Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »


Система защиты информации (далее - СЗИ) ОССН Смоленск оперирует тремя понятиями:

  • уровень конфиденциальности
  • категории доступа 
  • уровень целостности

Что есть что в этом списке, в чем сходство и различие?

«Секретность» и «целостность» — в чем различия?

Секретность

Первые два параметра (уровень конфиденциальности и категории доступа) отвечают за то , чтобы информация не попадала к тому,  кто не уполномочен её получать.

Классический пример уровней конфиденциальности - степени повышающейся секретности "Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно".

Очевидно, что в такой системе пользователю  с уровнем допуска, например,  "ДСП", разрешено читать только  материалы уровня "ДСП" и "Не секретно", 
и не разрешено читать материалы с более высоким уровнем секретности.

Не столь очевидно, что пользователю с уровнем допуска, например "Секретно", нельзя (преднамеренно или случайно) передать пользователю с более низким уровнем "ДСП" секретные материалы,
(теоретические поробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулла).

Для более точного управления доступом в дополнение к уровням конфиденциальности СЗИ предоставляет возможность разделить материалы по категориям доступа.
Простой пример категорий доступа имеется в Руководстве по СЗИ ОССН Смоленск, п. 4.8.10.7:  использование двух категорий "Танки" и "Самолёты".
При этом, пользователь, работающий с "Танками" не сможет получить ни получать сведения о "Самолётах", ни передавать сведения о "Танках" тем, кто работает с "Самолётами"

Итак, с помощью параметров  уровень конфиденциальности и категории доступа СЗИ обесечивает:

  • невозможность прочитать информацию, к которой нет допуска (чтение "с верхнего уровня" "вниз" запрещено), так и
  • невозможность  передать информацию тому, у кого к ней нет допуска (записть "в верхнего уровня" "вниз" запрещена)

Правила, по которым СЗИ определяет возможность  доступа к данным, описаны ниже. 

Целостность

Параметр "уровень целостности" отвечает за то, чтобы информацию не могли изменять те, кому не положено её изменять.

И, в первую очередь, параметр "целостность" отвечает за безопасность самой информационной системы.

Пример для пояснения:


Модель контроля целостности с 2007 г. реализуется в механизме MIC (Mandatory Integrity Control) всех ОС семейства Microsoft Windows,
где показала свою эффективность при противодействии компьютерным вирусам и атакам, направленным на несанкционированное повышение привилегий. 

(теоретические подробности модели можно найти в описаниях модели безопасности Биба).

В общем, требование защиты целостности выглядит так:

  • процесс, работающий на некотором уровне целостности, может записывать (изменять) только в объекты своего или более низкого уровня (запись "наверх" запрещена).

В СЗИ ОССН Смоленск начиная с версии 1.5 реализована была реализована двухуровневая модель целостности, 
а начиная с версии ОССН Смоленск 1.6 модель целостности расширена до многоуровневой.

Правила, по которым СЗИ определяет возможность  доступа к данным при работе с контролем целостности, также описаны ниже. 

Сущности мандатного доступа

Система мандатного доступа работает со следующими сущностями:

  • субъекты мандатного доступа (пользователь, процесс) - сущности, выполняющие операции

  • объекты мандатного доступа (пользователь, процесс, файл, каталог и т.д.) - сущности, с которыми выполняются операции 

и определяет условия, при которых субъектам разрешено выполнять операции с объектами (создавать, получать доступ к содержимому, изменять).

Каждая сущность обладает определёнными мандатными атрибутами (или не обладает никакими, что приравнивается к нулевым мандатным атрибутам). 
Мандатные атрибуты объединяются в мандатную (классификационную) метку (см. далее) сущности. 

Решение о возможности или невозможности вполнения операций принимается на основании сравнения мандатных меток объекта и субъекта.

Мандатная метка, классификационная метка

  • Мандатная метка состоит из следующих атрибутов мандатного доступа:

    • классификационная метка, которая, в свою очередь состоит из атрибутов

      • уровень конфиденциальности сущности

      • категория доступа сущности

    • уровень целостности сущности

Кроме того, мандатная метка может иметь специальные флаги ccnr/ccnri (см. "Термины и сокращения")

Атрибуты мандатного доступа

  • уровень конфиденциальности - единичное (скалярное) числовое значение (иногда называется  "уровень секретности" или просто "уровень").
    Каждой мандатной (классификационной) метке в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
    Числовые значения уровня конфиденциальности сущности

    • все сравнимы между собой

    • могут находится в диапазоне 0 до 255, включая границы.

    • технически реализованы как 8-ми битная беззнаковая величина (uint8_t).

    • в пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня конфиденциальности.

    • Теоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения


  • категория доступа - маска, состоящая из набора единичных значений категорий доступа (так же применяются термин "решетка" и название просто "категория"), .
    В ОССН
    реализовано использование до 64-х единичных категорий доступа, таким образом, каждой мандатной (классификационной метке)
    в каждый момент времени могут быть назначены одновременно до 64-х категорий доступа. Единичные категории доступа несравнимы между собой.
    Числовые значения категории доступа сущности

    • частично сравнимы между собой

    • определяются как суммы значений назначенных единичных категорий доступа

    • могут принимать значения от 0 до 0xFFFF FFFF FFFF FFFF, включая границы

    • технически реализованы как 64-x битная маска,  беззнаковая величина (unsigned long long)

    • в пользовательских интерфейсах представляются шестнадцатиричным значением, или списком наименований единичных категорий доступа

    • Теоретически, множество возможных значений категорий доступа сущности представляет собой полное частично упорядоченное множество относительно операции сравнения


  • уровень целостности - маска, состоящая из набора единичных значений уровней целостности (так же применяются термин "решетка", и назывние "категория целостности", или просто "целостность"), .
    В ОССН по умолчанию определены 6 ненулевых и несравнимых между собой единичных значений уровня целостности
    (при настройке ОССН количество единичных значений может быть увеличено до 8):

    п/п

    Значение

    Битовая маска

    Комментарий


    000

    0000 0000

    Нулевой уровень. "Низкий", или "Low"

    1

    001

    0000 0001

    Уровень задействован как "Сетевые сервисы"

    2

    002

    0000 0010

    Уровень задействован как "Виртуализация"

    3

    004

    0000 0100

    Уровень задействован как "Специальное ПО"

    4

    008

    0000 1000

    Уровень задействован как "Графический сервер"

    5

    016

    0001 0000

    Свободен, может быть использован для сетевых сервисов

    6

    032

    0010 0000

    Свободен, может быть использован для сетевых сервисов

    7

    064

    0100 0000

    Зарезервирован, и может быть использован при поднятии max_ilev

    8

    128

    1000 0000

    Зарезервирован, и может быть использован при поднятии max_ilev

    Дополнительно, зарезервировано специальное наименование уровня целостности "Высокий" ("High"), 
    не являющегося единичным уровнем, а представляющего максимальный уровень, определённый в системе (63 или 255).

    Таким образом, каждой мандатной (классификационной метке) в каждый момент времени могут быть назначены одновременно до 6-ти (8-ми) единичных уровней целостности.
    Числовые значения уровня целостности сущности

    • частично сравнимы между собой

    • определяются как суммы значений назначенных единичных уровней целостности

    • можгут принимать значения от 0 до 63 (255), включая границы

    • технически реализованы как 8-ми битная маска,  беззнаковая величина (uint8_t)

    • в пользовательских интерфейсах представляются десятичным значением, или наименованием единичного уровня целостности

    • Теоретически, множество возможных значений уровня целостности сущности представляет собой полное частично упорядоченное множество  относительно операции сравнения

Далее в тексте под терминами "уровень целостности" и "категория доступа" будут пониматься значения соответствующих атрибутов,
являющиеся суммами соответствующих единичных значений.

Сравнение мандатных атрибутов

Операции сравнения уровней конфиденциальности, уровней целостности и категорий доступа определяются следующим образом:

  • уровень конфиденциальности cL0 больше или равен уровню конфиденциальности cL1 (cL0 >= cL1),
    если численное значение cL0 больше или равно численному значению cL1;

  • уровень целостности iL0 больше или равен уровню целостности iL1 (iL0 >= iL1),
    если все биты набора iL
    1 являются подмножеством набора бит iL0, или наборы совпадают;
    в терминах побитовых операций 
    (iL0 & iL1) == iL1

  • категория доступа C0 больше или равна категориям доступа C1 ( C0 >= C1),
    если все биты набора C1 являются подмножеством набора бит C0; или наборы совпадают;
    в терминах побитовых операций 
    (C0 & C1) == C1

Разрешения на доступ

Пусть мандатная метка субъекта содержит

  • классификационная метка 

    • уровень конфиденциальности cLсуб,

    • уровень целостности iLсуб,

  • категория доступа Cсуб,

а мандатная метка объекта содержит

  • классификационная метка

    • уровень конфиденциальности cLоб,

    • уровень целостности iLоб

  • категория доступа Cоб.

Тогда:

  • операция записи разрешена, если
    cLсуб = cLоб, Cсуб = Cоб и iLсуб >= iLоб, то есть:
    уровни конфиденциальности и категории доступа субъекта и объекта  совпадают,
    а уровень целостности субъекта не ниже уровня целостности объекта
    (теоретически - значение iL
    суб принадлежит верхнему множеству iLоб

  • операции чтения и исполнения разрешены, если
    cLсуб >= cLоб, Cсуб >= Cоб, и не зависят от уровней целостности, то есть:
    уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
    а единичные категории доступа объекта входят в единичные категории доступа субъекта
    (теоретически - значение сL
    суб и Cсуб принадлежит верхним множествам cLоб и  Cоб соответственно) .

    Правила наследования

В отношении атрибутов доступа действуют следующие правила наследования:

  • если в сессии порождаются другие процессы,
    то они наследуют метку целостности и конфиденциальности;

  • Процесс на любом уровне целостности создает объект только с нулевым уровнем целостности.
    Повысить уровень целостности может только субъект с высоким уровнем целостности и с наличием привилегии 
    PARSEC_CAP_CHMAC;

  • Процесс создает объекты только полностью наследуя им свою метку конфиденциальности.
    Изменить ее может только привилегированный процесс c привилегией 
    PARSEC_CAP_CHMAC


  • No labels