РАЗВИТИЕ СТАНДАРТНЫХ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА В ОС семейства WINDOWS
2000/XP/2003
А.В. Лукьянов
(Москва, Московский энергетический институт (Технический
университет), Россия)
Данная работа посвящена решению проблемы
неконтролируемой утечки информации из конфиденциальных объектов в открытые
(незащищенные) объекты в компьютерных системах, использующих дискреционную модель разграничения доступа к
ресурсам. Предлагается метод, позволяющий реализовать мандатное разграничение
доступа для выделенного подмножества объектов в операционных системах семейства
Windows 2000/XP/2003. ОС Microsoft являются на сегодняшний день
наиболее распространенными в мире. В тоже время штатные средства разграничения
доступа, основанные на дискреционной модели, не позволяют решить проблему
потенциальной утечки конфиденциальной информации. В этой связи тема работы
является весьма и весьма актуальной.
Защита от
несанкционированного доступа и воздействия на информацию в компьютерных
системах решается с помощью методов аутентификации (подтверждения подлинности
субъектов доступа), авторизации (разграничения прав субъектов) и
администрирования (определения и реализации адекватной угрозам политики
безопасности). Для разграничения прав доступа к объектам в компьютерных системах
применяются различные модели безопасности. Наиболее распространенными на
сегодняшний день являются дискреционное и мандатное управление доступом.
Дискреционная
модель разграничения доступа предполагает назначение каждому объекту списка
контроля доступа, элементы которого определяют права доступа к объекту
конкретных пользователей или групп. Эта модель отличается простотой реализации,
но ее недостатком является отсутствие механизмов слежения за безопасностью
потоков информации. Это означает, что права на доступ к объекту проверяются
только при первом обращении к объекту. При этом возникает опасность переноса
информации из защищенного объекта в общедоступный.
Мандатная модель
разграничения доступа предполагает назначение объекту грифа секретности, а
субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели
определяется на основании правил «не читать выше» и «не записывать ниже». Это
означает, что пользователь не может прочитать информацию из объекта, гриф
секретности которого выше, чем его уровень допуска. Также пользователь не может
перенести информацию из объекта с большим грифом секретности в объект с меньшим
грифом секретности. Использование мандатной модели предотвращает утечку
конфиденциальной информации, но снижает производительность компьютерной
системы.
В наиболее
распространенных сегодня ОС Windows и UNIX используется дискреционное
разграничение доступа. Это означает, что им присуща описанная выше проблема
возможной утечки конфиденциальной информации. Пользователь, имеющий право работать
с защищенным объектом может перенести содержащуюся в нем информацию в другой
общедоступный объект. Причем это может произойти как преднамеренно, если это
делает сам пользователь, так и непреднамеренно, например, через
вредоносное или шпионское ПО, запущенной от его имени.
В данной работе
предложен метод, позволяющий контролировать возможность утечки конфиденциальной
информации в операционных системах, использующих дискреционную модель
разграничения доступа к объектам для защищенных систем семейства Microsoft Windows. Тем самым защищенность подобных систем
будет существенно повышена без ущерба для производительности и простоты определения прав доступа.
Необходимыми
условиями реализации мандатной модели в системах с дискреционным контролем
доступа являются:
·
отслеживание (мониторинг) доступа к объектам
системы;
·
реакция на попытку получения
несанкционированного доступа;
·
защищенное
хранение информации о грифе секретности объектов и уровне допуска
субъектов системы;
·
наличие механизмов слежения за работой с буфером
обмена.
Проведенное
исследование системы безопасности ОС семейства Windows 2000/XP/2003 показало,
что наиболее подходящим механизмом мониторинга событий обращений к объектам
файловой системы является перехват системных вызовов. Технология перехвата
системных вызовов SCH (System Call
Hooking)
позволяет в реальном времени перехватывать обращения к системным
объектам. Эта технология предполагает написание низкоуровневого драйвера режима
ядра, осуществляющего мониторинг функций, через которые происходит
взаимодействие с объектами системы. Недостатком этого подхода является высокая
сложность реализации. Одной из причин этого является закрытость операционной
системы и не документированность архитектуры файловой системы NTFS, а также
системных функций работы с ней. Безусловным плюсом является возможность прямого
блокирования доступа к объекту.
Предполагается
реализация следующих вариантов реакций на попытки получения
несанкционированного доступа:
}
блокирование доступа к объекту;
}
вывод на экран сообщения о возникшей опасности
утечки конфиденциальной информации;
}
запись в журнал аудита;
}
закрытие приложения, осуществившего
несанкционированный доступ;
}
завершение сеанса работы пользователя (с
возможностью блокирования данной учетной записи).
При этом
администратору будет предоставлена возможность выбора необходимого варианта, а
также их комбинации.
Информации о
грифах секретности предлагаются хранить в системных списках аудита объектов
системы. При этом предполагается создание в системе групп безопасности
соответствующих каждому использующемуся уровню конфиденциальности. Для хранения
информации об уровнях допуска субъектов используются групп безопасности ОС Windows
(локальных или уровня домена).
В операционных
системах Windows существует универсальный инструмент, позволяющий перемещать
информацию между приложениями – буфер обмена. Безусловно, если не учитывать эту
особенность, то вся предлагаемая модель разграничения доступа теряет смысл,
т.к. пользователь может открыть документ, содержащий конфиденциальную
информацию, скопировать его фрагмент в буфер обмена, и закрыть документ. После
этого он может использовать содержимое буфера обмена в своих целях, например,
поместить его в общедоступный объект. Для решения этой проблемы предлагается
вариант шифрования содержимого буфера обмена. Это позволить полностью
контролировать работу пользователя с буфером обмена. При этом возможность
корректного расшифрования содержимого буфера будет
предоставлена только авторизованным приложениям.
Предложенный
метод позволяет реализовать мандатный принцип разграничения доступа к ресурсам
в ОС семейства Microsoft Windows NT/2000/XP. Разработанное программное средство
позволяет отслеживать обращение пользователей (и инициируемых ими процессов) к
объектам системы и предотвращать несанкционированный доступ к информации на
основе правил мандатной модели управления доступом.
Система, в
которой установлено разработанное программное средство, является намного более
защищенной, по сравнению со стандартными настройками, хотя и теряет небольшую
честь функциональности. Безусловно, эффективная работа в такой системе
подразумевает хорошее понимание пользователем правил, которых он должен
придерживаться в соответствии со своим уровнем допуска, иначе работа для него будет
проблематична.
ЛИТЕРАТУРА
1.
Девянин П.Н., Михальский
О.О., Правиков Д.И., Щербаков А.Ю., “Теоретические
основы компьютерной безопасности” – Москва: Радио и связь, 2000. – 192 с.
2.
Хорев П.Б., “Методы и средства защиты информации
в компьютерных системах” – Москва: Издательский центр “Академия”, 2005. – 256 с.
3.
Девянин П.Н., “Модели
безопасности компьютерных систем” – Москва: Издательский центр “Академия”,
2005. – 144 с.
4.
Гайдамакин Н.А., “Разграничение доступа к информации в
компьютерных системах” – Екатеринбург: Изд-во Урал. ун-та, 2003 – 328с.