Мандатное управление доступом (МРД)

Мандатное управление доступом представляет собой подход к управлению безопасностью в информационных системах, при котором система сама определяет и принимает решения о предоставлении или ограничении доступа к ресурсам в зависимости от заданных правил безопасности.

В подразделе выполняется поддержка МРД, настройка классификаторов уровней и категорий конфиденциальности и настройка их для пользователя.

Поддержка МРД включает в себя применение политик безопасности, ведение журналов аудита и контроль за перемещением информации между уровнями доступа. Настройка уровней и категорий для пользователя дает возможность точно определить, к каким ресурсам системы пользователь имеет право получить доступ, что минимизирует риски несанкционированного доступа к защищаемой информации.

Модель мандатного управления доступом

Модель МРД основана на правилах WURD (write up, read down) — субъекты могут записывать только в объекты с уровнем конфиденциальности равным или выше своего, а читать только из объектов с уровнем равным или ниже своего. В Astra Linux используется МРОСЛ ДП-модель, которая объединяет мандатное управление доступом (МРД), мандатный контроль целостности (МКЦ) и дискреционное управление доступом.

Уровни конфиденциальности

Классификаторы уровней определяют иерархическую структуру допуска к информации по степени секретности. Уровни конфиденциальности представляют целые числа от 0 до 255 с текстовыми наименованиями. По умолчанию создается четыре уровня (0-3), где 0 означает отсутствие конфиденциальности. Администратор может добавлять новые уровни, при этом рекомендуется использовать значения 10, 20, 30 вместо 1, 2, 3 для возможности вставки промежуточных уровней. Для работы с уровнями выше 3 необходимо изменить параметр sysmaclev в /usr/sbin/pdp-init-fs и перезагрузить систему.

Категории конфиденциальности

Категории конфиденциальности — неиерархические метки от 0 до 63 с текстовыми наименованиями, позволяющие разделять доступ к информации по функциональным областям и рабочим группам. В метках безопасности набор категорий задается 64-битным числом в шестнадцатеричном формате, где каждый бит соответствует отдельной категории. Пользователь с несколькими категориями может читать файлы с любой из них, но записывать только в файлы со всеми своими категориями одновременно.

Делегирование прав обычному пользователю

Чтобы назначить пользователя администратором мандатного разграничения доступа (МРД), необходимо назначить ему следующие привилегии:

  • PARSEC_CAP_CHMAC — дает право изменять метки безопасности;

  • PARSEC_CAP_IGNMACLVL — для обхода контроля уровней конфиденциальности (рекомендуется);

  • PARSEC_CAP_IGNMACCAT — для обхода контроля категорий конфиденциальности (рекомендуется).

Ограничения делегированных прав

Пользователь может потерять доступ к объекту, если назначит ему метку безопасности выше своей. Утилиты администрирования доступны по абсолютному пути /sbin/pdpl-file. Полное администрирование мандатного контроля целостности (МКЦ) доступно только пользователю root с максимальным уровнем целостности max_ilev (63).

Управление метками безопасности

Для назначения меток используется утилита pdpl-file с синтаксисом:

pdpl-file [Уровень_МРД]:[Уровень_МКЦ:[Категории_МРД:[Флаги]]] Имя_объекта

где:

  • Уровень МРД — уровень конфиденциальности, который задается как именем (например, «Совершенно_секретно»), так и числом в обычной десятичной системе счисления (например, «2»). Если значение будет не задано, то по умолчанию назначается нулевой уровень МРД.

  • Уровень МКЦ — уровень целостности, который задается как именем (например, «Высокий»), так и числом в обычной десятичной системе счисления (например, «63»). Если значение будет не задано, то по умолчанию назначается нулевой уровень МКЦ.

  • Категории МРД — список категорий конфиденциальности, которые можно перечислить как по именам через запятую (например, «Мотострелковые_войска,Танковые_войска»), так и задать одним числом в шестнадцатеричной системе счисления (например, 0x3).

Если значение не задано, то по умолчанию метка безопасности будет без категорий конфиденциальности. Если нужно задать сразу все доступные категории (значение sysmaxcat), то можно использовать специальное значение «-1». Процессы наследуют метки от родительских процессов, изменить метку может только администратор через утилиту pdp-exec.

Контейнеры объектов

По умолчанию действует политика CCR — в каталоге могут находиться только объекты с меткой, полностью совпадающей с меткой каталога. Новые объекты наследуют метку родительского каталога. Политику можно инвертировать атрибутом CCNR.

Мандатные атрибуты

Основные атрибуты для изменения политики МРД:

  • CCNR — позволяет хранить в каталогах объекты с различными метками конфиденциальности не выше метки каталога. Новые объекты получают нулевую метку. Каталоги с CCNR недоступны на запись обычным пользователям во избежание скрытых каналов связи.

  • EHOLE — делает низкоцелостные файлы с нулевой меткой доступными на запись для процессов с любой меткой. Технически применим к любым файлам, но административно разрешен только для устройств и сокетов (например, /dev/null) во избежание рассекречивания информации.

WHOLE — делает файлы с максимальной меткой доступными на запись для процессов с любой меткой. Используется для файлов журналов, в которые пишут приложения разных уровней конфиденциальности.

Чтобы получить полный список файлов, на которые установлен атрибут ehole или whole, необходимо воспользоваться следующей командой:

find / -exec pdp-ls -MXda {} \; 2> /dev/null | grep ':ehole'

Уровни конфиденциальности

Модель мандатного управления доступом как механизм предотвращения утечки секретной информации использует уровни конфиденциальности.

Уровень конфиденциальности задается целым числом в диапазоне от 0 до 255 включительно, где 0 означает отсутствие конфиденциальности.

Максимально разрешенным уровнем конфиденциальности по умолчанию является 3. Созданные администратором уровни конфиденциальности имеют значение выше 3 и автоматически становятся максимально разрешенными. Администратор может добавлять новые уровни, при этом рекомендуется использовать значения 10, 20, 30 вместо 1, 2, 3 для возможности вставки промежуточных уровней.

Важно

При задании уровня конфиденциальности со значением выше 3 необходимо изменить значение параметра sysmaclev в конфигурационном файле /usr/sbin/pdp-init-fs и перезагрузить операционную систему.

Страница Уровни конфиденциальности содержит таблицу, в которой показаны все созданные уровни конфиденциальности.

Создание уровня

При нажатии кнопки [+Создать] откроется карточка создания нового уровня конфиденциальности.

Карточка содержит два обязательных поля.

Уровень - для выбора уникального числового значения уровня конфиденциальности, доступны только ранее не использованные, валидные значения в диапазоне от 0 до 255.

Название - для введения текста с названием уровня конфиденциальности. Количество символов в названии может быть от 1 до 255. Допустимо использование любых символов в названии. Исключение - первый и последний символ названия. Они должны содержать цифры 0-9 или буквы A-Z, a-z, А-Я, а-я.

Чтобы сохранить новый уровень, необходимо нажать Сохранить.

Для отмены создания нового уровня нажать Отмена. Появится предупреждающее окно с текстом: «Были внесены изменения. Продолжить выход?». Выбрать нужный ответ.

Информацию о правилах валидации сложных полей уровней конфиденциальности можно найти в личном кабинете ALD Pro, в файле Документация API 3.0.0, в разделе 12 Правила валидации сложных полей.

Список уровней

Таблица содержит два столбца: Уровень и Название.. Первый столбец показывает порядковый номер уровня конфиденциальности, валидные значения от 0 до 255. Для невалидного уровня на месте числового значения отображается иконка красного восклицательного знака. При наведении курсора на иконку появляется всплывающая подсказка.

Второй — название уровня конфиденциальности. Оба столбца поддерживают функцию прямой и обратной сортировки.

Вертикальная прокрутка таблицы возможна в пределах 25 строк. В левом нижнем углу списка указано количество записей, а в правом нижнем углу кнопки переключения страниц.

Для поиска уровня необходимо в строке поиска ввести от одного символа названия и нажать кнопку Поиск. Если уровня с введенным названием нет, отобразится надпись «Данные отсутствуют». При возникновении ошибки загрузки данных отобразится сообщение «Ошибка загрузки данных» красным цветом и кнопка Попробовать снова для повторной загрузки.

В строке поиска сохраняются данные о последнем запросе. Если последним действием был выполнен поиск по одному или нескольким символам, возможно стереть данные в строке поиска, нажать кнопку Поиск или Enter, и выполнится исходный запрос. Операция работает однократно.

Удаление уровня

Для удаления одного из уровней конфиденциальности требуется выбрать нужную строку и нажать Удалить. При удалении записи из таблицы появится предупреждающее окно с текстом.

Для подтверждения удаления данных из каталога и со страницы нажать Удалить в модальном окне.

Категории конфиденциальности

На вкладке приводятся настройки категорий конфиденциальности, позволяющие организовать защищенный доступ к секретным материалам разных уровней в общей информационной среде.

Создание категории конфиденциальности

Для создания новой категории конфиденциальности нажать кнопку [+Создать]. Будет выполнен переход на карточку добавления новой категории конфиденциальности. На карточке Новая категория конфиденциальности в поле Разряд из выпадающего списка выбрать значение и заполнить поле Название. Для сохранения изменений нажать кнопку Сохранить.

Список категорий конфиденциальности

На вкладке приведен список категорий конфиденциальности с указанием разряда и названия.

Для списка доступен поиск по названию. Для этого вверху вкладки в поле поиска ввести значение от 1 символа.

В столбце Разряд (порядковый номер) для невалидной категории на месте числового значения отображается иконка воклицательного знака в круге. В столбце Разряд доступна сортировка по возрастанию и убыванию числовых значений. В столбце Название доступна стандартная сортировка значений в прямом и обратном порядке.

Удаление категории конфиденциальности

На основной вкладке Категории конфиденциальности выбрать нужную категорию конфиденциальности, установив соответствующую радиокнопку, затем нажать кнопку [Удалить] над таблицей и подтвердить операцию.

Примечание

Модальное окно для подтверждения удаления содержит текст:

  • для валидной категории конфиденциальности: «Категория будет удалена. Категорию будет невозможно использовать при входе в систему у доменных учетных записей.»;

  • для невалидной категории конфиденциальности: «Категория будет удалена.»

Аудит Parsec

На странице Аудит Parsec представлена таблица с событиями мониторинга и контроля операций безопасности в операционной системе «Astra Linux».

Страница Аудит Parsec доступна только в режиме чтения. В таблице сначала отображаются все валидные события, потом — невалидные.

Разряд - столбец с числовым значением события аудита. Разряд события означает номер бита двоичного представления значения атрибута, нумерация начинается с нуля.

Для невалидного события на месте числового значения отображается иконка красного восклицательного знака. При наведении курсора на иконку появляется надпись «Ошибка».

Событие - столбец с названием события аудита.

Описание - столбец с описанием события аудита.

Вертикальная прокрутка таблицы возможна в пределах 25 строк. В левом нижнем углу списка указано количество записей, а в правом нижнем углу кнопки переключения страниц.

Привилегии Parsec

На странице Привилегии Parsec представлена таблица с полным списком и описанием привилегий Parsec операционной системы «Astra Linux».

Страница Привилегии Parsec доступна только в режиме чтения. В таблице сначала отображаются все валидные привилегии, потом — невалидные.

Разряд - столбец с числовым значением привилегии Parsec. Разряд привилегии означает номер бита двоичного представления значения атрибута, нумерация начинается с нуля.

Для невалидной привилегии на месте числового значения отображается иконка красного восклицательного знака. При наведении курсора на иконку появляется всплывающая подсказка ошибки.

Название - столбец с названием привилегии Parsec.

Описание - столбец с описанием привилегии Parsec.

Вертикальная прокрутка таблицы возможна в пределах 25 строк. В левом нижнем углу списка указано количество записей, а в правом нижнем углу кнопки переключения страниц.

Учтенные устройства

На вкладке приводится настройка учтенных устройств. Учтенное устройство - это устройство, для которого создано индивидуальное правило, определяющее параметры подключения в системе.

Создание учтенного устройства

Для создания нового устройства нажать кнопку [+Создать]. Будет выполнен переход в карточку добавления нового учтенного устройства.

На карточке Новое устройство заполнить поле Название, в поле Владелец и Группа пользователей устройства из выпадающего списка выбрать значение. В выпадающих списках доступен поиск: для владельца — по логину, фамилии, имени, отчеству; для группы пользователей устройства — по имени группы. При отсутствии результатов поиска отображается «Значений не найдено». Заполнить поле Атрибуты, нажав на кнопку [+ Добавить атрибут]. При необходимости заполнить поле Описание, переключатель Включить: устройство может быть включено, т.е. учитываться при работе, или выключено, т.е. не учитываться при работе. По умолчанию переключатель включен. Чтобы отключить необходимо снять флаг Включен. Нажать кнопку Сохранить. После сохранения в карточке учтенного устройства становятся доступными для редактирования вкладки Параметры, МРД, Аудит Parsec и Правила для устройств (см. подраздел Редактирование учтенного устройства)

Атрибуты — это системные параметры и характеристики оборудования, которые используются операционной системой для идентификации учтенных устройств при их подключении. Допустимые символы для атрибута: буквы и цифры.

Примечание

В поле Атрибут должен быть заполнен хотя бы 1 атрибут.

Информацию о правилах валидации сложных полей учтенных устройств можно найти в личном кабинете ALD Pro, в файле Документация API 3.0.0, в разделе 12 Правила валидации сложных полей.

Редактирование учтенного устройства

Для редактирования выбрать устройство и перейти в его карточку. Данные об устройстве представлены на четырех вкладках: Параметры, МРД, Аудит Parsec, Правила для устройства.

Вкладка Параметры содержит нередактируемые поля Название, Классификационная метка устройства и Метка аудита устройства. Для редактирования доступны поля Владелец, Группа пользователей устройства и Описание. В полях Владелец и Группа пользователей устройства доступен выбор из выпадающего списка и поиск от 3-х символов: для владельца — по логину, фамилии, имени, отчеству; для группы пользователей устройства — по имени группы. При отсутствии результатов поиска отображается сообщение «Значений не найдено». Поле Права доступа к устройству не обязательно для заполнения, значение по умолчанию 640 (присутствует подсказка Формат UGO). Переключатель Включить активирует правило учета и по умолчанию включен. В обязательном поле Атрибуты должен быть указан минимум один атрибут. Для добавления нового атрибута необходимо нажать кнопку [+Добавить атрибут]. Для удаления атрибута нажать на кнопку [–] Для сохранения внесенных изменений нажать кнопку [Сохранить]. Появится модальное окно подтверждения действия.

Вкладка МРД содержит обязательно поле с выпадающим списком для выбора уровня конфиденциальности - Уровень конфиденциальности. Значение по умолчанию - «0: Низкий». На вкладке присутствует таблица, в которой доступно добавление или удаление категорий конфиденциальности. Для добавления категории в таблице нажать на кнопку [+Добавить], появляется вкладка Добавить записи с полем для поиска необходимой категории и таблицей категорий. Выбрать один или несколько чекбоксов в первом столбце, нажать на кнопку [Добавить]. Для удаления категории конфиденциальности в таблице на вкладке МРД выбрать один или несколько чекбоксов в первом столбце и нажать кнопку [Исключить]. Появится модальное окно подтверждения действия. Изменения на этой вкладке сохраняются автоматически.

Вкладка Аудит Parsec содержит таблицу для настройки событий аудита со столбцами Разряд, Событие и чекбоксами в столбцах Успех и Отказ. Чекбоксы доступны для редактирования. Столбцы Успех и Отказ позволяют администратору указать, какие события следует записывать в журнал аудита: успешно выполненные операции с устройством, отказы в выполнении операций, или оба типа событий одновременно. Для сохранения изменений необходимо нажать на кнопку [Сохранить].

На вкладке Правила для устройства содержит таблицу назначенных правил для устройств с возможностью добавления и исключения элементов из общего списка. Для добавления правила нажать на кнопку [+Добавить]. Для удаления правила нажать на кнопку [–Исключить] и подтвердить операцию. Все изменения на этой вкладке сохраняются автоматически.

Список учтенных устройств

На вкладке приведен список учтенных устройств с указанием названия, владельца, описания и состояния.

Для списка доступен поиск по полям Название, Владелец и Описание. Для этого в поле поиска ввести значение от 1 символа.

В столбце Владелец указан логин пользователя. В столбце Описание приведено описание устройства.

В столбце Название доступна прямая и обратная сортировка. В столбце Состояние доступна фильтрация для отображения включенных или отключенных правил. Для этого необходимо выбрать состояние и нажать кнопку ОК.

Удаление учтенного устройства

На основной вкладке Учтенные устройства выбрать необходимое устройство и в открывшейся карточке с информацией о нем в разделе Параметры нажать кнопку [Удалить], подтвердить удаление. После удаления будет выполнен переход к списку оставшихся устройств.

Правила для устройств

На вкладке отображаются правила для учтенных устройств. Учтенными устройствами считаются внешние носители, которые заранее зарегистрированы в системе. Каждое правило позволяет задать один атрибут, который затем можно назначить на любое количество устройств.

Создание правила

Для создания нового правила нажать кнопку [+Создать]. Будет выполнен переход на карточку добавления нового правила. На карточке Новое правило заполнить обязательные поля Название, Атрибут, при необходимости поле Описание, переключатель Включить: правило может быть включено, т.е. учитываться при работе, или выключено, т.е. не учитываться при работе. По умолчанию чекбокс включен. Чтобы отключить необходимо снять флаг Включен. Нажать кнопку Сохранить.

Информацию о правилах валидации сложных полей правил учтенных устройств можно найти в личном кабинете ALD Pro, в файле Документация API 3.0.0, в разделе 12 Правила валидации сложных полей.

Список правил

На вкладке приведен список правил учтенных устройств с указанием названия правила, описания и состояния.

Для списка доступен поиск по названию и по описанию. Поиск работает от 1 символа.

В столбце Правило доступна сортировка по алфавиту. В столбце Состояние доступна фильтрация для отображения включенных или отключенных правил. Для этого необходимо выбрать состояние и нажать кнопку ОК

Для просмотра информации о правиле необходимо нажать на правило. Откроется карточка с информацией о нем: Название, Атрибут, переключатель Включить, Описание

Удаление правила

На вкладке Правила для устройств нажать на правило и в открывшейся карточке с информацией о нем нажать кнопку [Удалить], подтвердить удаление. После удаления будет выполнен переход к списку оставшихся правил.