Модели разграничения доступа в компьютерных системах: реализация, особенности, сравнительный анализ

Следует начать с того, что разграничение доступа пользователей и активизированных ими процессов к объектам (субъектов к ресурсам) является одной из ключевых задач обеспечения безопасности компьютерных систем. В современных операционных системах универсального назначения с целью решения данной задачи применяется дискреционная (избирательная) или мандатная модель управления доступом [12, с. 223].
Отметим, что дискреционная модель представляет собой основную модель разграничения доступа к объектам, которую используют в операционных системах семейств Unix и Windows. Ее основой является матрица доступа, как правило, предполагающая назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователя или группы.
Данная модель основана на дискреционной политике безопасности и, безусловно, определяется определенными свойствами [12, с. 225]:
все субъекты и объекты являются идентифицированными;
права доступа субъектов на объекты системы определяются на основании некоторого внешнего по отношению к системе правила;
для любого объекта компьютерной системы определен «владелец»;
«владелец» объекта обладает правом определения прав доступа к объекту со стороны любых субъектов компьютерной системы;
в компьютерной системе существует привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становится «владельцем» любого объекта).
С каждым днем количество областей, для которых гарантия безопасности - это основное требование к автоматизированным системам обработки информации, неуклонно растет. В связи с этим внимание к вопросам построения защищенных информационных систем уже никого не удивляет [7, с. 1115]. 
Стоит помнить, что не существует никаких «абсолютно надежных» методов и средств защиты информации, обеспечивающих полную невозможность получения несанкционированного доступа к защищаемой информации [19, с. 188]. При этом, как было уже подчеркнуто выше, матрица доступа, субъекты которой располагаются в строках, а объекты компьютерной системы в столбцах является ключевым элементом систем дискреционного разграничения прав доступа. Соответственно, каждый элемент матрицы определяет права доступа субъекта к объекту.
Также матрицу доступа можно задать в виде список прав субъектов, для каждого из которых определяется список всех объектов, к которым ему разрешен доступ или в виде списков контроля доступа, где для каждого объекта задается список субъектов, которым разрешен доступ к данному объекту. Субъект с определенным правом доступа может передать это право любому другому субъекту. На рисунке 1 изображен принцип работы системы дискреционного разграничения прав доступа.
Рис. 1 Принцип работы системы дискреционного разграничения прав доступа
Несмотря на то, что дискреционная модель характеризуется простой реализацией, однако ее существенным недостатком является возможность переноса конфиденциальной информации из защищенного в незащищенный объект даже в том случае, если все действия являются санкционированными

.
В свою очередь, мандатная модель разграничения доступа предполагает назначение грифа секретности объекту, и, соответственно, уровня допуска субъекту. Определение доступа субъектов к объектам в мандатной модели происходит на основании правил «не читать выше» и «не записывать ниже». Подчеркнем, что использование мандатной модели предотвращает утечку конфиденциальной информации в отличие от дискреционной, однако снижает производительность компьютерной системы.
В корпорации Microsoft разработаны подсистемы для защиты информации при работе с операционной системой Windows (ОС Windows), однако многие ее пользователи даже не подозревают о наличии подсистем, защищающих их информацию и, особенно, персональные данные [1]. 
Далее, хотелось бы рассмотреть как реализована технология MIC (Mandatory Integrity Control) в ОС Windows. Прежде всего, отметим, что результатом фундаментальных изменений в архитектуре безопасности Windows стали два компонента новых механизмов защиты от опасных программ: UAC (User Account Control), являющееся решением для работы с наименее важными привилегиями, а также Integrity Control, представляющий собой механизм изоляции для вредителей, непреднамеренно загруженных пользователями из Internet.
Так, Mandatory Integrity Control (MIC) представляет собой механизм Windows, который позволяет управлять коммуникациями между процессами посредством задания различных уровней целостности выполнения процессов. К примеру, стандартное приложение, которое выполняется под учетной записью standard user, имеет Medium Mandatory Level, тогда как выполняемое под учетной записью administrator приложение имеет High Mandatory Level и, как следствие, набор дополнительных привилегий. Благодаря изоляции процессов можно расширить модель авторизации на межпроцессные коммуникации.
Подчеркнем, что модель MAC, основанная на формальной модели Биба, преобладающее положение занимает в Windows 2008 и Vista по сравнению с предшествующими версиями Windows. Операционная система автоматически назначает ресурсам через Integrity Control уровни целостности на основе модели MAC. При этом администраторы могут изменять уровни целостности только после того, как они будут назначены операционной системой, другими словами, операционная система может назначить столь высокий уровень целостности, что он будет недоступен даже администраторам.
Существующий в Windows механизм наследования облегчает администраторам задачи назначения разрешений и управления ими [14, с. 19].
Таким образом, ключевая идея MIC состоит в том, что объекты операционной системы подразделяются на несколько уровней в зависимости от степени доверия к коду процесса, непосредственно обращающегося к объекту, при этом модификация доверенных объектов недоверенными процессами не допускается.
Integrity Control имеет пять заранее определенных уровней целостности (уровней доверия), которые мы рассмотрим ниже