Оглавление |
---|
Информация |
---|
Данная статья не является частью официальной документации и представлена как пояснительный материал. |
Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Система Комплекс средств защиты информации Astra Linux Special Edition (далее - СЗИКСЗ) Astra Linux Special Edition оперирует следующими мандатными атрибутами:
- метка конфиденциальности:
- иерархический
- уровень конфиденциальности (далее по тексту
- — уровень конфиденциальности);
- неиерархические категории конфиденциальности (далее по тексту
- — категории конфиденциальности);
Неиерархический уровень - метка целостности:
- неиерархические категории целостности (далее по тексту - категории целостности);
- иерархический (линейный) уровень целостности (доступен начиная с Astra Linux Special Edition очередное обновление 1.8);
- Мандатные мандатные атрибуты управления доступом (в данной статье не рассматриваются).
- , см. статью Метка безопасности: структура и состав).
«Уровни» и «категории» конфиденциальности, «целостность» — в чем различия?
Первые два атрибута (Атрибуты уровень конфиденциальности и категория категории конфиденциальности) отвечают отвечают за то , чтобы информация не попадала к тому, кто не уполномочен её получать.
Уровень конфиденциальности
Классический пример уровней конфиденциальности - это степени повышающейся секретности документов (сущностей): "Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно", и соответствующие им уровни доступа к этим документам, назначенные персоналу (субъектам).
Очевидно, что в такой системе персоналу с уровнем доступа, например, "ДСП", разрешено читать только документы уровней "ДСП" и "Не секретно", и запрещено читать документы с более высокими уровнями конфиденциальности ("Секретно" и "Совершенно секретно").
Не столь очевидно, но персоналу с уровнем конфиденциальности, например "Секретно", запрещено передавать (преднамеренно или случайно) персоналу с более низким уровнем доступа "ДСП" документы уровня "Секретно" (теоретические подробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулы (англ. Bell-LaPadula).
Категории конфиденциальности
Для более точного управления доступом, в дополнение к разделению по уровням конфиденциальности,
СЗИ комплекс средств защиты информации КСЗ предоставляет возможность разделить материалы по сущности по категориям конфиденциальности.
Простой пример категорий конфиденциальности имеется в документе "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1", где описано использование двух условных категорий "Танки" и "Самолёты". При этом персонал, работающий с "Танками", и имеющий соответствующую категорию конфиденциальности, не сможет ни получать сведения о "Самолётах", ни передавать сведения о "Танках" тем, кто работает с "Самолётами", но, в то же время, условному "Руководителю" могут быть предоставлены одновременно обе категории конфиденциальности, чтобы "Руководитель" мог получать полный объём информации.
Итак, с помощью параметров уровень конфиденциальности и категории конфиденциальности СЗИ КСЗ обеспечивает защиту от несанкционированной передачи информации:
- Невозможность невозможность прочитать информацию, к которой не предоставлен доступ:
- "нижним" уровням запрещено читать информацию с "верхних" уровней;
- всем запрещено читать информацию, на которую нет разрешенной категории конфиденциальности;
- Невозможность невозможность передать информацию тому, кому не предоставлен доступ:
- "верхним" уровням запрещено записывать свою информацию на "нижние" уровни;
- всем запрещено передавать информацию тем, у кого нет соответствующей категории конфиденциальности.
Правила, по которым СЗИ КСЗ определяет возможность доступа к данным, описаны нижедалее.
Целостность
Атрибут уровень неиерархические категории целостности отвечает за то, чтобы информацию не могли изменять те, кому не положено её изменять. И, в В первую очередь , атрибут уровень целостности этот атрибут отвечает за безопасность самой информационной системы.Пример для пояснения:
Информация |
---|
Модель контроля целостности с 2007 г. реализуется в механизме MIC (Mandatory Integrity Control) всех ОС семейства Microsoft Windows, |
Теоретические подробности модели контроля целостности можно найти в описаниях модели безопасности Биба (англ. Biba)
).
В общем, требование защиты целостности выглядит так:
Субъектсубъект (процесс или пользователь)
, работающий на некотором уровне целостности,может записывать (изменять) только сущности (объекты)
своего, или более низкого уровняимеющие метки целостности меньшие или равные метке целостности субъекта (запись "вверх" запрещена).В СЗИ ОС
- в КСЗ Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) была реализована двухуровневая модель целостности
- ;
- начиная с
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- модель целостности расширена до многоуровневой;
- начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) в модель целостности включен иерархический уровень целостности.
Правила , по которым СЗИ КСЗ определяет возможность доступа к сущностям при работе с контролем целостности , также описаны нижедалее.
Сущности мандатного управления доступом
Система мандатного управления доступом работает со следующими понятиями:
Субъекты субъекты мандатного доступа (пользователь, процесс) - те, кто выполняет операции, подлежащие мандатному контролю;
Сущности сущности (объекты) мандатного доступа (файл, каталог и т.д.) - то, с чем выполняются операции, подлежащие мандатному контролю.
и определяет условия, при которых субъектам разрешено субъектам разрешено выполнять операции с сущностями (создавать, получать доступ к содержимому (читать), изменять).
Каждому субъекту и каждой сущности назначаются определённые мандатные атрибуты (или не назначаются никакие, что приравнивается к минимальным (нулевым) мандатным атрибутам).
Мандатные атрибуты субъекта/сущности объединяются в мандатный контекст этого субъекта/сущности.
Решение о возможности или невозможности выполнения операций доступа автоматически принимается СЗИ на основании сравнения меток безопасности субъекта и сущности.
Мандатный контекст, метка безопасности, мандатные атрибуты управления доступом
См. Метка безопасности: структура и состав
Атрибуты мандатного управления доступом
Иерархический уровень конфиденциальности (уровень конфиденциальности) - — единичное (скалярное) числовое значение (иногда называется "уровень секретности" или просто "уровень").
Каждой метке безопасности (классификационной метке в составе метки безопасности) в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
Числовые значения уровня конфиденциальности сущности:Все все сравнимы между собой;
Могут могут находится в диапазоне от 0 до 255, включая границы;
Технически технически реализованы как 8-ми битная беззнаковая величина (uint8_t);
В в пользовательских интерфейсах представляются десятичным значением представляются десятичным значением или наименованием единичного уровня конфиденциальности;
Теоретическитеоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения.
Неиерархические категории конфиденциальности (категории конфиденциальности) - — маска, состоящая из набора единичных значений категорий конфиденциальности (так жеприменяются название просто "категория") .
В Astra Linux Special Edition реализовано использование до 64-х единичных категорий конфиденциальности, таким образом, каждой метке безопасности (классификационной метке в составе метки безопасности)
в каждый момент времени могут быть назначены одновременно до 64-х категорий конфиденциальности. Единичные категории конфиденциальности несравнимы между собой.
Числовые значения категории конфиденциальности сущности:Частичночастично сравнимы между собой;
Определяются определяются как суммы значений назначенных единичных категорий конфиденциальности;
Могут могут принимать значения от 0 до 0xFFFF FFFF FFFF FFFF, включая границы;
Технически технически реализованы как 64-x битная маска, беззнаковая величина (unsigned long long);
В в пользовательских интерфейсах представляются шестнадцатеричным значением или списком наименований единичных представляются шестнадцатеричным значением или списком наименований единичных категорий конфиденциальности;
Теоретическитеоретически, множество возможных значений категорий конфиденциальности сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
Неиерархический уровень Неиерархические категории целостности (уровень целостности) - маска, состоящая из набора единичных значений уровней целостности (так же применяется название "категория целостности", или просто "целостность").
В Astra Linux Special Edition по умолчанию определены 7 ненулевых и несравнимых между собой единичных значений уровня целостности
(при настройке Astra Linux Special Edition количество единичных значений может быть увеличено до 8):№ п/п
Значение
Битовая маска
Комментарий
000
0000 0000
Нулевой уровень. "Низкий", или "Low"
1
001
0000 0001
Уровень задействован как "Сетевые сервисы"
2
002
0000 0010
Уровень задействован как "Виртуализация"
3
004
0000 0100
Уровень задействован как "Специальное ПО"
4
008
0000 1000
Уровень задействован как "Графический сервер"
5
016
0001 0000
Свободен, может быть использован для СУБД
6
032
0010 0000
Свободен, может быть использован для сетевых сервисов
7
064
0100 0000
Зарезервирован, и может быть использован при поднятии max_ilev
8
128
1000 0000
Зарезервирован, и может быть использован при поднятии max_ilev
Дополнительно зарезервировано специальное наименование
уровнянабора категорий целостности "Высокий" ("High")
.
Уровень "Высокий" не является единичным уровнем, а представляет, представляющего собой максимальную сумму единичных уровней, определённых в системе
(имеет значение 63 при использовании 6-ти уровней, или значение 255 при использовании 8-ми уровней целостности).
Таким образом, каждой метке безопасности (метке целостности в составе метки безопасности) в каждый момент времени могут быть назначены одновременно до 6-ти (8-ми) единичных уровней целостности.
Числовые значения уровня целостности сущности:Частичночастично сравнимы между собой;
Определяются определяются как суммы значений назначенных единичных уровней целостности;
Могут могут принимать значения от 0 до 63 (255), включая границы;
Технически технически реализованы как 8-ми битная маска, беззнаковая величина (uint8_t);
В в пользовательских интерфейсах представляются десятичным значением или наименованием единичного представляются десятичным значением или наименованием единичного уровня целостности;
Теоретическитеоретически, множество возможных значений уровня целостности сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
являющиеся суммами соответствующих единичных значений
- Иерархический уровень целостности (доступен начиная с Astra Linux Special Edition 1.8) — единичное (скалярное) числовое значение.
Каждой метке метке целостности в каждый момент времени может быть назначен один и только один иерархический уровень целостности.
Числовые значения иерархического уровня целостности сущности:- все сравнимы между собой;
- могут находится в диапазоне от -128 до 127, включая границы;
технически реализованы как 8-ми битная величина со знаком;
в пользовательских интерфейсах представляются десятичным значением или наименованием;
теоретически, множество возможных значений иерархического уровня целостности представляет собой линейное упорядоченное множество относительно операции сравнения.
Сравнение мандатных атрибутов
Операции сравнения уровней конфиденциальности, категорий конфиденциальности уровней целостности определяются следующим образом:
Уровень Иерархический уровень конфиденциальности (целостности) cL0 больше больше или равен иерархическому уровню конфиденциальности (целостности) cL1 (cL0 >= cL1),
если численное значение cL0 больше или равно численному значению cL1;.Категории конфиденциальности Набор неиерархических категорий конфиденциальности (целостности) C0 больше или равны категориям конфиденциальности больше или равен набору неиерархических категорий конфиденциальности (целостности) C1 ( C0 >= C1),
если все биты набора C1 являются подмножеством набора бит C0 или наборы совпадают.
В терминах побитовых операций:(C0 & C1) == C1;
Уровень целостности iL0 больше или равен уровню целостности iL1 (iL0 >= iL1),
если все биты набора iL1
являются подмножеством набора бит iL0 или наборы совпадают.
В терминах побитовых операций:(iL0 & iL1) == iL1.
Разрешения на доступ
Пусть метка безопасности субъекта содержит следующие атрибуты:
Классификационная классификационная метка:
Уровень уровень конфиденциальности cLсуб;
Категории категории конфиденциальности CcCсуб;
- Метка метка целостности:
- категории целостности iCсуб;
- иерархический уровень Уровень целостности iLсуб.;
а метка безопасности сущности содержит атрибуты:
Метка метка конфиденциальности:
Уровень уровень конфиденциальности cLоб;
Категории категории конфиденциальности CcCоб;
- метка целостности
категории целостности iСоб;
- иерархический уровень
- Уровень целостности iLоб.;
Тогда:
Операция записи разрешена, если
cLсуб = cLоб, CcCсуб = Cоб и , iLсуб >= iLоб, iСсуб >= iСоб.
то есть: уровниуровни конфиденциальности и категории конфиденциальности субъекта и
сущности совпадают (метки конфиденциальности совпадают),
категории целостности субъекта не ниже
категорий целостности сущности
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб);
- иерархический уровень целостности субъекта на ниже иерархического уровня целостности объекта (iCсуб >= iCоб).
- Операции чтения и исполнения разрешены, если
cLсуб >= cLоб и CcCсуб >= cCоб,
то есть: уровень- уровень конфиденциальности субъекта не ниже уровня конфиденциальности сущности
- ;
- единичные категории конфиденциальности сущности входят в единичные категории конфиденциальности субъекта
и разрешение не зависит от значений уровней целостности iLсуб и iLоб- (теоретически - значения сLсуб
- и cCсуб принадлежат верхним множествам cLоб
- и cCоб
- соответственно).
- в обновлениях Astra Linux Special Edition, выпущенных до очередного обновления x.8 разрешение на чтение не зависит от значений меток целостности, начиная с Astra Linux Special Edition x.8 метка целостности может быть учтена с помощью атрибута ssi.
Правила наследования и изменения
Если субъект создаёт создает другого субъекта (например, процесс создаёт создает процесс),
то созданный субъект полностью наследует метку безопасности родителя,
т.е. наследует и уровень конфиденциальности, и категории конфиденциальности , и уровень целостности ;целостности.- Если субъект создаёт создает сущность (например, процесс создаёт создает файл),
то созданная сущность наследует только классификационную метку родителя,
т.е. наследует только уровень конфиденциальности и категории конфиденциальности,
и, независимо от уровня целостности родителя, всегда получает нулевой уровень нулевую категорию целостности;. Изменять метку конфиденциальности сущности (т.е. изменять уровень конфиденциальности и/или категории конфиденциальности)
могут только субъекты c наличием привилегии PARSEC_CAP_CHMAC;.
- Изменять метку целостности сущности (т.е. изменять уровень целостности сущности)
могут только субъекты c наличием привилегии PARSEC_CAP_CHMAC и с максимальным ("Высоким") уровнем целостности.