Справочный центр

Дерево страниц

Сравнение версий

Старая версия 41

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация
Данная статья не является частью официальной документации и представлена как пояснительный материал.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition


Система  Комплекс средств защиты информации Astra Linux Special Edition (далее - СЗИКСЗ) Astra Linux Special Edition оперирует следующими мандатными атрибутами:

  • метка конфиденциальности:
      Иерархический
      • иерархический уровень конфиденциальности (далее по тексту
      -
      • уровень конфиденциальности);
      Неиерархическая категория
      • неиерархические категории конфиденциальности (далее по тексту
      -
      • категории конфиденциальности);

      Неиерархический уровень

    • метка целостности:
      • неиерархические категории целостности (далее по тексту - категории целостности);
      • иерархический (линейный) уровень целостности (доступен начиная с Astra Linux Special Edition очередное обновление 1.8);
    • Мандатные мандатные атрибуты управления доступом (в данной статье не рассматриваются).
    Что есть что в этом списке, в чем сходство, и в чем различие?

    «Уровни» и «категории» конфиденциальности, «целостность» — в чем различия?

    Первые два атрибута (Атрибуты уровень конфиденциальности и категория категории конфиденциальности) отвечают  отвечают за то , чтобы информация не попадала к тому,  кто не уполномочен её получать.

    Уровень конфиденциальности

    Классический пример уровней конфиденциальности - это степени повышающейся секретности документов (сущностей): "Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно",
    и соответствующие им уровни доступа к этим документам, назначенные персоналу (субъектам).

    Очевидно, что в такой системе персоналу с уровнем доступа, например,  "ДСП", разрешено читать только  документы уровней "ДСП" и "Не секретно",  
    и запрещено читать документы с более высокими уровнями конфиденциальности ("Секретно" и "Совершенно секретно").

    Не столь очевидно, но персоналу с уровнем конфиденциальности, например "Секретно", 
    запрещено передавать (преднамеренно или случайно) персоналу с более низким уровнем доступа "ДСП" документы уровня "Секретно" 
    (теоретические подробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулы (англ. Bell-LaPadula).

    Категории конфиденциальности

    Для более точного управления доступом, в дополнение к разделению по уровням конфиденциальности,
    СЗИ комплекс средств защиты информации КСЗ предоставляет возможность разделить материалы по сущности по категориям конфиденциальности.

    Простой пример категорий конфиденциальности имеется в Руководстве по СЗИ ОС Astra Linux Special Edition документе "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01 (очередное обновление 1.6), п. 4.8.10.7:  использование двух -1", где описано использование двух условных категорий "Танки" и "Самолёты".
    При этом , персонал, работающий с "Танками", и имеющий соответствующую категорию конфиденциальности, не сможет ни получать сведения о "Самолётах", ни передавать сведения о "Танках" тем, кто работает с "Самолётами",
    но, в то же время, условному "Руководителю" могут быть предоставлены одновременно обе категории конфиденциальности, чтобы "Руководитель" мог получать полный объём информации.

    Итак, с помощью параметров  уровень конфиденциальности и категории конфиденциальности СЗИ КСЗ обеспечивает защиту от несанкционированной передачи информации:

    • Невозможность невозможность прочитать информацию, к которой не предоставлен доступ:
      • "нижним" уровням запрещено читать информацию с "верхних" уровней;
      • всем запрещено читать информацию, на которую нет разрешенной категории конфиденциальности;
    • Невозможность  невозможность  передать информацию тому, кому не предоставлен доступ:
      • "верхним" уровням запрещено записывать свою информацию на "нижние" уровни;
      • всем запрещено передавать информацию тем, у кого нет соответствующей категории конфиденциальности.

    Правила, по которым СЗИ КСЗ определяет возможность  доступа к данным, описаны нижедалее. 

    Целостность

    Атрибут уровень неиерархические категории целостности отвечает за то, чтобы информацию не могли изменять те, кому не положено её изменять. И, в В первую очередь , атрибут уровень целостности этот атрибут отвечает за безопасность самой информационной системы.Пример для пояснения:

    Информация

    Модель контроля целостности с 2007 г. реализуется в механизме MIC (Mandatory Integrity Control) всех ОС семейства Microsoft Windows,
    где показала свою эффективность при противодействии компьютерным вирусам и атакам, направленным на несанкционированное повышение привилегий. 

    (теоретические

    Теоретические подробности модели контроля целостности можно найти в описаниях модели безопасности Биба (англ. Biba)

    )

    .

    В общем, требование защиты целостности выглядит так:

    Субъект

    субъект (процесс или пользователь)

    , работающий на некотором уровне целостности,

    может записывать (изменять) только сущности (объекты)

    своего, или более низкого уровня

    имеющие метки целостности меньшие или равные метке целостности субъекта (запись "вверх" запрещена).В СЗИ ОС

    • в КСЗ Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) была реализована двухуровневая модель целостности
    , далее,
    • ;
    • начиная с
    ОС
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и
    в ОС
    • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
    ,
    • модель целостности расширена до многоуровневой;
    • начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) в модель целостности включен иерархический уровень целостности.

    Правила , по которым СЗИ КСЗ определяет возможность  доступа к сущностям при работе с контролем целостности , также описаны нижедалее

    Сущности мандатного управления доступом

    Система мандатного управления доступом работает со следующими понятиями:

    • Субъекты субъекты мандатного доступа (пользователь, процесс) - те, кто выполняет операции, подлежащие мандатному контролю;

    • Сущности сущности (объекты) мандатного доступа (файл, каталог и т.д.) - то, с чем выполняются операции, подлежащие мандатному контролю.

    и определяет условия, при которых субъектам разрешено субъектам разрешено выполнять операции с сущностями (создавать, получать доступ к содержимому (читать), изменять).

    Каждому субъекту и каждой сущность сущности назначаются определённые мандатные атрибуты (или не назначаются никакие, что приравнивается к минимальным (нулевым) мандатным атрибутам). 
    Мандатные атрибуты субъекта/сущности объединяются в мандатный контекст этого субъекта/сущности. 

    Решение о возможности или невозможности выполнения операций доступа автоматически принимается СЗИ на основании сравнения меток безопасности субъекта и сущности.

    Мандатный контекст,  метка безопасности,  мандатные атрибуты управления доступом

    См. Метка безопасности: структура и состав

    Атрибуты мандатного управления доступом

    • Иерархический уровень конфиденциальности (уровень конфиденциальности) - единичное (скалярное) числовое значение (иногда называется  "уровень секретности" или просто "уровень").
      Каждой метке безопасности (классификационной метке в составе метки безопасности) в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
      Числовые значения уровня конфиденциальности сущности:

      • Все все сравнимы между собой;

      • Могут могут находится в диапазоне от 0 до 255, включая границы;

      • Технически технически реализованы как 8-ми битная беззнаковая величина (uint8_t);

      • В в пользовательских интерфейсах представляются десятичным значением представляются десятичным значением или наименованием единичного уровня конфиденциальности;

      • Теоретическитеоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения.


    • Неиерархические категории конфиденциальности (категории конфиденциальности) - маска, состоящая из набора единичных значений категорий конфиденциальности (так жеприменяются название просто "категория") .
      В Astra Linux Special Edition       реализовано использование до 64-х единичных категорий конфиденциальности, таким образом, каждой метке безопасности  (классификационной метке в составе метки безопасности)
      в каждый момент времени могут быть назначены одновременно до 64-х категорий конфиденциальности. Единичные категории конфиденциальности несравнимы между собой.
      Числовые значения категории конфиденциальности сущности:

      • Частичночастично сравнимы между собой;

      • Определяются определяются как суммы значений назначенных единичных категорий конфиденциальности;

      • Могут могут принимать значения от 0 до 0xFFFF FFFF FFFF FFFF, включая границы;

      • Технически технически реализованы как 64-x битная маска,  беззнаковая величина (unsigned long long);

      • В в пользовательских интерфейсах представляются шестнадцатеричным значением или списком наименований единичных представляются шестнадцатеричным значением или списком наименований единичных категорий конфиденциальности;

      • Теоретическитеоретически, множество возможных значений категорий конфиденциальности сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.


    • Неиерархический уровень Неиерархические категории целостности (уровень целостности) - маска, состоящая из набора единичных значений уровней целостности (так же применяется  название "категория целостности", или просто "целостность").
      В Astra Linux Special Edition по умолчанию определены 7 ненулевых и несравнимых между собой единичных значений уровня целостности
      (при настройке Astra Linux Special Edition количество единичных значений может быть увеличено до 8):

      п/п

      Значение

      Битовая маска

      Комментарий


      000

      0000 0000

      Нулевой уровень. "Низкий", или "Low"

      1

      001

      0000 0001

      Уровень задействован как "Сетевые сервисы"

      2

      002

      0000 0010

      Уровень задействован как "Виртуализация"

      3

      004

      0000 0100

      Уровень задействован как "Специальное ПО"

      4

      008

      0000 1000

      Уровень задействован как "Графический сервер"

      5

      016

      0001 0000

      Свободен, может быть использован для СУБД

      6

      032

      0010 0000

      Свободен, может быть использован для сетевых сервисов

      7

      064

      0100 0000

      Зарезервирован, и может быть использован при поднятии max_ilev

      8

      128

      1000 0000

      Зарезервирован, и может быть использован при поднятии max_ilev

      Дополнительно зарезервировано специальное наименование

      уровня

      набора категорий целостности "Высокий" ("High")


      Уровень "Высокий" не является единичным уровнем, а представляет

      представляющего собой максимальную сумму единичных уровней, определённых в системе


      (имеет значение 63 при использовании 6-ти уровней, или значение 255 при использовании 8-ми уровней целостности).

      Таким образом, каждой метке безопасности (метке целостности в составе метки безопасности) в каждый момент времени могут быть назначены одновременно до 6-ти (8-ми) единичных уровней целостности.
      Числовые значения уровня целостности сущности:

      • Частичночастично сравнимы между собой;

      • Определяются определяются как суммы значений назначенных единичных уровней целостности;

      • Могут могут принимать значения от 0 до 63 (255), включая границы;

      • Технически технически реализованы как 8-ми битная маска,  беззнаковая величина (uint8_t);

      • В в пользовательских интерфейсах представляются десятичным значением или наименованием единичного представляются десятичным значением или наименованием единичного уровня целостности;

      • Теоретическитеоретически, множество возможных значений уровня целостности сущности представляет собой полное частично упорядоченное множество  относительно операции сравнения.

    Далее в тексте под терминами "уровень целостности" и "категория конфиденциальности" будут пониматься значения соответствующих мандатных атрибутов,
    являющиеся суммами соответствующих единичных значений
    • Иерархический уровень целостности (доступен начиная с Astra Linux Special Edition 1.8) — единичное (скалярное) числовое значение.
      Каждой метке метке целостности в каждый момент времени может быть назначен один и только один иерархический уровень целостности.
      Числовые значения иерархического уровня целостности сущности:
      • все сравнимы между собой;
      • могут находится в диапазоне от -128 до 127, включая границы;

      • технически реализованы как 8-ми битная величина со знаком;

      • в пользовательских интерфейсах представляются десятичным значением или наименованием;

      • теоретически, множество возможных значений иерархического уровня целостности представляет собой линейное упорядоченное множество относительно операции сравнения.

    Сравнение мандатных атрибутов

    Операции сравнения уровней конфиденциальности, категорий конфиденциальности уровней целостности определяются следующим образом:

    • Уровень Иерархический уровень конфиденциальности (целостности) cL0 больше больше или равен иерархическому уровню конфиденциальности (целостности) cL1 (cL0 >= cL1),
      если численное значение cL0 больше или равно численному значению cL1;.

    • Категории конфиденциальности Набор неиерархических категорий конфиденциальности (целостности) C0 больше или равны категориям конфиденциальности больше или равен набору неиерархических категорий конфиденциальности (целостности) C1 ( C0 >= C1),
      если все биты набора C1 являются подмножеством набора бит C0 или наборы совпадают.
      В терминах побитовых операций:  (C& C1) == C1;Уровень целостности iL0 больше или равен уровню целостности iL1 (iL0 >= iL1),
      если все биты набора iL      1 являются подмножеством набора бит iL0 или наборы совпадают.
      В терминах побитовых операций:       (iL& iL1) == iL1.

    Разрешения на доступ

    Пусть метка безопасности субъекта содержит следующие атрибуты:

    • Классификационная классификационная метка: 

      • Уровень уровень конфиденциальности cLсуб;

      • Категории категории конфиденциальности CcCсуб;

    • Метка метка целостности:

      • категории целостности iCсуб;
      • иерархический уровень Уровень целостности iLсуб.;

    а метка безопасности сущности содержит атрибуты:

    • Метка метка конфиденциальности:

      • Уровень уровень конфиденциальности cLоб;

      • Категории категории конфиденциальности CcCоб;

    • метка целостности
      Метка

      • категории целостности об;Уровень

      • иерархический уровень целостности iLоб.;

    Тогда:

    • Операция записи разрешена, если
      cLсуб = cLоб, CcCсуб = Cоб и , iLсуб >= iLоб, суб >= об.
      то есть: уровни

      • уровни конфиденциальности и категории конфиденциальности субъекта и

      сущности 

      • сущности совпадают (метки конфиденциальности совпадают),

      и уровень

      • категории целостности субъекта не ниже

      уровня

      • категорий целостности сущности


      • (теоретически - значение iLсуб принадлежит верхнему множеству iLоб);

      • иерархический уровень целостности субъекта на ниже иерархического уровня целостности объекта (iCсуб >= iCоб).
    • Операции чтения и исполнения разрешены, если
      cLсуб >= cLоб и CcCсуб >=  cCоб,
      то есть: уровень
      • уровень конфиденциальности субъекта не ниже уровня конфиденциальности сущности
      ,
      • ;
      • единичные категории конфиденциальности сущности входят в единичные категории конфиденциальности субъекта
      ,
      и разрешение не зависит от значений уровней целостности iLсуб и iLоб
      • (теоретически - значения сLсуб
       и C
      • и cCсуб принадлежат верхним множествам cLоб
       и  C
      • и  cCоб
       соответственно)
      • соответственно).
      • в обновлениях Astra Linux Special Edition, выпущенных до очередного обновления x.8 разрешение на чтение не зависит от значений меток целостности, начиная с Astra Linux Special Edition x.8 метка целостности может быть учтена с помощью атрибута ssi.

    Правила наследования и изменения

    • Если субъект создаёт создает другого субъекта  (например, процесс создаёт создает процесс),
      то созданный субъект полностью наследует метку безопасности родителя,
      т.е. наследует и уровень конфиденциальности, и категории конфиденциальности , и уровень целостности ;целостности.

    • Если субъект создаёт создает сущность (например, процесс создаёт создает файл),
      то созданная сущность наследует только классификационную метку родителя,
      т.е. наследует только уровень конфиденциальности и категории конфиденциальности, 
      и, независимо от уровня целостности родителя, всегда получает нулевой уровень нулевую категорию целостности;.

    • Изменять метку конфиденциальности сущности (т.е. изменять уровень конфиденциальности и/или категории конфиденциальности) 
      могут только субъекты c наличием привилегии PARSEC_CAP_CHMAC;.

    • Изменять метку целостности сущности (т.е. изменять уровень целостности сущности)
      могут только субъекты c наличием привилегии PARSEC_CAP_CHMAC и с максимальным ("Высоким") уровнем целостности.