Объекты в ОС. Модель разграничения доступа в операционных системах семейства Windows NT.

Объект – экземпляр системного ресурса, предоставляемого и управляемого ОС. Для описания состояния ресурса необходим набор данных, хранимых в структуре, определяемой ОС. Для идентификации О. необходимо и достаточно указать адрес структуры данных, содержащей информацию о состоянии объекта. О. могут располагаться как в пользовательской памяти, так и в памяти ядра. Если О. располагается в памяти пользователя, то возможно изменение полей структуры программой пользователя. Если О. расположен в памяти ядра, то для изменения состояния и манипуляций с ним используются функции, предоставляемые ОС. Обычно, одним из принимаемых такой функцией параметров является информация для идентификации О., над которым требуется произвести операцию.

Задачи диспетчера О.:

- Унифицировать доступ к системным ресурсам

- Реализовать все ф-ии защиты в одном компоненте ОС

- Возможность контроля за использованием процессами системных ресурсов

- Единая система именования системных ресурсов

- Удовлетворять потребностям подсистем окружения.

- Единообразные правила хранения объектов в памяти

Два вида внутренних О.: исполнительной системы и ядра.

Объекты исполнительной системы используются для воплощения подсистем окружения.

Структура О.

ДО предоставляет набор базовых сервисов для работы с О. Тип О. – набор специфичных для всех подобных О. атрибутов, которыми оперирует ДО. В О. типа содержится информация о методах, единых для всех подобных О.

Модель разграничения доступа

В ОС Windows реализованы модели дискреционного и ролевого доступа, они не позволяют формально обосновать безопасность приложений в ряде случаев, представляющих практический интерес. С каждым процессом или потоком, то есть, активным компонентом (субъектом), связан маркер доступа, а у каждого защищаемого объекта (например, файла) имеется дескриптор защиты. Проверка прав доступа обычно осуществляется в момент открытия объекта и заключается в сопоставлении прав субъекта списку прав доступа, который хранится в составе дескриптора защиты объекта.

Представление информационной системы как совокупности взаимодействующих сущностей - субъектов и объектов - является базовым представлением большинства формальных моделей. В защите нуждаются и объекты, и субъекты. В этом смысле субъект является частным случаем объекта. Иногда говорят, что субъект - это объект, который способен осуществлять преобразование данных и которому передано управление . Применение формальной модели строится на присвоении субъектам и объектам идентификаторов и фиксации набора правил, позволяющих определить, имеет ли данный субъект авторизацию, достаточную для предоставления указанного типа доступа к данному объекту.

Применение данного подхода может быть проиллюстрировано следующим образом.

Имеется совокупность объектов {Oi}, субъектов {Si} и пользователей {Ui}. Вводится операция доступа {Si} -> {Oj}, под которой подразумевается использование i-м субъектом информации из j-го объекта. Основные варианты доступа: чтение, запись и активация процесса, записанного в объекте. В результате последней операции появляется новый субъект {Si} -> {Oj} -> {Sk}. Во время загрузки создается ряд субъектов (системных процессов), и к их числу принадлежит оболочка Sshell, с помощью которой прошедшие аутентификацию пользователи могут создавать свои субъекты (запускать свои программы). При помощи выполняемых программ пользователи

осуществляют доступ к объектам (например, осуществляют чтение файлов). В итоге деятельность такого пользователя может быть описана ориентированным графом доступа

Рис. 1. Пример графа доступа

Множество графов доступа можно рассматривать как фазовое пространство, а функционирование конкретной системы - как траекторию в фазовом пространстве. Защита информации может состоять в том, чтобы избегать "неблагоприятных" траекторий. Практически такое управление возможно только ограничением на доступ в каждый момент времени, или, как утверждается в известной "оранжевой" книге [1], все вопросы безопасности информации определяются описанием доступов субъектов к объектам.

Можно ввести также особый вид субъекта, который активизируется при каждом доступе и

называется монитором обращений. Если монитор обращений в состоянии отличить легальный доступ от нелегального и не допустить последний, то такой монитор называется монитором безопасности (МБ) и является одним из важнейших компонентов системы защиты.

Другая возможность, предоставляемая ОС Windows - управление ролевым, в частности привилегированным доступом. Ролевая политика предназначена в первую очередь для упрощения администрирования информационных систем с большим числом пользователей и различных ресурсов. В ролевой политике управление доступом осуществляется с помощью правил. Вначале для каждой роли указывается набор привилегий по отношению к системе и полномочий, представляющих набор прав доступа к объектам, и уже затем каждому пользователю назначается список доступных ему ролей. Классическое понятие субъект замещается понятиями пользователь и роль. Примером роли является присутствующая почти в каждой системе роль суперпользователя (группа Administrator для ОС Windows). Количество ролей обычно не соответствует количеству реальных пользователей - один пользователь может выполнять несколько ролей, и наоборот, несколько пользователей могут в рамках одной и той же роли выполнять типовую работу. Таким образом, в рамках ролевой модели формируются близкие к реальной жизни правила контроля доступа и ограничения, соблюдение которых и служит критерием безопасности системы. Однако, как и в случае дискреционной модели, ролевая политика безопасности не гарантирует безопасность с помощью формальных доказательств.