Kaspersky Security System

Контроль взаимодействия сущностей

Взаимодействие сущностей в KasperskyOS контролируются отдельной подсистемой – Kaspersky Security System. Эта система представлена модулем безопасности, который исполняется в привилегированном режиме.

Kaspersky Security System проверяет каждое сообщение (как запрос, так и ответ), отправляемое сущностями. Ядро доставляет сообщение, только если Kaspersky Security System разрешает его доставку.

Слева: Kaspersky Security System разрешает доставку запроса, справа: доставка запроса запрещена.

Другие виды контролируемых событий

Помимо взаимодействия сущностей, Kaspersky Security System контролирует следующие события:

• Запуск сущности

  С помощью Kaspersky Security System можно разрешить или запретить запуск сущности в зависимости каких-то условий, а также инициализировать контекст безопасности сущности. Например, при использовании модели ролевого доступа можно запустить сущность с определенной ролью.

• Обращение по интерфейсу безопасности

  Интерфейс безопасности (security interface) позволяет сущности напрямую обращаться к Kaspersky Security System. В то время как ядро информирует Kaspersky Security System о каждом обращении к сущности, с помощью интерфейса безопасности можно оповещать Kaspersky Security System об обращениях к любым другим ресурсам.

Политика безопасности решения

Правила взаимодействия сущностей, их запуска и обращения по интерфейсу безопасности статически задаются в отдельном файле security.psl (политика безопасности решения). На основе security.psl собирается модуль безопасности при сборке образа решения. При этом можно комбинировать различные модели безопасности, например ролевой доступ (RBAC), модели конечных автоматов и многие другие.

Политика безопасности решения полностью отделена от бизнес-логики. Это позволяет упростить разработку, а также менять политику безопасности решения и код сущностей независимо друг от друга.

Подробнее см. Часть 3. Политика безопасности решения.

В начало