№ 2 март-апрель 2006 г. Тема номера: ИНТЕЛЛЕКТ НА СТРАЖЕ ОБЪЕКТОВ
		ПРИНЦИПЫ И МЕХАНИЗМЫ ДОВЕРИТЕЛЬНОГО КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ А. Ю. Щеглов, д. т. н., проф., К. А. Щеглов ЗАО «НПП «Информационные технологии в бизнесе»

Одна из важнейших проблем защиты компьютерной информации состоит в том, что именно процесс (а не пользователь) может нести в себе уязвимость, используемую для несанкционированного доступа (НСД) к информации. Как следствие, именно процесс становится основным субъектом при контроле доступа к ресурсам, причем как в задачах защиты информации от НСД, так и в задачах антивирусной защиты. На основании сравнительного анализа вышеупомянутых задач в статье делается вывод о том, что задачи антивирусной защиты являются подмножеством множества задач защиты информации от НСД, а не классом самостоятельных задач защиты информации. Предлагаются принципы и механизмы доверительного контроля доступа к ресурсам, которые могут эффективно использоваться в обоих типах задач.

Основу существующих принципов контроля доступа к ресурсам, реализуемых в современных ОС и других системных средствах, составляет задание прав и реализация разграничений на основании определенных правил доступа субъектов (пользователей) к объектам, в частности к файловым объектам. Данный способ контроля доступа реализуется современными средствами защиты информации от НСД и формализован в соответствующих нормативных документах в области защиты информации.

При этом любой процесс, запускаемый пользователем (в том числе и пользователем System), наследует права доступа пользователя, его запустившего. Другими словами, поток, порождаемый процессом, обращается к ресурсу с правами пользователя (если, естественно, не произведено олицетворения с маркером безопасности другого пользователя).

Однако именно процесс может нести в себе уязвимость, используемую для НСД к информации. Тому может быть несколько причин, которые мы положим в основу классификации процессов, необходимой нам далее при изложении материала.

• Несанкционированные (сторонние) процессы. Это процессы, которые не требуются пользователю для выполнения своих служебных обязанностей, и соответсвующие им исполняемые файлы, несанкционированно установленные на компьютер (локально либо удаленно) с различными целями, в том числе и с целью осуществления НСД к информации.
• Критичные процессы. К ним мы отнесем те процессы, которые запускаются в системе с привилегированными правами, например под учетной записью System, а также процессы, которые наиболее вероятно могут быть подвержены атакам, например сетевые службы. Атаки на подобные процессы наиболее критичны, что связано с возможностью расширения привилегий. В качестве замечания отметим, что на сегодняшний день существенно возросла доля атак, направленных на уязвимости не собственно в ОС, а приложений. Однако приложения пользуются сервисами ОС, которые должны защищаться ОС. То есть уязвимость приложения (например, некорректное олицетворение, ошибки переполнения буфера и т. д.) при корректной реализации механизмов защиты ОС не должна приводить к возможности НСД к информации.
• Скомпрометированные процессы – процессы, содержащие ошибки (уязвимости), ставшие известными, использование которых позволяет осуществить НСД к информации. Отнесение данных процессов в отдельную группу обусловлено тем, что с момента обнаружения уязвимости и до момента устранения ее разработчиком системы или приложения может пройти несколько месяцев. В течение этого времени в системе находится известная уязвимость, поэтому система не защищена.
• Процессы, априори обладающие недекларированными свойствами. К этой группе мы отнесем процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов). Данные процессы также можно классифицировать, что очень важно, и далее нами будет использовано. Предметом классификации здесь будет способ хранения исполняемого кода, который может храниться либо в виде отдельного файла (например, с расширением bat), либо в составе документа (в частности, макросы). С учетом этого, для запуска исполняемого кода соответствующему процессу необходимо либо прочитать (заметим, не выполнить – это не исполняемый файл) скриптовый файл, либо прочитать документ, содержащий макрос.

Сразу оговоримся: если сервис по запуску процессов предоставляется непосредственно системой, а, следовательно, именно на нее возлагаются вопросы защиты от НСД, связанные с несанкционированными, критичными и скомпрометированными процессами, то защита сервисов, связанных предо-ставлением процессом возможности среды исполнения, уже является задачей разработчиков приложений, предоставляющих подобные сервисы.

Таким образом, может быть сформулирована задача контроля доступа к ресурсам с учетом доверия к процессам или доверительного контроля доступа к ресурсам. Естественно, что учет доверия к процессам при контроле доступа к ресурсам возможен только в том случае, если процесс можно рассматривать как самостоятельный субъект доступа, а не субъект, наследующий права доступа пользователя (в противном случае следует говорить о доверии к пользователю, а не к процессу). Основу предлагаемых нами принципов доверительного контроля доступа к ресурсам составляет включение в схему разграничения прав доступа к ресурсам наряду с субъектом доступа «пользователь» субъекта доступа «процесс» в предположении, что права доступа этих субъектов не совпадают.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru