РАЗВИТИЕ СТАНДАРТНЫХ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА В ОС семейства WINDOWS
2000/XP/2003
А.В. Лукьянов
(Москва, Московский энергетический институт (Технический университет), Россия)
Данная работа посвящена решению проблемы
неконтролируемой утечки информации из конфиденциальных объектов в открытые
(незащищенные) объекты в компьютерных системах, использующих дискреционную модель разграничения доступа к
ресурсам. Предлагается метод, позволяющий реализовать мандатное разграничение
доступа для выделенного подмножества объектов в операционных системах семейства
Windows 2000/XP/2003. ОС Microsoft являются на сегодняшний день
наиболее распространенными в мире. В тоже время штатные средства разграничения
доступа, основанные на дискреционной модели, не позволяют решить проблему
потенциальной утечки конфиденциальной информации. В этой связи тема работы
является весьма и весьма актуальной.
Защита от
несанкционированного доступа и воздействия на информацию в компьютерных
системах решается с помощью методов аутентификации (подтверждения подлинности
субъектов доступа), авторизации (разграничения прав субъектов) и
администрирования (определения и реализации адекватной угрозам политики
безопасности). Для разграничения прав доступа к объектам в компьютерных системах
применяются различные модели безопасности. Наиболее распространенными на
сегодняшний день являются дискреционное и мандатное управление доступом.
Дискреционная
модель разграничения доступа предполагает назначение каждому объекту списка
контроля доступа, элементы которого определяют права доступа к объекту
конкретных пользователей или групп. Эта модель отличается простотой реализации,
но ее недостатком является отсутствие механизмов слежения за безопасностью
потоков информации. Это означает, что права на доступ к объекту проверяются
только при первом обращении к объекту. При этом возникает опасность переноса
информации из защищенного объекта в общедоступный.
Мандатная модель
разграничения доступа предполагает назначение объекту грифа секретности, а
субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели
определяется на основании правил «не читать выше» и «не записывать ниже». Это
означает, что пользователь не может прочитать информацию из объекта, гриф
секретности которого выше, чем его уровень допуска. Также пользователь не может
перенести информацию из объекта с большим грифом секретности в объект с меньшим
грифом секретности. Использование мандатной модели предотвращает утечку
конфиденциальной информации, но снижает производительность компьютерной
системы.
В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенной от его имени.
В данной работе предложен метод, позволяющий контролировать возможность утечки конфиденциальной информации в операционных системах, использующих дискреционную модель разграничения доступа к объектам для защищенных систем семейства Microsoft Windows. Тем самым защищенность подобных систем будет существенно повышена без ущерба для производительности и простоты определения прав доступа.
Необходимыми
условиями реализации мандатной модели в системах с дискреционным контролем
доступа являются:
·
отслеживание (мониторинг) доступа к объектам
системы;
· реакция на попытку получения несанкционированного доступа;
· защищенное хранение информации о грифе секретности объектов и уровне допуска субъектов системы;
· наличие механизмов слежения за работой с буфером обмена.
Проведенное
исследование системы безопасности ОС семейства Windows 2000/XP/2003 показало,
что наиболее подходящим механизмом мониторинга событий обращений к объектам
файловой системы является перехват системных вызовов. Технология перехвата
системных вызовов SCH (System Call
Hooking)
позволяет в реальном времени перехватывать обращения к системным
объектам. Эта технология предполагает написание низкоуровневого драйвера режима
ядра, осуществляющего мониторинг функций, через которые происходит
взаимодействие с объектами системы. Недостатком этого подхода является высокая
сложность реализации. Одной из причин этого является закрытость операционной
системы и не документированность архитектуры файловой системы NTFS, а также
системных функций работы с ней. Безусловным плюсом является возможность прямого
блокирования доступа к объекту.
Предполагается реализация следующих вариантов реакций на попытки получения несанкционированного доступа:
}
блокирование доступа к объекту;
} вывод на экран сообщения о возникшей опасности утечки конфиденциальной информации;
}
запись в журнал аудита;
} закрытие приложения, осуществившего несанкционированный доступ;
} завершение сеанса работы пользователя (с возможностью блокирования данной учетной записи).
При этом
администратору будет предоставлена возможность выбора необходимого варианта, а
также их комбинации.
Информации о грифах секретности предлагаются хранить в системных списках аудита объектов системы. При этом предполагается создание в системе групп безопасности соответствующих каждому использующемуся уровню конфиденциальности. Для хранения информации об уровнях допуска субъектов используются групп безопасности ОС Windows (локальных или уровня домена).
В операционных
системах Windows существует универсальный инструмент, позволяющий перемещать
информацию между приложениями – буфер обмена. Безусловно, если не учитывать эту
особенность, то вся предлагаемая модель разграничения доступа теряет смысл,
т.к. пользователь может открыть документ, содержащий конфиденциальную
информацию, скопировать его фрагмент в буфер обмена, и закрыть документ. После
этого он может использовать содержимое буфера обмена в своих целях, например,
поместить его в общедоступный объект. Для решения этой проблемы предлагается
вариант шифрования содержимого буфера обмена. Это позволить полностью
контролировать работу пользователя с буфером обмена. При этом возможность
корректного расшифрования содержимого буфера будет
предоставлена только авторизованным приложениям.
Предложенный метод позволяет реализовать мандатный принцип разграничения доступа к ресурсам в ОС семейства Microsoft Windows NT/2000/XP. Разработанное программное средство позволяет отслеживать обращение пользователей (и инициируемых ими процессов) к объектам системы и предотвращать несанкционированный доступ к информации на основе правил мандатной модели управления доступом.
Система, в которой установлено разработанное программное средство, является намного более защищенной, по сравнению со стандартными настройками, хотя и теряет небольшую честь функциональности. Безусловно, эффективная работа в такой системе подразумевает хорошее понимание пользователем правил, которых он должен придерживаться в соответствии со своим уровнем допуска, иначе работа для него будет проблематична.
ЛИТЕРАТУРА
1. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю., “Теоретические основы компьютерной безопасности” – Москва: Радио и связь, 2000. – 192 с.
2. Хорев П.Б., “Методы и средства защиты информации в компьютерных системах” – Москва: Издательский центр “Академия”, 2005. – 256 с.
3. Девянин П.Н., “Модели безопасности компьютерных систем” – Москва: Издательский центр “Академия”, 2005. – 144 с.
4. Гайдамакин Н.А., “Разграничение доступа к информации в компьютерных системах” – Екатеринбург: Изд-во Урал. ун-та, 2003 – 328с.