Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
289
Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т.е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляющего удаленным субъектом) является организация потоков от локальных объектов, не принадлежащих множеству L.
В случае разделения КС на локальный и внешний сегменты множество всех потоков «семантически» можно разделить на четыре схемы (поток между субъектом и объектом означает поток между ассоциированными объектами субъекта и объектом):
1) потоки между локальными субъектами и локальными объектами;
2) потоки между локальными субъектами и удаленными объектами;
3) потоки между удаленными субъектами и локальными объектами;
4) потоки между удаленными субъектами и удаленными объектами.
Четвертая схема описывает взаимодействие субъектов какого-либо локального сегмента, отличного от выделенного, либо с локальными объектами (первая схема), либо удаленными относительно этого сегмента (вторая схема). Третья схема описывает взаимодействие между ассоциированными объектами субъектов локального сегмента и удаленными субъектами. Вторая схема также описывает потоки, которые могут реализоваться лишь через ассоциированные объекты удаленных субъектов. Первая схема подробно изучалась ранее.
Вторая и третья схемы по смыслу тождественны, поскольку выбор локального сегмента КС произволен. Итак, будем рассматривать потоки между внешними субъектами и локальными объектами с учетом замечания об обязательном участии в потоке локального субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом X и локальным субъектом S1. Целью данного взаимодействия является реализация потока между локальным объектом Oj и ассоциированным объектом Ox субъекта X, причем данный поток проходит через ассоциированные объекты локального субъекта S1.
Говоря о потоках, нельзя опускать потенциально возможное свойство порождения субъектом Sj нового субъекта S*:. Created, Ov) ->
Порождение данного субъекта может произойти из объекта-источника:
• локального сегмента КС;
• внешнего сегмента КС.
290
В большинстве случаев рассматривается упрощенная модель работы территориально распределенной КС, которая состоит из двух ЭВМ. Имеются две ЭВМ, соединенных каналом связи. На рассматриваемых ЭВМ установлено телекоммуникационное ПО (ТПО), обеспечивающее совместную работу прикладных программ и аппаратуры передачи данных (модемов) для обмена информацией по каналу связи. Передаваемая и принимаемая информация представляется в различных частях КС на различных уровнях (файлы, части файлов, пакеты). В телекоммуникационном ПО обеих ЭВМ имеется возможность чтения/записи на внешние носители прямого доступа, управляемая посылками из канала связи (в противном случае невозможно хранение принятой информации). Запись происходит с участием собственно телекоммуникационного ПО либо прикладной программы принимающей станции. Кроме того, всегда существует возможность записи в оперативную память принимающей ЭВМ (буферизация). Буферизации могут подвергаться команды управления, поступающие от передающей ЭВМ, либо передаваемые данные.
Полагаем, что злоумышленник — это лицо, которое имеет доступ к каналу связи и располагает идентичным по отношению к передающей ЭВМ комплексом программных и аппаратных средств. Таким образом, работу злоумышленника можно представить как работу либо передающей, либо принимающей ЭВМ, производящей посылку (или прием) на принимающую ЭВМ управляющей и содержательной информации. Обычно говорят о том, что на атакуемой злоумышленником ЭВМ работает некий программный субъект, который традиционно называется телекоммуникационным субъектом. Как правило, современный телекоммуникационный субъект обладает развитым сервисом, причем работает с информацией на уровне файлов ОС (например, продукты FTP Software). Злоумышленные действия в рассматриваемом случае возможны двух основных видов:
• пассивное воздействие, связанное с чтением данных с атакуемой ЭВМ и транспортировкой их на ЭВМ злоумышленника (воздействие инициировано с активной ЭВМ);
• активное воздействие, связанное с навязыванием данных (новых файлов) и модификацией уже существующих.
Обобщим данную модель и сформулируем ее на языке потоков.
Обозначим потоки от ассоциированного объекта Ox субъекта X к ассоциированному объекту Ок субъекта S, и, наоборот, Stream^, Ox) ~> Ок и Stream^, Ок) -» Ox. Предположим также, что свойства субъекта S1 таковы, что возможно существование потоков вида Stream^,, Oj) -» Ок и Stream^,, Ок) -» 0}. По свойству транзитивности потоков имеет место доступ субъекта X к объекту Oj через субъект S1.
291
В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:
1) доступ к объекту Oj со стороны субъекта S1 при управляющем воздействии субъекта X;
2) порождение субъектом Sj из локального объекта нового субъекта S,*, для которого существует поток Stream(Ar, S1*).
