Пути создания ксзи 4 страница

Такое решение проблемы защищенности информации и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы. То есть доказывать, что данная система в заданных условиях поддерживает политику безопасности. В этом суть доказательного подхода к защите информации, позволяющего говорить о «гарантированно защищенной системе». Смысл «гарантированной защиты» в том, что при соблюдении исходных условий заведомо выполняются все правила политики безопасности. Термин «гарантированная защита» впервые встречается в стандарте министерства обороны США на требования к защищенным системам («Оранжевая книга»).

Определение. Политика безопасности это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

Полное описание ПБ достаточно объемно даже в простых случаях, поэтому далее будем пользоваться сокращенными описаниями.

Если вспомнить модель защиты, построенную нами ранее, то смысл политики безопасности очень прост – это набор правил управления доступом. Заметим отличие ПБ от употребляемого понятия несанкционированный доступ (НСД). Первое отличие состоит в том, что политика определяет как разрешенные, так и неразрешенные доступы. Второе отличие – ПБ по своему определению конструктивна, может быть основой определения некоторого автомата или аппарата для своей реализации.

Пример 1. Сформулируем простую политику безопасности в некотором учреждении. Цель, стоящая перед защитой, – обеспечение секретности информации. ПБ состоит в следующем: каждый пользователь пользуется своими и только своими данными, не обмениваясь с другими пользователями. Легко построить систему, поддерживающую эту политику. Каждый пользователь имеет свой персональный компьютер в персональной охраняемой комнате, куда не допускаются кроме него посторонние лица. Легко видеть, что сформулированная выше политика реализуется в этой системе. Будем называть эту политику тривиальной разграничительной (дискреционной) политикой.

ПБ определяется неоднозначно и, естественно, всегда связана с практической реализацией системы и механизмов защиты. Например, ПБ в рассмотренном примере может полностью измениться, если в организации нет достаточного числа компьютеров и помещений для поддержки этой политики.

Выбор ПБ определяется фазовым пространством, допустимыми природой вычислительных процессов, траекториями в нем и заданием неблагоприятного множества . Корректность ПБ в данных конкретных условиях должна быть, вообще говоря, доказана.

Построение политики безопасности обычно соответствует следующим шагам:

1 шаг. В информацию вносится структура ценностей и проводится анализ риска.

2 шаг. Определяются правила для любого процесса пользования данным видом доступа к элементам информации, имеющим данную оценку ценностей.

Однако реализация этих шагов является сложной задачей. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики. Таким образом, даже хорошая система защиты может быть «прозрачной» для злоумышленника при плохой ПБ.

Рассмотрим следующие примеры.

Пример 2. Пусть банковские счета хранятся в зашифрованном виде в файлах ЭВМ. Для шифрования используется блочная система шифра, которая для надежности реализована вне компьютера и оперируется с помощью доверенного лица. Прочитав в книгах о хороших механизмах защиты, служба безопасности банка убеждена, что если шифр стойкий, то указанным способом информация хорошо защищена. Действительно, прочитать ее при хорошем шифре невозможно, но служащий банка, знающий стандарты заполнения счетов и имеющий доступ к компьютеру, может заменить часть шифртекста в своем счете на шифртекст в счете богатого клиента. Если форматы совпали, то счет такого служащего с большой вероятностью возрастет. В этом примере игра идет на том, что в данной задаче опасность для целостности информации значительно выше опасности для нарушения секретности, а выбранная политика безопасности хорошо защищает от нарушений секретности, но не ориентирована на опасность для целостности.

ДИСКРЕЦИОННАЯ ПОЛИТИКА.

Заглавие параграфа является дословным переводом Discretionary policy, еще одним вариантом перевода является следующий – разграничительная политика. Рассматриваемая политика – одна из самых распространенных в мире, в системах по умолчанию имеется ввиду именно эта политика.

Пусть – множество объектов, – множество субъектов, . Пусть – множество пользователей. Определим отображение: .

В соответствии с этим отображением каждый объект является собственностью соответствующего пользователя. Пользователь, являющийся собственником объекта, имеет все права доступа к нему, а иногда и право передавать часть или все права другим пользователям. Кроме того, собственник объекта определяет права доступа других субъектов к этому объекту, то есть политику безопасности в отношении этого объекта. Указанные права доступа записываются в виде матрицы доступа, элементы которой - суть подмножества множества , определяющие доступы субъекта к объекту .

Существует несколько вариантов задания матрицы доступа.

1. Листы возможностей: Для каждого субъекта создается лист (файл) всех объектов, к которому имеет доступ данный объект.

2. Листы контроля доступа: для каждого объекта создается список всех субъектов, имеющих право доступа к этому объекту.

Дискреционная политика связана с исходной моделью таким образом, что траектории процессов в вычислительной системе ограничиваются в каждом доступе. Причем вершины каждого графа разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий для рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые в свою очередь определяются запретами на некоторые дуги. Дискреционная политика, как самая распространенная, больше всего подвергалась исследованиям. Существует множество разновидностей этой политики. Однако многих проблем защиты эта политика решить не может. Одна из самых существенных слабостей этого класса политик то, что они не выдерживают атак при помощи «троянского коня». Это означает, в частности, что система защиты, реализующая дискреционную политику, плохо защищает от проникновения вирусов в систему и других средств скрытого разрушающего воздействия. Покажем на примере принцип атаки «троянским конем» в случае дискреционной политики.

Пример 1. Пусть – некоторый пользователь, а – пользователь-злоумышленник, – объект, содержащий ценную информацию, – программа с «троянским конем» , и – матрица доступа, которая имеет вид:

Проникновение программы происходит следующим образом. Злоумышленник создает программу и, являясь ее собственником, дает запускать ее и писать в объект информацию. После этого он инициирует каким-то образом, чтобы запустил эту программу (например, - представляет интересную компьютерную игру, которую он предлагает для развлечения). запускает и тем самым запускает скрытую программу , которая обладая правами (т.к.была запущена пользователем ), списывает в себя информацию, содержащуюся в . После этого хозяин объекта , пользуясь всеми правами, имеет возможность считать из ценную информацию объекта .

Следующая проблема дискреционной политики – это автоматическое определение прав. Так как объектов много, то задать заранее вручную перечень прав каждого субъекта на доступ к объекту невозможно. Поэтому матрица доступа различными способами агрегируется, например, оставляются в качестве субъектов только пользователи, а в соответствующую ячейку матрицы вставляются формулы функций, вычисление которых определяет права доступа субъекта, порожденного пользователем, к объекту . Разумеется, эти функции могут изменяться во времени. В частности, возможно изъятие прав после выполнения некоторого события. Возможны модификации, зависящие от других параметров.

Одна из важнейших проблем при использовании дискреционной политики - это проблема контроля распространения прав доступа. Чаще всего бывает, что владелец файла передает содержание файла другому пользователю и тот, тем самым, приобретает права собственника на информацию. Таким образом, права могут распространяться, и даже, если исходный владелец не хотел передавать доступ некоторому субъекту к своей информации в , то после нескольких шагов передача прав может состояться независимо от его воли. Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ. Эта задача исследовалась в модели «take-grant», когда форма передачи или взятия прав определяются в виде специального права доступа (вместо «own»).

МНОГОУРОВНЕВАЯ ПОЛИТИКА БЕЗОПАСНОСТИ.

Многоуровневая политика безопасности (политика MLS) принята всеми развитыми государствами мира. В повседневном секретном делопроизводстве государственный сектор России также придерживается этой политики.

Основами политики MLS являются решетка ценностей и информационный поток, понятия которых были введены нами ранее.

Для произвольных объектов и пусть имеется информационный поток , где – источник, а – получатель информации. Отображение считается заданным. Если , то - более ценный объект, чем .

Определение. Политика MLS считает информационный поток разрешенным тогда и только тогда, когда в решетке .

Таким образом, политика MLS имеет дело с множеством информационных потоков в системе и делит их на разрешенные и неразрешенные очень простым условием. Однако эта простота касается информационных потоков, которых в системе огромное количество. Поэтому приведенное выше определение неконструктивно. Хотелось бы иметь конструктивное определение на языке доступов. Рассмотрим класс систем с двумя видами доступов и (хотя могут быть и другие доступы, но они либо не определяют информационных потоков, либо выражаются через и ). Пусть процесс в ходе решения своей задачи последовательно обращается к объектам (некоторые из них могут возникнуть в ходе решения задачи).

Пусть , .

Тогда из ранее рассмотренного следует, что при выполнении условий , соответствующие потоки информации, определяемые доступом , будут идти в разрешенном политикой MLS направлении, а при , потоки, определяемые доступом , также будут идти в разрешенном направлении. Таким образом, в результате выполнения задачи процессом , информационные потоки, с ним связанные, удовлетворяют политике MLS. Такого качественного анализа оказывается достаточно, чтобы классифицировать почти все процессы и принять решение о соблюдении или нет политики MLS. Если где-то политика MLS нарушается, то соответствующий доступ не разрешается. Причем разрешенность цепочки доступов вовсе не означает, что субъект не может создать объект такой, что . Однако он не может писать туда информацию. При передаче управления поток информации от процесса или к нему прерывается (хотя в него другие процессы могут записывать или считывать информацию как в объект). При этом, если правила направления потока при и выполняются, то политика MLS соблюдается, если нет, то соответствующий процесс не получает доступ. Таким образом, мы приходим к управлению потоками через контроль доступов. В результате для определенного класса систем получим конструктивное описание политики MLS.

Определение. В системе с двумя доступами и политика MLS определяется следующими правилами доступа: и .

Структура решетки очень помогает организации поддержки политики MLS. В самом деле, пусть имеется последовательная цепочка информационных потоков . Если каждый из потоков разрешен, то свойства решетки позволяют утверждать, что разрешен сквозной поток . Действительно, если информационный поток на каждом шаге разрешен, то , тогда по свойству транзитивности решетки , следовательно сквозной поток разрешен.

Политика MLS в современных системах защиты реализуется через мандатный контроль. Мандатный контроль реализуется подсистемой защиты на самом низком аппаратно-программном уровне, что позволяет эффективно строить защищенную среду для механизма мандатного контроля. Устройство мандатного контроля, удовлетворяющее некоторым дополнительным, кроме перечисленных, требованиям, называется монитором обращений. Мандатный контроль еще называют обязательным, так как его проходит каждое обращение субъекта к объекту, если субъект и объект находятся под защитой системы безопасности. Организуется мандатный контроль следующим образом. Каждый объект имеет метку с информацией о классе . Каждый субъект также имеет метку, содержащую информацию о том, какой класс доступа он имеет. Мандатный контроль сравнивает метки и удовлетворяет запрос субъекта к объекту на чтение, если и удовлетворяет запрос на запись, если . Тогда согласно изложенному выше мандатный контроль реализует политику MLS.

Политика MLS устойчива к атакам «троянским конем». Поясним это утверждение на примере, являющимся продолжением примера из параграфа, посвященного рассмотрению дискреционной ПБ.

Пример 1. Пусть пользователи и находятся на разных уровнях, например . Тогда, если может поместить в объект ценную информацию, то он может писать туда и , то есть . Тогда любой «троянский конь» , содержащийся в объекте , который может считать информацию в , должен отражать соотношение . Из чего следует, что и пользователь не имеет право прочитать в , что делает съем в и запись в бессмысленным.

Политика MLS создана, в основном, для сохранения секретности информации. Вопросы целостности при помощи этой политики не решаются или решаются как побочный результат защиты секретности. Вместе с тем, рассмотренный нами ранее пример показывает, что они могут быть противоречивы.

Пример 2. (Политика целостности Biba). Предположим, что опасности для нарушения секретности не существует, а единственная цель политики безопасности – защита от нарушений целостности информации. Пусть, по-прежнему, в информацию внесена решетка ценностей . В этой связи любой информационный поток может воздействовать на целостность объекта и совершенно не воздействовать на целостность источника . Если в более ценная информация, чем в , то такой поток при нарушении целостности принесет более ощутимый ущерб, чем поток в обратном направлении от более ценного объекта к менее ценному . Biba предложил в качестве политики безопасности для защиты целостности следующее.

Определение. В политике Biba информационный поток разрешен тогда и только тогда, когда .

Можно показать, что в широком классе систем эта политика эквивалентна следующей.

Определение. Для систем с доступами и политика Biba разрешает доступ в следующих случаях: и

Очевидно, что для реализации этой политики также подходит мандатный контроль.

МОДЕЛЬ "TAKE-GRANT".

Будем описывать функционирование системы при помощи графов доступов и траекторий в фазовом пространстве . Будем считать, что множество доступов , где – читать, – писать, – вызывать. Допустим, что субъект может иметь права на доступ к объекту , эти права записываются в матрице контроля доступов. Кроме этих прав мы введем еще два: право и право , которые также записываются в матрицу контроля доступов субъекта к объектам. Можно считать, что эти права определяют возможности преобразования одних графов состояний в другие. Преобразование состояний, то есть преобразование графов доступов, проводятся при помощи команд. Существует 4 вида команд, по которым один граф доступа преобразуется в другой.

1. «TAKE». Пусть – субъект, обладающий правом к объекту и некоторое право доступа объекта к объекту . Тогда возможна команда «». В результате выполнения этой команды в множество прав доступа субъекта к объекту добавляется право . Графически это означает, что, если в исходном графе доступов был подграф , то в новом состоянии , построенном по этой команде , будет подграф

2. «GRANT». Пусть субъект обладает правом к объекту и правом к объекту . Тогда возможна команда «». В результате выполнения этой команды граф доступов преобразуется в новый граф , который отличается от добавленной дугой . Графически это означает, что если в исходном графе был подграф , то в новом состоянии будет подграф

Дата добавления: 2014-01-07; Просмотров: 357; Нарушение авторских прав?; Мы поможем в написании вашей работы!