Метод разграничения доступа к масштабируемой по уровню конфиденциальности информации

На сегодняшний день при создании систем защиты информации применяются (регламентируются соответствующими Руководящими документами Гостехкомиссии России) два метода разграничения доступа - дискреционный и мандатный. Суть первого подхода состоит в табличном задании прав доступа каждого субъекта (пользователя) к каждому объекту (логическому диску, каталогу, файлу). При этом в случае разрешения доступа к объекту субъекту однозначно задается набор правил взаимодействия с объектом - доступ на запись, чтение, чтение/модификацию. В основе второго подхода лежит использование так называемых меток конфиденциальности (мандатов) - чисел, отражающих уровень допуска объекта к информации и, соответственно, уровень конфиденциальности информации, принадлежащей объекту. Допуск к информации субъекту разрешается лишь в том случае, если его мандат не ниже, чем у регламентированного субъекта.

 

 

При этом субъект может получить доступ по записи к объекту только в том случае, если его мандат не ниже, чем у объекта.

Вместе с тем существует весьма широкий круг приложений, где информация является масштабируемой по уровню конфиденциальности, где появление признаков конфиденциальности в информации обусловливается ее количественной мерой. Здесь уже необходимо говорить не о конфиденциальности информации, располагаемой в отдельном файле, а о конфиденциальности информации, находящейся в группе файлов в совокупности. Другими словами, отдельно взятый файл не несет в себе конфиденциальной информации, а группа файлов, например, N файлов, содержит ее. Для защиты информации в подобных системах может быть сформулирована принципиально новая задача разграничения доступа, состоящая в задании одним из двух способов, рассмотренных выше, правил доступа, при которых каждому субъекту разрешается доступ к группе (числу) файлов в соответствии с правами (уровнем допуска) пользователя.

Таким образом, можно ввести определение механизма защиты информации, решающего задачу управления доступом к масштабируемой по уровню конфиденциальности информации.

Под разграничением прав доступа к масштабируемой по уровню конфиденциальности информации понимается механизм разграничения прав доступа к группе файлов, уровень конфиденциальности которых имеет свойство масштабироваться и определяется совокупной информацией, располагаемой в группе файлов.

Принципы реализации предлагаемого метода разграничения доступа предусматривают выполнение следующих условий:

• Масштабируемая по уровню конфиденциальности информация должна быть распределена по файлам (каталогам) так, чтобы ни один файл не содержал конфиденциальной информации и каждый уровень конфиденциальности информации определялся бы своим уникальным числом (порогом) файлов, содержащих в совокупности информацию, относимую к данному уровню конфиденциальности.
• Все масштабируемые файлы по отдельности, как не отнесенные к конфиденциальным (если не оговаривается иного), должны иметь равные права доступа. Параметром доступа является только количество файлов, к которым одновременно может получить доступ пользователь.
• Каждому пользователю табличным либо мандатным способом должны быть заданы права на доступ к соответствующей его допуску группе (количеству) масштабируемых файлов.

При доступе пользователя к масштабируемой информации проверяется количество файлов, к которым он одновременно запрашивает доступ для обработки информации. Если пороговое значение допустимого для пользователя уровня конфиденциальности N, то пользователь может получить доступ не более чем к N-1 файлу одновременно.
В системе должен быть реализован диспетчер доступа к масштабируемым файлам, в функции которого входят:

• анализ каждого запроса пользователя к масштабируемой информации с целью управления доступом к количеству файлов;
• рассмотрение текущего состояния пользователя - подсчет файлов из разряда масштабируемых, к которым пользователь имеет доступ в текущий момент времени;
• принятие решения о предоставлении пользователю запрашиваемого числа масштабируемых файлов;
• в случае необходимости запрет доступа пользователя к необходимому числу файлов, к которым он имеет доступ в текущий момент, с целью предоставления пользователю прав на запрашиваемый доступ.

Пусть пороговое значение уровня конфиденциальности для пользователя определено в N файлов. Это означает, что пользователь имеет право одновременного доступа к N-1 файлу. Если пользователь имеет в текущий момент доступ к S файлам (S<N) и запросил доступ еще к R файлам, то диспетчер должен оценить выполнение неравенства: S+R<N. При условии его выполнения диспетчер разрешает доступ к запрашиваемым R файлам и фиксирует, что в текущий момент у пользователя уже осуществлен доступ к S+R файлам. В противном случае, должна быть реализована одна из двух стратегий - либо пользователю запрещается доступ к запрашиваемым R, либо диспетчер предоставляет пользователю подобный доступ, но при этом лишает его права доступа к такой группе файлов, к которым он имел доступ в текущий момент - к L из S файлов, при котором будет выполняться неравенство: S - L + R < N.

Описываемые принципы реализации метода могут быть использованы и при построении распределенных информационных систем, в основе которых лежит клиент-серверное взаимодействие. Особенностью здесь является то, что задача разграничения доступа к масштабируемой по уровню конфиденциальности информации должна решаться распределенно, так как только на рабочих станциях можно реализовать диспетчер, который должен отслеживать число файлов S, к которым пользователь имеет доступ в текущий момент. Именно диспетчер с рабочей станции должен формировать запрос доступа к R запрашиваемым файлам при условии запрета доступа пользователю к L файлам, к которым тот имеет доступ в текущий момент.

Принципиальной особенностью реализации предлагаемого подхода является то, что появляется новая возможность по обработке масштабируемой по уровню конфиденциальности информации -обработка на удаленных рабочих местах в каждый момент времени открытой (не конфиденциальной) информации. Это может достигаться тем, что в любой момент времени распределенный диспетчер блокирует доступ пользователя с рабочей станции к информации, относящейся в совокупности к конфиденциальной. При этом на рабочей станции не накапливается конфиденциальной информации, что в значительной мере снижает стоимость системы защиты в целом. Появляется возможность реализации двухуровневой защиты - защита серверной части (организационно-техническими мерами), где в совокупности представлена конфиденциальная информация, и реализация распределенного диспетчера доступа на удаленных рабочих станциях с целью предотвращения возможности накапливания на них конфиденциальной информации. Стоимость всей системы защиты определяется именно защитой рабочих станций, где обрабатывается только открытая (не конфиденциальная) информация.