Почему не срабатывают модели разграничения доступа

"В «доисторические» времена, когда персональных компьютеров еще не существовало и даже мейнфреймы были в новинку, контроль доступа, таким, как мы его знаем сегодня, не существовал. Доступ к компьютеру имели единицы проверенных людей в соответствующих ведомствах или исследовательских институтах и ВУЗах. Все знали и доверяли друг другу, и острой необходимости в разграничении доступа не было. Потом пользователей стало больше; надо было считать машинное время, выделяемое каждому из них. И именно в этом момент появился контроль доступа (access control)".

Вот именно так я начал статью для журнала "ИТ Спец". Честно говоря, темой моделей разграничения доступа я не занимался с института. Но тут решил вновь к ней вернуться. Если посмотреть на модели, которые сейчас так или иначе активно используются, то мы увидим, что это либо избирательное управление доступом, либо мандатное. Пресловутая модель Белла-Лападула (братья это или просто коллеги?) стала родоначальнией для многих последующих моделей полномочного доступа. Но многие ли ее используют (если не брать наши СЗИ от НСД и их обязательность применения в некоторых организациях)?

И DAC, и MAC появились тогда, когда о сетях еще никто не задумывался и защиты требовали только автономные конфигурации компьютеров. Но со временем ситуация поменялась и стали проявляться совершенно иные проблемы. Например, как определить права доступа для удаленного субъекта? Или как защититься от скрытых каналов? Мы совершенно забываем про то, что данные модели разрабатывались для обеспечения конфиденциальности. Зачастую в ущерб целостности и доступности. А ведь существуют еще и множество других моделей с другими приоритетами в области защиты. Например, модель Миллена (контроль доступности), Биба (контроль целостности), Кларка-Вилсона (контроль целостности), невыводимости, невмешательства и т.п. И почти нет моделей, которые бы объединяли в себе механизмы обеспечения сразу нескольких свойств защиты информации и информационной системы.

Надо признать, что несмотря на почти сорокалетнюю историю разработки моделей безопасности, сегодня широко используется только две из них – избирательное и полномочное разграничение доступа, ориентированные на предотвращение утечки информации, т.к. нарушение ее конфиденциальности (кстати, если вспомнить "приказ трех" о классификации информационных систем персональных данных, то там мы тоже увидим излишнюю концентрацию на конфиденциальности). Но даже эти модели в своей практической реализации наталкиваются на серьезное препятствие – сложность администрирования и эксплуатации, которые нельзя сделать один раз и забыть. Ситуация меняется постоянно – появляются и исчезают новые файлы и пользователи, а значит постоянного изменения требуют и атрибуты субъектов и объектов доступа. Без наличия достаточного количества персонала (хотя этот показатель конечен по сути своей) или средств автоматизированного контроля прав доступа, внедрение любых моделей безопасности обречено на неудачу.