Учебное пособие 800354
.pdfдоступа к информации, применительно к случаю контроля целостности. Так как в последующем будет рассмотрена подробно модель Белла-Лападулла, то модель Биба здесь рассматриваться не будет.
Модель Кларка-Вилсона появилась в результате анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. Основные понятия рассматриваемой модели – это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и определяет две категории объектов данных и два класса операций над ними. Все содержащиеся в системе данные подразделяются на контролируемые и неконтролируемые элементы. Целостность первых обеспечивается моделью Кларка-Вилсона. Последние содержат информацию, целостность которой в рамках данной модели не контролируется. Данная модель вводит два класса операций над элементами данных: процедуры кон-
троля целостности (integrity verification procedures - IVP) и процедуры преобразования (transformation procedures - TP).
Наконец, модель содержит 9 правил, определяющих взаимоотношения элементов данных и процедур в процессе функционирования системы, показанных в табл.12.
Таблица 12
Правила модели Кларка-Вилсона
Правило |
модели |
Кларка- |
Обо- |
Принципы поли- |
Вилсона |
|
|
зна- |
тики контроля це- |
|
|
|
че- |
лостности, реали- |
|
|
|
ние |
зуемые правилом |
|
|
|
пра- |
|
|
|
|
вила |
|
Множество всех процедур кон- |
С1 |
Корректность |
||
троля целостности (IVP) долж- |
|
транзакций, объ- |
261
но содержать процедуры кон- |
|
ективный |
кон- |
|||||
троля |
|
целостности |
любого |
|
троль |
|
||
элемента данных из множества |
|
|
|
|||||
всех контролируемых данных |
|
|
|
|||||
Все процедуры преобразования |
С2 |
Корректность |
|
|||||
(TP) должны быть реализованы |
|
транзакций |
|
|||||
корректно в том смысле, что не |
|
|
|
|||||
должны |
нарушаться |
целост- |
|
|
|
|||
ность обрабатываемых контро- |
|
|
|
|||||
лируемых данных. Кроме того, |
|
|
|
|||||
с каждой процедурой преобра- |
|
|
|
|||||
зования |
должен |
быть |
связан |
|
|
|
||
список |
контролируемых эле- |
|
|
|
||||
ментов, |
которые |
допустимо |
|
|
|
|||
обрабатывать данной процеду- |
|
|
|
|||||
рой. Такая связь устанавлива- |
|
|
|
|||||
ется |
администратором |
безо- |
|
|
|
|||
пасности |
|
|
|
|
|
|
||
Система должна |
контролиро- |
Е1 |
Минимизация |
|||||
вать допустимость применения |
|
привилегий, |
раз- |
|||||
ТР к контролируемым элемен- |
|
граничение функ- |
||||||
там в соответствии со списка- |
|
циональных |
обя- |
|||||
ми, указанными в правилами |
|
занностей |
|
|||||
С2 |
|
|
|
|
|
|
|
|
Система должна поддерживать |
Е2 |
Корректность |
|
|||||
список |
разрешенных конкрет- |
|
транзакций, |
ау- |
||||
ным |
пользователем |
процедур |
|
тентификация |
||||
преобразования |
с |
указанием |
|
пользователя, |
ми- |
|||
допустимого для каждого ТР и |
|
нимизация |
при- |
|||||
данного |
пользователя |
набора |
|
вилегий, |
|
|||
обрабатываемых |
|
элементов |
|
|
|
|||
данных |
|
|
|
|
|
|
|
|
Список, |
определенный |
прави- |
С3 |
Разграничение |
262
лом С2, должен отвечать тре- |
|
функциональных |
|||||
бованию разграничения функ- |
|
обязанностей |
|||||
циональных обязанностей |
|
|
|
|
|||
Система должна аутентифици- |
Е3 |
Аутентификация |
|||||
ровать всех пользователей, пы- |
|
пользователя |
|||||
тающихся |
выполнить какую- |
|
|
|
|||
либо |
процедуру |
преобразова- |
|
|
|
||
ния |
|
|
|
|
|
|
|
Каждая ТР должна записывать |
С4 |
Аудит |
произо- |
||||
в журнал регистрации инфор- |
|
шедших событий |
|||||
мацию, достаточную для вос- |
|
|
|
||||
становления полной картины |
|
|
|
||||
каждого применения этой ТР. |
|
|
|
||||
Журнал регистрации – это спе- |
|
|
|
||||
циальный |
элемент из состава |
|
|
|
|||
контролируемых |
данных, |
|
|
|
|||
предназначенный |
только |
для |
|
|
|
||
добавления в него информации |
|
|
|
||||
Любая ТР, которая обрабаты- |
Е4 |
Корректность |
|||||
вает |
неконтролируемый |
эле- |
|
транзакций |
|||
мент, должна выполнять толь- |
|
|
|
||||
ко корректные преобразования |
|
|
|
||||
этого элемента, в результате |
|
|
|
||||
которого |
неконтролируемый |
|
|
|
|||
элемент превращается в кон- |
|
|
|
||||
тролируемый |
|
|
|
|
|
||
Только специально уполномо- |
С5 |
Разграничение |
|||||
ченное лицо может изменять |
|
функциональных |
|||||
списки, определенные прави- |
|
обязанностей |
|||||
лами С2 и Е2. Это лицо не |
|
|
|
||||
имеет право выполнять какие- |
|
|
|
||||
либо действия, если уполномо- |
|
|
|
||||
чено |
изменять |
регламенти- |
|
|
|
263
рующие эти действия списки
Рассмотрим формальные модели разграничения доступа. Среди этих моделей различают два класса моделей: дискреционные и мандатные. Кроме этого, имеются также модели так называемых прикладных политик – ролевые модели. Мы с вами остановимся кратко на дискреционных и мандатных моделях.
Наиболее известной дискреционной моделью является модель Харрисона-Руззо-Ульмана. Она реализует произвольное управление доступом субъектов к объектам системы и контроль за распространением прав доступа. В рамках этой модели система обработка информации представляется в виде совокупности активных сущностей – субъектов (множество S), пассивных сущностей – объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R r1 , r2, .., rn , озна-
чающих полномочия на выполнение соответствующих действий. При этом принято считать, что все субъекты одновременно являются объектами (для включения в область действия модели отношений между субъектами), то есть S O . Поведение системы моделируется с помощью понятия состояния, при этом пространство состояний - это произведение O S R . Текущее состояние системы Q в
этом пространстве определяется тройкой, состоящей из множества субъектом, множества объектов и матрицы прав доступа M , то есть Q (S,O, M ) . Строки матрицы соответствуют субъектам, а столбцы объектам. Любая ячейка M[s, o] содержит набор прав субъекта s к объекту
o . Поведение системы моделируется переходами между состояниями. Переход осуществляется путем внесения из-
264
менений в матрицу М с помощью команд следующего вида:
command (x1 , x2 ,..., xk ) if
r1 in M[xS1 , xo1 ]and ( условия выполнениякоманды)
r2 in M[xS2 , xo2 ]and ( условия выполнениякоманды)
rm in M[xSmь , xomь ]and ( условия выполнениякоманды)
then
op1 , op2 ,..., opn (операции, составляющие коман-
ду).
Здесь - имя команды, xi - параметры команды, являющиеся идентификаторами объекта и субъекта, si и oi -
индексы субъектов и объектов в диапазоне от1 до к; орi – элементарные операции. Элементарные операции выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы М, являются истинными. В классической модели допускаются только следующие операции
Enter r into M[s, o] (добавление субъекту s права r для объекта o)
Delete r from M[s, o] (удаление у субъекту s права r для объекта o)
Create subject s (создание нового субъекта s) Create object o (создание нового объекта o) Destroy subject s (удаление существующего
субъекта s)
Destroy object o (удаление существующего субъекта o)
265
Модель не налагает каких-либо ограничений на смысл прав доступа и их использование в условиях команд, считая их равнозначными. Поэтому те условия, которые участвуют в условиях выполнения команд, фактически представляют собой не столько права доступа, сколько права управления доступом. То есть модель описывает не только доступ субъектов к объектам, но и распространение прав доступа в системе. На основе такой модели можно построить формальные процедуры определения возможности перехода системы в опасное для информации состояние, в состояние с нарушением прав доступа, если таковое возникнет в результате модификации матрицы. Правда, Харрисон, Руззо и Ульман доказали, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния Q0 и общего права r решить, является
ли данная конфигурация безопасной. Однако для частных случаев такие алгоритмы существуют. Все подобные модели абсолютно уязвимы для атак с помощью программ типа "троянский конь", атак типа "Подмена доверенного объекта", поскольку никакое правило дискреционной политики не нарушается. Развитием данной модели является модель ТАМ (Time Access Matrix), дополненная концепцией типов объектов и субъектов.
В качестве примера мандатной модели рассмотрим модель Белла-ЛаПадулла. Она основана на правилах секретного документооборота, принятого во многих странах мира. Суть ее в назначении субъектам и объектам специальной метки, получившей название уровня безопасности. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основе следующих правил:
266
1.Уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
2.Уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня.
Система в модели представляется, также как в модели Харрисона_Руззо-Ульмана, в виде множества субъектов, объектов и прав доступа read и write. В мандатной модели рассматриваются только эти два вида доступа, хотя она может быть расширена введением дополнительных прав, например, на добавление информации, выполнение программ и т.д. Это объясняется тем, что здесь контролируются не операции, а потоки информации, коорые могут быть только двух видов – от субъекта к объекту (запись) и наоборот (чтение). Уровни безопасности задаются с помо-
щью функции уровня безопасности F : S O L , которая
ставит в соответствие объекту и субъекту уровень безопасности, принадлежащий множеству L, на котором опре-
делена решетка |
, то есть формальная алгебра ( L, , , ), |
||
где L - |
базовое множество уровней безопасности, опера- |
||
тор |
определяет нестрогое отношение порядка для эле- |
||
ментов |
этого |
множества, опреаторы и |
определяют |
процедуры нахождения наименьшей верхней и наибольшей нижней границы элементов на решетке. Модель сис-
темы |
(v0 , R,T ) состоит изначального состояния v0 , |
||||
множества |
запросов |
R |
и |
функции |
перехода |
T : (V R) |
V , которая в ходе множества запросов пере- |
водит систему из одного состояния в другое. Множество состояний представляется в виде набора упорядоченных
267
пар (F, M) , где F -функция уровня безопасности, а М- матрица доступа, отражающая текущую ситуацию с правами доступа субъекта к объектам, но набор прав ограничен лишь правом чтения и записи. ЛаПадулл доказал теорему, носящую его имя, о том, что система безопасна тогда и только тогда, когда ее начальное состояние безопасно и все состояния, достижимые из него путем применения конечной последовательности запросов из R безопасны. Эта теорема получила название основной теоремы безопасности. Суть ее в том, что при любом переходе системы из состояния в состояние не возникает никаких новых отношений и не сохраняется никаких старых отношений, которые будут небезопасны. Мак-Лин развил модель ЛаПадулла, разработав целую решетку моделей ЛаПадулла, сформировал критерий безопасности функций перехода, показал, что на множестве мандатных моделей может быть построена формальная алгебра и т.д. При всей развитости теоретических положений на практике все-таки применяют лишь фрагменты различных формальных моделей и та где обрабатывается классифицированная информация.
268
10. ОСНОВНЫЕ ДОКУМЕНТЫ, РЕГЛАМЕНТИРУЮЩИЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
При проектировании систем защиты необходимо четко ориентироваться в назначении многочисленных документов, которые необходимо учитывать и которыми необходимо руководствоваться на различных этапах создания систем защиты информации для ИТКС.
По функционально-целевому назначению документы по ЗИ подразделяются на следующие основные классы: правовые (нормативные правовые); организаци- онно-распорядительные; нормативные; плановые; информационные.
Правовые вопросы ЗИ закрепляются в самостоятельных правовых документах (актах) или отражаются в виде отдельных положений (разделов) правовых документов (актов) более общего характера.
В правовых документах (актах) определяются концептуальные, правовые, организационные и экономические основы ЗИ, в том числе:
основные направления государственной политики в области ЗИ;
основные права и обязанности государства, организаций, предприятий и граждан в области ЗИ;
основные органы государственного управления, ответственные за организацию ЗИ, сферу их компетентности; основные правила и процедуры аттестации объектов и сертификации средств ЗИ, а также средств контроля
эффективности ЗИ; основные правила и процедуры лицензирования
деятельности в области ЗИ;
269
виды и формы ответственности организаций, предприятий и граждан за нарушение правовых и нормативных требований по ЗИ;
финансово-экономические основы обеспечения работ по ЗИ.
Правовые документы в области ЗИ включают: федеральные законы, законы субъектов Российской
Федерации; указы и распоряжения Президента Российской Фе-
дерации; постановления и распоряжения высших органов ис-
полнительной и судебной власти Российской Федерации и субъектов Российской Федерации;
постановления органов местного самоуправления.
Организационно-распорядительные документы
определяют состав и регламентируют деятельность соответствующих органов и служб при организации и осуществлении ЗИ.
По характеру регламентируемых вопросов (решаемых задач) и продолжительности действия организацион- но-распорядительные документы подразделяют на два вида:
основополагающие (руководящие) документы; распорядительные документы (документы опера-
тивного управления).
Основополагающие (руководящие) документы помимо самостоятельного использования служат основой при разработке нормативных, плановых и информационных документов.
Основополагающие (руководящие) документы по ЗИ являются в своем большинстве подзаконными актами, детализирующими и раскрывающими положения правовых документов. Они устанавливают основные направле-
270