Telectronic mail systems access control and information flow control modeling.pdf В результате проведенного исследования распространенных электронных почтовыхсистем (ЭПС) получено описание реализованных в них механизмов управлениядоступом и информационными потоками. Как правило, в состав ЭПС входят серверныеи клиентские компоненты; в них производится хранение и обработка данных,организованных в виде набора документов. Документы хранятся в специальных базахданных, являющихся файлами ОС, в среде которой функционирует ЭПС. При этомвозможно создание дополнительного программного обеспечения (ПО), использующегомеханизмы ЭПС для доступа к хранящимся в ЭПС данным.Средствами ЭПС возможна организация разграничения доступа пользователейк обрабатываемым данным на различных уровнях - доступа клиентов к серверу, доступапользователей к базам данных, доступа к отдельным полям документов. Разграничениедоступа в ЭПС, как правило, является дискреционным.Таким образом, для обеспечения возможности теоретического анализа безопасностиЭПС целесообразно построить ее формальную модель (ЭПС ДП-модель), взяв заоснову ФАС и ФПАС ДП-модели [1, 2], позволяющие анализировать КС с дискреционнымуправлением доступом с функционально и параметрически ассоциированнымисущностями. Кроме того, целесообразно учесть результаты, полученные при построенииФС ДП-модели [3], которая предназначена для исследования механизмов файловыхсистем, реализующих функции кодирования (например, криптографической защиты)данных.При этом для построения ЭПС ДП-модели в ФАС, ФПАС и ФС ДП-модели предполагаетсявнести изменения, позволяющие учитывать существенные особенности архитектурыЭПС и реализации в ней механизмов разграничения доступа. Так, например,необходимо учесть клиент-серверную архитектуру ЭПС.В современных ЭПС минимальной единицей обрабатываемых данных, доступ к которымразграничивается средствами самой ЭПС, может являться поле, входящее в составдокумента, являющегося частью базы данных документов. Таким образом, в рамкахЭПС ДП-модели будем рассматривать сущности-поля, подчиненные в иерархиисущностям-документам, которые подчинены сущностям-базам данных.Многие современные ЭПС предоставляют пользователям возможность совместнойработы с документами. При этом разграничение доступа пользователей к таким документамчастоосуществляется с использованием средств кодирования существенныхчастей документов. Пользователь может получить доступ ко всему документу, толькообладая необходимыми данными (например, ключом).Таким образом, при описании ЭПС ДП-модели используется следующее предположение.Предположение. В рамках ЭПС ДП-модели выполняются следующие условия.Условие 1. Система состоит из одного компьютера-сервера и нескольких (минимумодного) компьютеров-клиентов, на которых функционируют субъекты-операционныесистемы, реализующие среду для выполнения ПО сервера и клиентов. На компьютере-сервере субъекту-операционной системе подчинен в иерархии доверенный субъект-сервер, которому подчинены в иерархии доверенные субъекты-задачи. Субъекту-задаче в ЭПС ДП-модели соответствуют процессы в ОС (или их потоки), реализующиемеханизмы доступа клиентов к серверу, маршрутизации почты, репликации базданных и др.Условие 2. На компьютере-клиенте функционирует субъект-клиент, иерархическиподчиненный субъекту-операционной системе компьютера-клиента.Условие 3. В множестве сущностей выделено подмножество сущностей, защищенныхЭПС и не являющихся субъектами. В множестве доверенных субъектов-задачвыделено подмножество субъектов, обладающих правами доступа и реализующих доступ к сущностям, защищенным ЭПС, и кодирование в них данных в случае, когдаоно осуществляется ЭПС. Эти доверенные субъекты реализуют информационные потокипо памяти между каждой сущностью, защищенной ЭПС, и соответствующей ейсущностью-образом, не являющейся субъектом.Условие 4. Доверенные или недоверенные субъекты, не реализующие доступ к сущностям,защищенным ЭПС, не обладают правами доступа и не могут получать доступк этим сущностям. При этом они могут обладать правами доступа или получать доступк сущностям-образам сущностей, защищенных ЭПС.Условие 5. Недоверенный субъект-задача может создать доверенного субъектав случае, когда недоверенный субъект реализовал к себе информационные потоки попамяти от всех сущностей, параметрически ассоциированных с некоторым потенциальнымдоверенным субъектом.При анализе безопасности ЭПС представляют интерес вопросы, связанные с возможностьюполучения нарушителем доступа к документам в обход правил политикибезопасности. Для разрабатываемой ЭПС ДП-модели строятся формальные описаниямоделей нарушителя различных видов, а именно:- нарушителя, являющегося зарегистрированным пользователем ЭПС;- нарушителя, не являющегося зарегистрированным пользователем ЭПС, но имеющеговозможность запускать процессы в ОС сервера ЭПС;- нарушителя, не являющегося зарегистрированным пользователем ЭПС, но имеющеговозможность прослушивать каналы связи между клиентами и сервером ЭПСи выступать в роли клиента ЭПС.На основе ЭПС ДП-модели с использованием данных моделей нарушителя производитсяанализ возможности получения недоверенными субъектами доступа к сущностям,защищенным ЭПС, а также реализации от данных сущностей запрещенныхинформационных потоков. В результате предполагается разработать рекомендации попроектированию защищенных ЭПС.

Скачать электронную версию публикации