к.т.н.
Крючин О.В., Рыбаков М.А.
Тамбовский государственный
университет им. Г.Р. Державина, Россия
Реализация мандатного управления доступом в системе контроля
Терминус
Как
известно, мандатное управление (принудительный контроль) доступом — это способ,
сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным
процессам, данным системным устройствам и предназначенный для предотвращения их
нежелательного использования.
Согласно
требованиям ФСТЭК (федеральная служба по техническому и экспортному контролю)
мандатное управление доступом или «метки доступа» являются ключевым отличием
систем защиты Государственной Тайны РФ старших классов 1В и 1Б от младших
классов защитных систем на классическом разделении прав по матрице доступа [1].
Достоинство
данного подхода заключается в том, что пользователь не может полностью
управлять доступом к ресурсам (например документам), которые он создаёт,
поскольку политика безопасности системы, установленная администратором,
полностью определяет права (обычно пользователю не разрешается устанавливать
более свободный доступ к его ресурсам чем тот, который установлен
администратором). Тем самым обеспечивается изоляция пользователей и процессов,
как известных, так и неизвестных системе.
Описываемая в данной работе система Terminus реализует мандатное управление доступом при помощи технологии ACL (Access Control List). Данная технология расширяет возможности файловой системы Ext по управлению доступом. По умолчанию Terminus создает несколько уровней доступа — совершенно секретно, секретно, конфиденциально и несекретно. Система настраивает права таким образом, что доступ вверх запрещен всегда, а доступ вниз настраивается для каждой категории. Например, пользователь, входящий в группу «секретно» не имеет доступа к документам, помеченным как «совершенно секретно», а доступ к документам, помеченным как «конфиденциально» настраивается из панели управления системой — рис 1.
Рис. 1. Схема прав доступа к файлам.
Очевидно,
что система, которая обеспечивает разделение данных и операций в компьютере,
должна быть построена таким образом, чтобы её нельзя было «обойти». Она также
должна давать возможность оценивать полезность и эффективность используемых
правил и быть защищённой от постороннего вмешательства.
Идеи,
реализованные в системе Терминус не являются новыми. Изначально такой принцип
был воплощён в операционных системах Flask, и других ориентированных на
безопасность операционных системах.
Исследовательский проект АНБ SELinux добавил архитектуру мандатного контроля доступа к ядру Linux. В SUSE Linux и Ubuntu есть архитектура мандатного контроля доступа под названием AppArmor. Мандатная система разграничения доступа также реализована в ОС FreeBSD Unix.
Рис. 2. Редактирования мандатного доступа в системе Терминус.
В
сертифицированной в системах сертификации Минобороны России и ФСТЭК России
операционной системе специального назначения Astra Linux Special
Edition, механизм мандатного разграничения доступа реализован, как и
механизм дискреционного разграничения доступа в ядре ОС и СУБД. Решение о
запрете или разрешении доступа субъекта к объекту принимается на основе типа
операции (чтение/запись/исполнение), мандатного контекста безопасности,
связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Недостаток имеющихся реализаций заключается в привязке к конкретной платформе. Система Термину — напротив является навесной системой и может быть установлена на любую поддерживаемую операционную систему семейства GNU/Linux (в настоящее время поддерживаются 3 ветки — Suse, Mandriva и Debian).
Литература
1. Руководящий документ // [Электронный ресурс], Режим доступа: http://fstec.ru/