6.2.1. Обеспечение защиты в протоколах передачи файлов В большинстве ВС протокол передачи файлов реализуется на прикладном уровне семиуровневой эталонной модели протоколов передачи данных в виде утилиты, обеспечивающей ограниченную защиту, основанную на механизмах защиты файлов используемой ОС. В большинстве случаев (в обычных ОС) защита файлов основана на иерархии привилегий, т.е. пользователи (процессы) для получения доступа к отдельному файлу должны иметь определенные права на использование этого файла. Утилита сетевой передачи файлов взаимодействует с локальной системой управления файлами, и, как правило, именно эта система реализует средства работы с файлами. Так, например, утилита передачи файлов использует ее фозможности доступа к файлам. Что касается подсистемы передачи файлов, то доступ к файлам - только одна из многих функций, которые требуют средств защиты. Для реализации механизмов управления доступом в спецификацию файла должны быть включены идентификаторы пользователей, а также их права. Использование этих компонентов требует осторожности, и они должны быть недоступны. Служба защиты при передаче файлов контролирует присваивание величин элементам в наборах данных. Присваивание должно осуществляться в соответствии с правилами и требованиямизащиты, логически связанными со стратегией подсистемы передачи файлов. Подсистема передачи данных представляет интерес не только в связи с защитой данных (в этом аспекте все механизмы обеспечения безопасности связи важны и полезны), но также и в связи с защитой всей управляющей информации (т.е. атрибутов защиты файлов) таким образом, чтобы путь передачи конфиденциальной информации обеспечивался требуемыми условиями защиты всей сети или открытой системы. При этом необходимо обеспечение надежности линий связи. Важной проблемой при работе с файлами является разделение доступа. Во многих системах управления файлами используется атрибут конкурентная обработка, который является логической величиной : разделение доступа либо допускается, либо не допускается. Однако при решении проблемы предоставления доступа к файлам остается еще много проблем. 6.2.2. Параметры защиты для стандарта ISO-OSI ISO-OSI- стандарт доступа и управления передачей файлов FTAM (File Transfer Access and Management) определяет все необходимые правила работы с файлами. В стандарт FTAM включены определения файла, файловой системы, режима, фазы обработки, описаны абстрактные модели операций с файлами, включающие понятия пользователей и разработчиков функций обработки файлов, реальной и виртуальной файловой системы, включающая описание атрибутов файлов, файловых операций, их примитивови параметров; связи между параметрами и атрибутами файлов и, наконец, протокол передачи файлов. Атрибуты файлов объединяются в группы. Ядро составляют атрибуты, необходимые всегда и во всех случаях. Группа атрибутов хранения крайне разнородна; она содержит набор атрибутов, необходимых для отдельных операций над файлами. Они представляют собой основу группы атрибутов защиты, которая содержит атрибуты следующего назначения: * Управление доступом. Набор атрибутов, задающих условия доступа к файлу; доступ к файлу разрешен, если выполняется хотя бы одно условие. * Шифрование. Параметр используется для указания алгоритма шифрования при сохранении данных. (Файл передается в шифрованном виде, во время передачи файлов дешифрование не применяется.) В соответствиии со стандартом FTAM шифрование может применяться только к неструктурированным двоичным файлам. Этотт атрибут не может быть изменен. * Правильная квалификация. Скалярный атрибут, содержащий информацию о правильном статусе файла и его использовании; этот атрибут устанавливается при создании файла, но не может быть изменен; поддержка этого атрибута зависит от способа защиты данных. * Подтверждение подлинности. Скалярный атрибут, который указывает на подлинность информации, сформированной разработчиком операций обработки при создании подсистемы передачи файлов. * Пароль. Векторный атрибут, каждый элемент которого содержит величину, связанную с одним из восьми элементов требуемого атрибута доступа. Эти величины устанавливаются в соответствии со значениями примитивов выборки и созданияфайлов. Атрибут используется при передаче паролей, списка возможностей или элементов шифрования с открытым ключом. * Частное использование. Набор атрибутов, значения которых не определены в стандарте; они могут быть изменены во время существования файла. Итак, множество функций в стандарте FTAM связано с защитой и управлением доступом. Группа атрибутов защиты, соответствующая стандарту FTAM, может быть определена только в том случае, если указана группа атрибутов хранения. При этом возникает проблема согласования изменяемых атрибутов, когда один из них является основным, а остальные подчинены ему. Те, кто желает использовать защиту подсистемы передачи файлов, должны не только хорошо разбираться в атрибутах файлов, но и в абстрактных моделях операций обработки файлов, заданных в стандарте FTAM, поскольку они представляют специальные механизмы защиты файлов и их передачи, необходимые для формирования устойчивой основы для связи отправителя с получателем. 6.2.3. Элементы защиты стандарта FTAM Ниже изложены элементы стандарта FTAM, которые могут быть использованы для реализации защиты и безопасности при передаче файлов. Кроме постоянного набора атрибутов для каждого отправителя имеются атрибуты для каждой выполняемой операции. Этот набор можно расширить для повышения эффективности защиты подсистемы передачи файлов. Функционирование подсистемы передачи файлов носит обычно ассиметричный характер: отправитель является активной стороной, а получатель файла - пассивной. Поток данных в большинстве случаев является однонаправленным. Это необходимо иметь в виду при реализации защиты подсистемы передачи файлов. В стандартах ISO определены два типа операций передачи данных: надежная передача и исправимая передача. При обеспечении защиты необходимо тщательно изучать особенности операций обоих типов. Фаза выбора файла начинается с запроса на передачу отдельного файла. Файл можно выбрать по имени или определенной комбинации атрибутов. Это означает, что в фазе выбора для управления доступом целесообразно воспользоваться некоторой специальной информацией. В ряде случаев по отношению к некоторым файлам может быть применена операция изменения атрибутов. При выполнении этой весьма ответственной операции необходимо тщательно изучить вопросы защиты. 6.2.4. Концепция защиты многоуровневой файловой системы Проектирование и реализация многоуровневой системы защиты позволяют выработать стратегию защиты с очень строгими принципами. Важное значение имеет организация потоков передачи информации в такой системе: допустима передачи информации с более низкого уровня секретности на более высокий, но не наоборот. Однако в действительности связь не может быть односторонней; ЭВМ категории секретно не может корректно передавать информацию ЭВМ категории совершенно секретно, а в дальнейшем и подтверждения правильной передачи. Если одна рабочая ЭВМ пересылает информацию на другую рабочую ЭВМ, отправитель должен быть уверен, что получатель имеет возможность сохранить файл. Наилучший способ гарантировать передачу секретной информации между ЭВМ с различными категориями секретности - это надежный независимый посредник. Сложность такой посреднической операции зависит от полноты реализуемых функций. Считая, что реализуемые функции отвечают условиям простоты и полезности, предлагается использовать многоуровневую систему хранения файлов данных. Это достигается путем дополнения функций системы защиты файлов возможностями связи с ЭВМ различных категорий секретности. Если ЭВМ категории секретно хочет объявить один из файлов доступным ЭВМ более высокой категории, то она "публикует" его, посылая в защищенную систему хранения. Тогда ЭВМ более высокой категории секретности может получить копию файла из этой системы хранения. Схематично такая защищенная система хранения может быть подобна обычной системе UNIX, которая запрещает обращение к файлам всем системам, за исключением тех, которые связаны с этим файлом. Как всякий компонент, он может быть внесен в каталог защищенной файловой системы SFS (Secure File Store), который в системе UNIX называется объединенным каталогом. Каталог защищенной файловой системы содержит подкаталоги для каждого защищаемого раздела системы. Если пользователь категории секретно хочет сделать свой файл доступным пользователю категории совершенно секретно, он копирует его в подкаталог каталога защищенной файловой системы. Операция копирования приводит к тому, что на ЭВМ с защищенной файловой системой вызывается специальная процедура ОС UNIX для создания и записи файла категории секретно (рис.6.1.). Рис. 6.1. Структура UNIX-системы, поддерживающей защищенную файловую систему (СС - совершенно секретно, С - секретно). Защищенная файловая система будет проверять эту запись для того, чтобы определить, разрешается ли этой ЭВМ создавать файлы категории секретно. После подтверждения разрешается операция над файлом и осуществляется его копирование. Аналогично пользователь категории совершенно секретно посылает запрос к UNIX-ЭМВ категории совершенно секретно, и защищенная файловая система вызывает процедуру для копирования файла. Она также проверяет полномочия защиты. Защищенная файловая система будет отвергать запросы от ЭВМ категории совершенно секретнона запись или удаление файла категории секретно. В свою очередь пользователи категории секретно не могут считывать файлы, записанные в подкаталог категории совершенно секретно. При аккуратной организации защищенной файловой системы число аттестуемых на должность механизмов может быть существенно уменьшено. Основная идея состоит в размещении надежных и ненадежных компонентов файловой системы на разных ЭВМ.