Политики безопасности

Политики и классы политик

Политика безопасности или просто политика – это метод, определяющий правило проверки допустимости события. Политики делятся на два типа:

• Политики-правила – это методы, возвращающие решение "разрешено" или "запрещено". Политики-правила могут изменять внутреннее состояние модуля безопасности.
• Политики-выражения – это методы, возвращающие значение, которое может использоваться как аргумент других политик. Если вернуть значение не удалось, политики-выражения могут также вернуть "запрещено".

Подробнее см. "Политики-правила и политики-выражения".

Политики безопасности выносят решение на основе данных о событии (например, имя запускаемой сущности или фактические аргументы вызываемого метода), а также могут учитывать состояние объекта класса (см. ниже), методами которого являются. Вызовы политик могут быть вложены друг в друга.

Класс политик безопасности – набор семантически связанных политик, описывающих определенную модель безопасности.

В составе KasperskyOS Community Edition поставляются следующие классы политик:

• Base – базовый класс, реализующий политики grant, assert и deny,
• Regex – класс, реализующий валидацию текстовых данных по статическим шаблонам (регулярным выражениям),
• HashSet – класс, реализующий механизмы работы со структурами данных типа "hash-таблица",
• StaticMap – класс, реализующий механизмы работы со структурами данных типа "словарь со статическими ключами",
• Flow – реализация конечного автомата,
• RBAC – реализация модели управления доступом на основе ролей (Role Based Access Control).

Подробнее см. "Классы политик безопасности".

Объект класса

Каждая политика является методом заранее созданного объекта класса. Объект класса имеет внутреннее состояние, которое политики могут учитывать при вынесении решения "разрешено" или "запрещено".

В зависимости от описываемой модели безопасности, объект класса может:

• иметь глобальное (в контексте монитора безопасности) внутреннее состояние;
• позволять привязывать данные, содержащиеся в его внутреннем состоянии, к конкретным пользовательским ресурсам, взаимодействие с которыми нужно контролировать (например файлам или портам).

Вызов политики представляет собой вызов метода объекта класса в конкретных условиях и с конкретными аргументами. Некоторые политики-правила могут изменять состояние объекта класса, методами которого они являются.

Связь с событиями и вызов политик

Когда сущность инициирует событие (отправка запроса или ответа, запуск другой сущности или вызов интерфейса безопасности), подсистема Kaspersky Security System вызывает все политики, связанные с этим конкретным событием. Если все политики вернули решение "разрешено", то Kaspersky Security System возвращает решение "разрешено". Если хотя бы одна политика вернула решение "запрещено", Kaspersky Security System возвращает решение "запрещено".

Если с событием не связана ни одна политика безопасности, Kaspersky Security System возвращает решение "запрещено". Таким образом, в KasperskyOS все, что не разрешено явно, запрещено (принцип Default Deny).

Связывание событий с политиками задается статически в специальном файле security.psl (т.н. политика безопасности решения).

В начало