...
Система защиты информации (далее - СЗИ) ОС СН Смоленск оперирует тремя следующими мандатными атрибутами:
- Иерархический уровень конфиденциальности (далее по тексту- уровень конфиденциальности);
- Неиерархическая категория конфиденциальности (далее по тексту- категории доступа) ;
- Неиерархический уровень целостности (далее по тексту - уровень целостности);
- Мандатные атрибуты управления доступом (в данной статье не рассматриваютсясм. )
- Уровень конфиденциальности;
- Категории доступа;
- Уровень целостности.
Что есть что в этом списке, в чем сходство, и в чем различие?
...
Классический пример уровней конфиденциальности - это степени повышающейся секретности документов (сущностей) "Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно",
и соответствующие им уровни доступа к этим документам, назначенные персоналу (субъектам).
Очевидно, что в такой системе персоналу персоналу с уровнем доступа, например, "ДСП", разрешено читать только материалы документы уровней "ДСП" и "Не секретно",
и запрещено читать материалы документы с более высокими уровнями конфиденциальности ("Секретно" и "Совершенно секретно").
Не столь очевидно, но персоналу с уровнем конфиденциальности, например "Секретно",
запрещено (преднамеренно или случайно) передавать персоналу с более низким уровнем доступа "ДСП" материалы документы уровня "Секретно"
(теоретические подробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулы).
...
В общем, требование защиты целостности выглядит так:
- Процесс Субъект (процесс или пользователь), работающий на некотором уровне целостности, может записывать (изменять) только сущности (объекты) своего, или более низкого уровня (запись "вверх" запрещена).
В СЗИ ОС СН Смоленск начиная с версии 1.5 была реализована двухуровневая модель целостности,
далее, начиная с ОС СН Смоленск версии 1.6 и в ОС СН Ленинград 8.1, модель целостности расширена до многоуровневой.
Правила, по которым СЗИ определяет возможность доступа к данным сущностям при работе с контролем целостности, также описаны ниже.
...
Система мандатного доступа работает со следующими сущностямипонятиями:
Субъекты мандатного доступа (пользователь, процесс) - сущностите, выполняющие операциикто выполняет операции, подлежащие мандатному контролю;
Объекты Сущности (объекты) мандатного доступа (файл, каталог и т.д.) - сущностито, с которыми чем выполняются операции, подлежащие мандатному контролю.
и определяет условия, при которых субъектам разрешено выполнять операции с объектами сущностями (создавать, получать доступ к содержимому, изменять).
Каждая сущность обладает определёнными мандатными атрибутами Каждому субъекту и каждой сущность назначаются определённые мандатные атрибуты (или не обладает никакиминазначаются никакие, что приравнивается к минимальным (нулевым) мандатным атрибутам).
Мандатные атрибуты субъекта/сущности объединяются в мандатную (классификационную) метку (см. далее) мандатный контекст этого субъекта/сущности.
Решение о возможности или невозможности выполнения операций доступа автоматически принимается СЗИ на основании сравнения мандатных меток объекта субъекта и субъектасущности.
...
Мандатный контекст, мандатная метка,
...
мандатные атрибуты управления доступом
Атрибуты
...
мандатного доступа
...
Иерархический уровень конфиденциальности (уровень конфиденциальности)
Классификационная метка, которая, в свою очередь, состоит из атрибутов:
Уровень конфиденциальности сущности;
Категории доступа сущности.
Уровень целостности сущности.
Кроме того, мандатная метка может иметь специальный флаг ccnr (см. "Термины и сокращения")
Атрибуты мандатного доступа
Уровень конфиденциальности - единичное (скалярное) числовое значение (иногда называется "уровень секретности" или просто "уровень").
Каждой мандатной (классификационной) метке мандатной метке (метке конфиденциальности в составе мандатной метки) в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
Числовые значения уровня конфиденциальности сущности:Все сравнимы между собой;
Могут находится в диапазоне 0 до 255, включая границы;
Технически реализованы как 8-ми битная беззнаковая величина (uint8_t);
В пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня конфиденциальности;
Теоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения.
Категории доступа Неиерархические категории доступа (категории доступа) - маска, состоящая из набора единичных значений категорий доступа (так жеприменяются название просто "категория") .
В ОС СН Astra Linux SE реализовано использование до 64-х единичных категорий доступа, таким образом, каждой мандатной (классификационной) меткеметке (метке конфиденциальности в составе мандатной метки)
в каждый момент времени могут быть назначены одновременно до 64-х категорий доступа. Единичные категории доступа несравнимы между собой.
Числовые значения категории доступа сущности:Частично сравнимы между собой;
Определяются как суммы значений назначенных единичных категорий доступа;
Могут принимать значения от 0 до 0xFFFF FFFF FFFF FFFF, включая границы;
Технически реализованы как 64-x битная маска, беззнаковая величина (unsigned long long);
В пользовательских интерфейсах представляются шестнадцатеричным значением или списком наименований единичных категорий доступа;
Теоретически, множество возможных значений категорий доступа сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
Уровень целостности Неиерархический уровень целостности (уровень целостности) - маска, состоящая из набора единичных значений уровней целостности (так же применяется название "категория целостности", или просто "целостность").
В ОС СН Astra Linux SE по умолчанию определены 6 ненулевых и несравнимых между собой единичных значений уровня целостности
(при настройке ОС СН Astra Linux SE количество единичных значений может быть увеличено до 8):№ п/п
Значение
Битовая маска
Комментарий
000
0000 0000
Нулевой уровень. "Низкий", или "Low"
1
001
0000 0001
Уровень задействован как "Сетевые сервисы"
2
002
0000 0010
Уровень задействован как "Виртуализация"
3
004
0000 0100
Уровень задействован как "Специальное ПО"
4
008
0000 1000
Уровень задействован как "Графический сервер"
5
016
0001 0000
Свободен, может быть использован для СУБД
6
032
0010 0000
Свободен, может быть использован для сетевых сервисов
7
064
0100 0000
Зарезервирован, и может быть использован при поднятии max_ilev
8
128
1000 0000
Зарезервирован, и может быть использован при поднятии max_ilev
Дополнительно зарезервировано специальное наименование уровня целостности "Высокий" ("High").
Уровень "Высокий" не является единичным уровнем, а представляет собой максимальную сумму единичных уровней, определённых в системе
(имеет значение 63 при использовании 6-ти уровней, или значение 255 при использовании 8-ми уровней целостности).
Таким образом, каждой мандатной метке (метке целостности в составе мандатной метки) в каждый момент времени могут быть назначены одновременно до 6-ти (8-ми) единичных уровней целостности.
Числовые значения уровня целостности сущности:Частично сравнимы между собой;
Определяются как суммы значений назначенных единичных уровней целостности;
Могут принимать значения от 0 до 63 (255), включая границы;
Технически реализованы как 8-ми битная маска, беззнаковая величина (uint8_t);
В пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня целостности;
Теоретически, множество возможных значений уровня целостности сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
Далее в тексте под терминами "уровень целостности" и "категория доступа" будут пониматься значения соответствующих мандатных атрибутов, |
...
Пусть мандатная метка субъекта содержит следующие атрибуты:
Классификационная меткаМетка конфиденциальности:
Уровень конфиденциальности cLсуб;
Категории доступа Cсуб;
- Метка целостности
- Уровень целостности iLсуб.
а мандатная метка объекта сущности содержит атрибуты:
- Классификационная метка
Метка конфиденциальности:
Уровень конфиденциальности cLоб;
Категория доступа Cоб;
- Метка целостности
Уровень целостности iLоб.
Тогда:
Операция записи разрешена, если
cLсуб = cLоб, Cсуб = Cоб и iLсуб >= iLоб,
то есть: уровни конфиденциальности и категории доступа субъекта и объекта сущности совпадают,
и уровень целостности субъекта не ниже уровня целостности объектасущности
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб);- Операции чтения и исполнения разрешены, если
cLсуб >= cLоб и Cсуб >= Cоб,
то есть: уровень конфиденциальности субъекта не ниже уровня конфиденциальности объектасущности,
единичные категории доступа объекта сущности входят в единичные категории доступа субъекта,
и разрешение не зависит от значений уровней целостности iLсуб и iLоб
(теоретически - значения сLсуб и Cсуб принадлежат верхним множествам cLоб и Cоб соответственно) .
Правила наследования
...
и изменения
Если субъект создаёт другого
В отношении атрибутов доступа действуют следующие правила наследования:
Если субъект создаёт сущность, которая выступает в роли субъекта (например, процесс создаёт процесс),
то созданная сущность созданный субъект полностью наследует мандатную метку родителя,
т.е. наследует и классификационную метку (наследует и уровень конфиденциальности, и категории доступа),
и уровень целостности ;- Если субъект создаёт сущность, являющуюся объектом (например, процесс создаёт файл),
то созданная сущность наследует только классификационную метку конфиденциальности родителя,
т.е. наследует только уровень конфиденциальности и категории доступа,
и, независимо от уровня целостности родителя, всегда получает нулевой уровень целостности; Изменить классификационную Изменять метку объекта конфиденциальности сущности (т.е. изменить изменять уровень конфиденциальности и/или категории доступа)
может могут только субъект субъекты c привилегией PARSECналичием привилегии PARSEC_CAP_CHMAC;
- Изменить Изменять метку целостности сущности (т.е. изменять уровень целостности объектасущности)
может только субъект могут только субъекты c наличием привилегии PARSEC_CAP_CHMAC и с максимальным ("Высоким") уровнем целостности,
и с наличием привилегии PARSEC_CAP_CHMAC.