Защита информации в компьютерных сетях. Кулябов Д.С. - 66 стр.

UptoLike

ВУЗ: 

РУДН | Москва

Составители: 

Рубрика: 

66 Д. С. КУЛЯБОВ
3.3.1. RSBAC
RSBAC это надстройка над ядром Linux и комплект утилит управ-
ления, позволяющие создать на базе любого дистрибутива Linux защи-
щенную систему.
Одной из целей создания RSBAC является выполнение всех требова-
ний класса B1 по классификации так называемой «Оранжевой Книги» [22]
(хотя набор этих требований уже несколько устарел).
Рассмотрим предоставляемые системой RSBAC механизмы обеспече-
ния безопасности. Реализация этих механизмов выполнена на уровне ядра
системы и позволяет эффективно контролировать все процессы. Систем-
ные вызовы, затрагивающие безопасность, дополняются специальным ко-
дом, выполняющим обращение к центральному компоненту RSBAC. Этот
компонент принимает решение о допустимости данного системного вызова
на основе следующих параметров:
типа запрашиваемого доступа (чтение, запись, исполнение);
субъекта доступа;
атрибутов субъекта доступа;
объекта доступа;
атрибутов объекта доступа.
3.3.1.1. АРХИТЕКТУРА RSBAC
RSBAC, функционирующий на уровне ядра, состоит из двух компонен-
тов: дополнения исходного кода ядра и модуля правил. RSBAC добавляет
свои собственные проверки к системным вызовам. Как результат, логика
работы ядра не меняется, но его интерфейсная часть дополняется новыми
возможностями.
3.3.1.2. АРХИТЕКТУРА GFAC
Архитектура GFAC (General Framework for Access Control Approach),
по которой работает RSBAC, предложена одним из разработчиков мандат-
ного доступа Ла-Падула и впервые реализована в SystemV/MLS. В этой
архитектуре механизм защиты делится на три части:
1) модуль контроля системных вызовов (Access Enforcement Facility
AEF),
2) модуль принятия решения (Access Decision Facility ADF),
3) хранилище информации о правах доступа (Access Control Information
ACI).
Системный вызов преобразуется в один из стандартных запросов к
модулю принятия решения, который разрешает или запрещает дальнейшее
выполнение системного вызова.
Модули защиты получают информацию для принятия решения из атри-
бутов участников системы, которые хранятся в ACI.
Архитектура GFAC позволяет сделать защиту независимой от типа
операционной системы (достаточно заменить модуль AEF, сохранив все
остальные модули) и обеспечить одновременную работу нескольких неза-
висимых друг от друга модулей правил безопасности. Архитектура GFAC

Страницы