BC/NW 2007, №2, (11) :10.1

РАЗВИТИЕ СТАНДАРТНЫХ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА В ОС СЕМЕЙСТВА WINDOWS 2000/XP/2003

А.В. Лукьянов

(Москва, Московский энергетический институт (Технический университет), Россия)

Данная работа посвящена решению проблемы неконтролируемой утечки информации из конфиденциальных объектов в открытые (незащищенные) объекты в компьютерных системах, использующих  дискреционную модель разграничения доступа к ресурсам. Предлагается метод, позволяющий реализовать мандатное разграничение доступа для выделенного подмножества объектов в операционных системах семейства Windows 2000/XP/2003. ОС Microsoft являются на сегодняшний день наиболее распространенными в мире. В тоже время штатные средства разграничения доступа, основанные на дискреционной модели, не позволяют решить проблему потенциальной утечки конфиденциальной информации. В этой связи тема работы является весьма и весьма актуальной.

 

Защита от несанкционированного доступа и воздействия на информацию в компьютерных системах решается с помощью методов аутентификации (подтверждения подлинности субъектов доступа), авторизации (разграничения прав субъектов) и администрирования (определения и реализации адекватной угрозам политики безопасности). Для разграничения прав доступа к объектам в компьютерных системах применяются различные модели безопасности. Наиболее распространенными на сегодняшний день являются дискреционное и мандатное управление доступом.

Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. Эта модель отличается простотой реализации, но ее недостатком является отсутствие механизмов слежения за безопасностью потоков информации. Это означает, что права на доступ к объекту проверяются только при первом обращении к объекту. При этом возникает опасность переноса информации из защищенного объекта в общедоступный.

Мандатная модель разграничения доступа предполагает назначение объекту грифа секретности, а субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Это означает, что пользователь не может прочитать информацию из объекта, гриф секретности которого выше, чем его уровень допуска. Также пользователь не может перенести информацию из объекта с большим грифом секретности в объект с меньшим грифом секретности. Использование мандатной модели предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенной от его имени.

В данной работе предложен метод, позволяющий контролировать возможность утечки конфиденциальной информации в операционных системах, использующих дискреционную модель разграничения доступа к объектам для защищенных систем семейства Microsoft Windows. Тем самым защищенность подобных систем будет существенно повышена без ущерба для производительности и простоты определения прав доступа.

Необходимыми условиями реализации мандатной модели в системах с дискреционным контролем доступа являются:

•           отслеживание (мониторинг) доступа к объектам системы;

•           реакция на попытку получения несанкционированного доступа;

•           защищенное хранение информации о грифе секретности объектов и уровне допуска субъектов системы;

•           наличие механизмов слежения за работой с буфером обмена.

Проведенное исследование системы безопасности ОС семейства Windows 2000/XP/2003 показало, что наиболее подходящим механизмом мониторинга событий обращений к объектам файловой системы является перехват системных вызовов. Технология перехвата системных вызовов SCH (System Call Hooking)  позволяет в реальном времени перехватывать обращения к системным объектам. Эта технология предполагает написание низкоуровневого драйвера режима ядра, осуществляющего мониторинг функций, через которые происходит взаимодействие с объектами системы. Недостатком этого подхода является высокая сложность реализации. Одной из причин этого является закрытость операционной системы и не документированность архитектуры файловой системы NTFS, а также системных функций работы с ней. Безусловным плюсом является возможность прямого блокирования доступа к объекту.

Предполагается реализация следующих вариантов реакций на попытки получения несанкционированного доступа:

•           блокирование доступа к объекту;

•           вывод на экран сообщения о возникшей опасности утечки конфиденциальной информации;

•           запись в журнал аудита;

•           закрытие приложения, осуществившего несанкционированный доступ;

•           завершение сеанса работы пользователя (с возможностью блокирования данной учетной записи).

При этом администратору будет предоставлена возможность выбора необходимого варианта, а также их комбинации.

Информации о грифах секретности предлагаются хранить в системных списках аудита объектов системы. При этом предполагается создание в системе групп безопасности соответствующих каждому использующемуся уровню конфиденциальности. Если в сети развернута инфраструктура PKI, информацию об уровнях допуска можно включать в пользовательские сертификаты.

В операционных системах Windows существует универсальный инструмент, позволяющий перемещать информацию между приложениями – буфер обмена. Безусловно, если не учитывать эту особенность, то вся предлагаемая модель разграничения доступа теряет смысл, т.к. пользователь может открыть документ, содержащий конфиденциальную информацию, скопировать его фрагмент в буфер обмена, и закрыть документ. После этого он может использовать содержимое буфера обмена в своих целях, например, поместить его в общедоступный объект. Для решения этой проблемы предлагается вариант шифрования содержимого буфера обмена. Это позволить полностью контролировать работу пользователя с буфером обмена. При этом возможность корректного расшифрования содержимого буфера будет предоставлена только авторизованным приложениям.

 

Предложенный метод позволяет реализовать мандатный принцип разграничения доступа к ресурсам в ОС семейства Microsoft Windows NT/2000/XP. Разработанное программное средство позволяет отслеживать обращение пользователей (и инициируемых ими процессов) к объектам системы и предотвращать несанкционированный доступ к информации на основе правил мандатной модели управления доступом.

Система, в которой установлено разработанное программное средство, является намного более защищенной, по сравнению со стандартными настройками, хотя и теряет небольшую честь функциональности. Безусловно, эффективная работа в такой системе подразумевает хорошее понимание пользователем правил, которых он должен придерживаться в соответствии со своим уровнем допуска, иначе работа для него будет проблематична.

ЛИТЕРАТУРА

1.     Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю., “Теоретические основы компьютерной безопасности” – Москва: Радио и связь, 2000. – 192 с.

2.     Хорев П.Б., “Методы и средства защиты информации в компьютерных системах” – Москва: Издательский центр “Академия”, 2005. – 256 с.

3.     Девянин П.Н., “Модели безопасности компьютерных систем” – Москва: Издательский центр “Академия”, 2005. – 144 с.

4.     Гайдамакин Н.А., “Разграничение доступа к информации в компьютерных системах” – Екатеринбург: Изд-во Урал. ун-та, 2003 – 328с.