сущности
Кроме того, мандатная метка может иметь специальные флаги ccnr/ccnri (см. "Термины и сокращения")
Атрибуты мандатного доступа
уровень конфиденциальности - единичное (скалярное) числовое значение (иногда называется "уровень секретности" или просто "уровень").
Каждой мандатной (классификационной) метке в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
Числовые значения уровня конфиденциальности сущностивсе сравнимы между собой
могут находится в диапазоне 0 до 255, включая границы.
технически реализованы как 8-ми битная беззнаковая величина (uint8_t).
в пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня конфиденциальности.
Теоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения
...
категория доступа - маска, состоящая из набора единичных значений категорий доступа (так жеприменяются термин "решетка" и название просто "категория"), .
В ОССН реализовано использование до 64-х единичных категорий доступа, таким образом, каждой мандатной (классификационной метке)
в каждый момент времени могут быть назначены одновременно до 64-х категорий доступа. Единичные категории доступа несравнимы между собой.
Числовые значения категории доступа сущностичастично сравнимы между собой
определяются как суммы значений назначенных единичных категорий доступа
могут принимать значения от 0 до 0xFF FF FF FF FF FF FF FF0xFFFF FFFF FFFF FFFF, включая границы
технически реализованы как 64-x битная маска, беззнаковая величина (unsigned long long)
в пользовательских интерфейсах представляются шестнадцатиричным значением, или списком наименований единичных категорий доступа
Теоретически, множество возможных значений категорий доступа сущности представляет собой полное частично упорядоченное множество относительно операции сравнения
...
уровень конфиденциальности cL0 больше или равен уровню конфиденциальности cL1 (cL0 >= cL1),
если численное значение cL0 больше или равно численному значению cL1;уровень целостности iL0 больше или равен уровню целостности iL1 (iL0 >= iL1),
если все биты набора iL1 являются подмножеством набора бит iL0, или наборы совпадают;
в терминах побитовых операций(iL0 & iL1) == iL1
категория доступа C0 больше или равна категориям доступа C1 ( C0 >= C1),
если все биты набора C1 являются подмножеством набора бит C0; или наборы совпадают;
в терминах побитовых операций(C0 & C1) == C1
Разрешения на доступ
Пусть мандатная метка субъекта содержит
...
операция записи разрешена, если
cL
суб
= cL
об
, C
суб
= C
об
и iL
суб
>= iL
об
, то есть:
уровни конфиденциальности и категории доступа субъекта и объекта совпадают,
а уровень целостности субъекта не ниже уровня целостности объекта
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб)операции чтения и исполнения разрешены, если
cL
суб
>= cL
об
, C
суб
>= C
об
, и не зависят от уровней целостности
, то есть:
уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
а единичные категории доступа объекта входят в единичные категории доступа субъекта
(теоретически - значение сLсуб и Cсуб принадлежит верхним множествам cLоб и Cоб соответственно) .Правила наследования
В отношении атрибутов доступа действуют следующие правила наследования:
если в сессии порождаются другие процессы,то они наследуют метку целостности и конфиденциальности;Процесс на любом уровне целостности создает объект только с нулевым уровнем целостности.
Повысить уровень целостности может только субъект с высоким уровнем целостности и с наличием привилегииPARSEC_CAP_CHMAC
;Процесс создает объекты только полностью наследуя им свою метку конфиденциальности.
Изменить ее может только привилегированный процесс c привилегиейPARSEC_CAP_CHMAC
.