ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 73
Если данные, особенно программы, перемещены из других систем, то
во избежание широкого распространения инфекции должна быть исполь-
зована эта модель. Однако определен может быть только известный алго-
ритму сканера инфицированный код. На Linux — это вирус bliss, варианты
A и B, и некоторые вирусы DOS.
3.3.2. SECURITY-ENHANCED LINUX
Security-Enhanced Linux (SELinux) [17] имеет такое же назначение,
как RSBAC, и также представляет собой дополнения к ядру и набор ути-
лит. Обе системы доступны под лицензией GPL, однако, разработка Secu-
rity Enhanced Linux продвигается Агентством национальной безопасности
США.
Security-Enhanced Linux обеспечивает гибкую архитектуру принуди-
тельного контроля доступа (flexible mandatory access control architecture
— FLASK) [18], использующую развитый язык описания конфигураций
политики безопасности. С использованием этого языка описаний разрабо-
тана конфигурация системы, реализующая идеологию Type Enforcement.
3.3.2.1. DTE
Type Enforcement — это матрица доступа, организованная для эффек-
тивности в классы эквивалентности. Действительно, обычная матрица до-
ступа представляет собой двухмерную таблицу, по одной оси которой рас-
полагаются субъекты доступа (активные именованные сущности — про-
цессы, пользователи), по другой — объекты доступа (пассивные сущности
— файлы, каталоги, устройства и другие ресурсы), а в ячейках на пе-
ресечении указываются операции, которые субъект может выполнять над
объектом. В системе с большим количеством сущностей построить такую
матрицу может оказаться попросту невозможно. Но в этом и нет необхо-
димости: многие объекты схожи по своим свойствам, а функции многих
субъектов совпадают, что позволяет объединить их в классы эквивалент-
ности и строить матрицу для классов, проведя, фактически, типизацию
сущностей.
В терминологии данной системы политика безопасности определяет
набор доменов и типов. Каждый субъект (процесс) в каждый момент вре-
мени ассоциирован с определенным доменом, а каждый объект — с опре-
деленным типом. Как и в классической матрице, в политике определяются
возможные виды доступа доменов к типам и допустимые способы взаимо-
действия между доменами. В частности, в зависимости от используемых
типов, может происходить автоматическое переключение домена.
3.3.2.2. РОЛИ
В политике безопасности также определен набор ролей. Для пользо-
вателей первичная установка роли происходит в процедуре регистрации
(login), а переключение роли — при помощи команды newrole (в неко-
тором роде аналог su). Системные процессы работают с ролью system_r,
Страницы
- « первая
- ‹ предыдущая
- …
- 71
- 72
- 73
- 74
- 75
- …
- следующая ›
- последняя »
