|
2.8. ПОЛИТИКА И МОДЕЛИ БЕЗОПАСНОСТИ В РАСПРЕДЕЛЕННЫХ КОМПЬЮТЕРНЫХ СИСТЕМАХ
Рассмотренные ранее политики и модели безопасности неявно позиционировались в отношении компьютерной системы, представляющей единое целое1, имеющей единое ядро и монитор безопасности. Вместе с тем архитектура и процессы функционирования реальных КС всегда характеризуются распределенностью.
2.8.1. Общая характеристика проблем безопасности в распределенных компьютерных системах
С точки зрения безопасности можно выделить три аспекта распределенности в компьютерных системах:
для программного обеспечения современных КС характерен модульный принцип программно-технической реализации ядра системы и, в том числе, монитора безопасности, в результате чего отдельные функции безопасности распределены между программно-техническими компонентами (модулями) системы;
в процессах управления доступом монитор безопасности использует ассоциированный с ним объект-данные, содержащий информацию по политике разграничения доступа в конкретной КС, который может реализовываться как отдельный (централизованный) информационный объект, или как распределенная информационная струк-
тура;
• за исключением такого вида, как отдельные изолированные автоматизированные рабочие места (АРМ), современные КС представляют собой системы, объединяющие физически распределенные вычислительные установки (вычислительные сети и системы).
Модульный характер ядра КС предопределяет проблему сопряжения защитных механизмов (идентификация/аутентификация, инициализация процессов-субъектов, управление памятью, управление доступом, аудит и т. д.), распределенных по отдельным программным (аппаратно-программным) модулям ядра системы. Проблема сопряжения распределенных защитных механизмов является чрезвычайно важной для обеспечения безопасности КС, но выходит за рамки тематики пособия
Если рассматривать ассоциированный с монитором безопасности объект, содержащий информацию по разграничению доступа субъектов к объектам системы, как некую базу данных, то можно выделить структурно-логическую и физическую распределенность. Структурно-логическая рас-
159
пределенность определяется информационно-логической структурой (моделью организации данных) и конкретной моделью разграничения доступа. К примеру, в дискреционных моделях таким объектом может быть матрица доступа, которая реализуется как одна из системных таблиц в СУБД или как совокупность распределенных по объектам списков доступа в ОС. При этом, однако, логически распределенные элементы структуры ассоциированного с монитором безопасности объекта могут размещаться в пределах одной вычислительной установки или быть, к тому же, и физически распределенными по различным вычислительным установкам.
Физическая распределенность по различным вычислительным установкам ассоциированного с монитором безопасности объекта в большинстве случаев смыкается с физической распределенностью самой КС, т. е. с третьим аспектом распределенности, который требует уточнения и конкретизации самого понятия "Распределенная КС".
С учетом рассмотрения, прежде всего, политики разграничения доступа в дальнейшем изложении будем придерживаться следующей трактовки понятия "Распределенная КС".
Определение 2.8.1. Распределенной КС называется система, состоящая более чем из одного локального сегмента, представляющего обособленную совокупность субъектов и объектов доступа.
Нетрудно видеть, что центральным в понятии распределенной КС является способ (принцип, механизм и т. д.) обособления совокупности субъектов и объектов доступа в отдельную самостоятельную сущность, т. е. в локальный сегмент.
Выделим три способа (критерия) обособления подмножества субъектов и объектов в локальный сегмент:
группирование некоторого подмножества субъектов доступа на основе их порождения и управления одним общим субъектом (системным процессом);
локализация некоторого подмножества субъектов и объектов доступа в рамках некоторой технической компоненты КС;
присвоение всем субъектам и объектам некоторого уникального идентификатора (адреса) в едином информационном (адресном) пространстве и разделение этого пространства на области, обособляющие локальные сегменты.
Первый способ характерен для выделения в сети компонентов (субъектов и объектов) АС, построенной в идеологии "Клиент-сервер", особенно для ее разновидности с "тонкими" клиентами. В подобных системах большинство процессов клиентов (субъектов доступа) порождаются (управляются, выполняются) главным системным процессом в виде сервера БД или сервера приложений. Соответственно вопросы безопасности в подобных распределенных системах обеспечиваются единым субъектом, функционирующим также на сервере системы. В частности, процессы кол-
лективного доступа к общим данным управляются и регламентируются специальной программной компонентой, именуемой монитором транзакций. Монитор транзакций совместно с МБО обеспечивает все три аспекта безопасности данных – конфиденциальность (через определенную политику разграничения доступа), целостность и доступность (через специальные протоколы совместного выполнения и фиксации транзакций).
Второй способ, наиболее характерный для ЛВС, основывается на привязке субъектов и объектов доступа или их общей с точки зрения безопасности и разграничения доступа информации (например, общей базы учетных записей) к одной или нескольким выделенным вычислительным установкам. Можно также отметить, что на практике подобным образом в большинстве случаев обособляется одна вычислительная установка или сегмент ЛВС.
Третий способ является в некотором смысле виртуальной альтернативой второму способу и применяется в большинстве случаев совместно с ним. В частности, подобным образом создаются виртуальные защищенные сети, физическое расположение отдельных компонент которых не имеет самостоятельного значения.
Принципиальным и наиболее существенным во всех трех подходах является то, что локализуемый сегмент с точки зрения безопасности и разграничения доступа рассматривается как монолитная (нераспределенная) КС. Таким образом, в дальнейшем будем опираться на следующее аксиоматическое предположение.
Предположение 2.8.1. В локальном сегменте КС функционирует единый для всех субъектов и объектов монитор безопасности, реализующий локальную политику безопасности (политику разграничения доступа).
Предметом политики разграничения доступа в распределенных компьютерных системах является рассмотрение принципов организации и механизмов доступа, в том числе и межсегментного, при котором реализовывалась бы некая общая политика безопасности, обеспечивающая как внутрисегментную, так и межсегментную безопасность.
Do'stlaringiz bilan baham: |
