все лекции
.pdf
единицам, и как раз им-то нужны только самые простые Internet-функции для доступа к корпоративной почтовой системе.
Простое, дешёвое и эффективное решение – «воздушный зазор»: отсоединить компьютеры отдела кадров от корпоративной сети и Internet. Дать каждому из выделенных сотрудников по дополнительному персональному Internet-компьютеру младшего класса (которые часто безо всякого использования) для доступа к корпоративной почтовой системе. Цена данного решения мала, а проблемы с управлением сводятся на нет.
Недостаток этого типа политики безопасности – статичность
модели: политика безопасности не учитывает динамику изменения
состояния АС, не накладывает ограничения на состояния системы.
Также, при дискреционной политике возникает вопрос определения
правил распространения прав доступа и анализа их влияния на безопасность АС:
перед монитором безопасности объектов (МБО), который при
санкционировании доступа к объекту руководствуется некоторым набором правил,
стоит алгоритмически неразрешимая задача: проверить, приведут ли
его действия к нарушению безопасности или нет.
Т. е., матрица доступов не является тем механизмом, который позволил бы реализовать ясную систему защиты информации в АС.
Впрочем, есть модели политики безопасности, предоставляющие
алгоритмы проверки безопасности (Take–Grant) [6]. Это модель для
анализа систем дискреционного разграничения доступа.
Множество доступов R = {r, w, c} (читать, писать, вызывать) дополняется правом брать «права доступа» take (t) и правом давать «права доступа» grant (g), которые также записываются в матрицу контроля доступов субъекта к объектам.
Эти права определяют возможности преобразования одних состояний в другие (преобразование графов доступа).
(Граф – совокупность непустого (где есть хотя бы один элемент) множества (совокупность различных элементов, мыслимая как единое целое) вершин и наборов пар вершин (связей между вершинами).
Преобразование производится с помощью четырёх команд:
–take – в множество прав доступа субъекта S к объекту Y добавляется право ;
–grant – граф доступов G преобразуется в новый граф G’, который отличается добавленной дугой доступа;
6
–create – создаёт в графе доступа новую вершину и права доступа для неё, т. е., в новом графе доступа G’ добавляется право ;
–remove – исключает право доступа из прав субъекта S к объекту X.
Под безопасностью понимается возможность или невозможность для произвольной фиксированной вершины Р политики безопасности получить доступ к произвольной фиксированной вершине Х путём преобразования текущего графа доступа G некоторой последовательностью команд в новый граф G’, где доступ не разрешён.
Модель представляет всю систему как направленный граф (граф,
рёбрам которого присвоено направление), где узлы – это объекты или субъекты. Дуги
между ними маркированы, и их значения указывают права, которые
имеет объект или субъект (узел).
В модели доминируют два правила: «давать права доступа» и
«брать права доступа». Они играют в ней особую роль, переписывая правила,
описывающие допустимые пути изменения графа.
В общей сложности существует четыре правила преобразования:
правило «брать права доступа»; правило «давать права доступа»; правило
«создать» – субъект создаёт в графе доступа новую вершину и права доступа для неё»; правило «удалить» – исключает право доступа из прав субъекта к объекту».
Используя эти правила, можно воспроизвести состояния, в которых
будет находиться система в зависимости от распределения и изменения прав доступа. Следовательно, можно проанализировать
возможные угрозы для системы, и данная модель используется для анализа
уязвимости различных систем.
3.3 Полномочная (мандатная) политика безопасности
Эта политика составляет мандатное управление доступом.
Англоязычная аббревиатура – МАС (Mandatory access control).
Основу полномочной (мандатной) политики безопасности составляет
полномочное управление доступом, которое подразумевает, что:
7
а) все субъекты и объекты системы должны быть однозначно идентифицированы;
б) задан линейно упорядоченный набор меток секретности;
в) каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нём информации – т. е., его
уровень секретности в АС;
д) каждому субъекту системы присвоено максимальное значение метки секретности объектов, к которым субъект имеет доступ.
Метка секретности субъекта называется его уровнем доступа.
В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности.
Организация меток имеет иерархическую структуру и, таким
образом, в системе можно реализовать иерархически нисходящий поток
информации (например, от руководства к рядовым исполнителям).
Метка критичности объекта отражает уровень важности
информации в нем. Чем важнее объект или субъект, тем выше его метка (наиболее защищёнными оказываются объекты с наиболее высокими значениями метки критичности).
Метка субъекта – это уровень прозрачности, определяющий
максимальное значение метки критичности объектов, к которым
субъект имеет доступ.
Чем важнее объект или субъект, тем выше его метка критичности.
Поэтому наиболее защищёнными оказываются объекты с наиболее высокими значениями метки критичности. Каждый субъект, кроме уровня прозрачности, имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.
8
Основное назначение полномочной политики безопасности –
регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с
верхних уровней («нет записи вниз») должностной иерархии на нижние,
а также блокирование возможных проникновений с нижних уровней
на верхние («нет чтения вверх»).
При этом ОНА ФУНКЦИОНИРУЕТ НА ФОНЕ ИЗБИРАТЕЛЬНОЙ ПОЛИТИКИ, придавая её требованиям иерархически
упорядоченный характер (в соответствии с уровнями безопасности).
Изначально полномочная политика безопасности была разработана
в интересах МО США для обработки информации с различными грифами
секретности.
Её применение в более широком секторе задач сдерживается
следующими основными причинами:
– отсутствием в организациях чёткой классификации хранимой и
обрабатываемой информации, аналогичной государственной классификации (грифы секретности сведений);
– высокой стоимостью реализации и большими накладными
расходами.
Для систем с мандатной политикой характерна более высокая степень надёжности, т. к. для такой системы должны отслеживаться не
только правила обращения субъектов к объектам, но и состояния
самой АС (это модель АС под названием Белла – Ла-Падула).
Т. е., каналы утечки в системах данного типа не заложены в ней непо-
средственно, а могут появиться только при практической реализации системы вследствие ошибок разработчика.
Принципиальное отличие систем с мандатной защитой от систем с
9
дискреционной защитой:
– если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают
ограничений, сформулированных политикой безопасности,
то любое состояние системы безопасно.
3.3.1 Модель Белла – Ла-Падула
Для математической модели конечных состояний системы безопасности может
быть доказана основная теорема безопасности: если начальное
состояние системы безопасно, и все переходы системы из состояния в
состояние не нарушают ограничений, сформулированных политикой
безопасности, |
то |
любое |
состояние |
системы |
безопасно |
. |
Модель Белла – Ла-Падула – это формальная автоматная модель политики безопасности, описывающая множество правил
управления доступом. В этой модели компоненты системы делятся на
объекты и субъекты. Вводится понятие безопасного состояния и доказывается,
что если каждый переход сохраняет безопасное состояние (то есть переводит систему из безопасного состояния в безопасное), то согласно принципу индукции
система является безопасной.
(Индукция: хотим доказать, что некоторое высказывание справедливо для любых целых n. Для этого нужно: а) убедиться, что высказывание справедливо при n = 1; б) предположить, что высказывание справедливо при n = k, и доказать, что отсюда следует справедливость при n = k + 1.
Если доказать удалось, то высказывание справедливо при любом n. Единица в первом шаге может быть заменена любым целым m. Доказательство останется в силе, но будет доказано, что высказывание справедливо при всех целых, больших m.)
Состояние системы считается безопасным, если в соответствии с
политикой безопасности субъектам разрешены только определённые
типы доступа к объектам (в том числе отсутствие доступа).
Для определения, разрешён субъекту доступ к объекту или нет, его уровень прозрачности сравнивается с меткой объекта (уровнем
безопасности объекта) и для запрашиваемого типа доступа принимается решение –
10
разрешить доступ или нет.
Принятие решения осуществляется на основе двух правил:
простого условия безопасности (simple security condition) и *свойства (*-
property или star property – звёздного свойства).
Простое условие безопасности разрешает доступ, если уровень прозрачности субъекта не ниже метки критичности объекта.
Star property – ограничение свободы: правило в модели Белла – Ла-Падулы,
в соответствии с которым объект получает доступ к субъекту для записи только в том случае, если гриф субъекта доминирует над грифом объекта.
Модель Белла – Ла-Падула описывает систему абстрактно, без связи
с её реализацией. В модели определяется множество ограничений на систему, реализация которых будет гарантировать некоторые свойства потоков информации, связанных с безопасностью.
Модель включает: субъекты S – активные сущности в системе; объекты О – пассивные сущности в системе. Субъекты и объекты имеют уровни безопасности. Уровни безопасности являются некоторой характеристикой субъектов и объектов, связанной, как правило, с целевой функцией системы (наиболее часто уровень безопасности связан с уровнем конфиденциальности информации).
Ограничения на систему имеют форму аксиом, которые контролируют способы доступа субъектов к объектам. Эти аксиомы имеют вид: а) запрет чтения информации субъектом с уровнем безопасности меньшим, чем у объекта, из которого информация читается (NO READ UP, «не читать нижним» – NRU); б)
запрет записи информации субъектом с уровнем безопасности большим, чем у объекта, в который информация записывается (NO WRITE DOWN, «не записывать в нижний» – NWD), рисунок 3.2.
11
Рисунок 3.2 – Модель Белла–Ла-Падула (многоуровневого доступа)
При строгой реализации модели Белла – Ла-Падула возникает ряд проблем.
1 Завышение уровня секретности – вытекает из одноуровневой природы объектов. Это означает, что некоторой информации может быть дан уровень секретности выше того, что она заслуживает. Пример – несекретный параграф в секретном сообщении.
2 Запись вслепую – это проблема вытекает из правила NRU. Ситуация, когда субъект производит запись объекта с более высоким уровнем безопасности (эта операция не нарушает правила NWD). Однако после завершения операции субъект не может проверить правильность выполнения записи объекта с помощью контрольного чтения, так как это нарушает правило NRU.
3 Удалённая запись – это проблема вытекает из правила NWD. Ситуация, когда некоторый субъект осуществляет операцию чтения в распределённой системе. Такая операция возможна при выполнении правила NRU, так что уровень безопасности субъекта больше уровня безопасности объекта. Однако в распределённых системах операция чтения инициируется запросом с одной компоненты на другую, что можно рассматривать в данном случае как посылку сообщения от субъекта с более высоким уровнем безопасности к объекту с более низким уровнем, что является нарушением правила NWD.
4 Привилегированные субъекты – эта проблема связана с работой системного администратора. Функционирование системного администратора подразумевает выполнение в системе таких критических операций, как добавление и удаление пользователей, восстановление системы после аварий, установка программного обеспечения, устранение ошибок и т. п. Такие операции не вписываются в модель, что означает невозможность осуществления правильного администрирования без нарушения правил данной модели. Поэтому правила модели Белла – ЛаПадула нужно рассматривать для множества всех субъектов, исключая привилегированные.
3.3.2 Модель low-water-mark (LWM)
Модель является конкретизацией модели Белла – Ла-Падула.
Вмодели LWM предлагается порядок безопасного
функционирования системы в случае, когда по запросу субъекта ему
всегда необходимо предоставлять доступ на запись в объект.
12
Политика безопасности задаётся в следующих предположениях:
–все компоненты ИС классифицированы по уровню конфиденциальности, и fS(S) – уровень доступа субъекта, fС(S) – текущий уровень доступа субъектов, fО(O) – гриф (уровень) конфиденциальности объекта;
–поток информации (в данном случае рассматриваются потоки от объектов к ассоциированным объектам некоторого субъекта) разрешён только «снизу вверх» (в смысле повышения уровня конфиденциальности).
В рассматриваемой системе – один объект и три операции с объектом,
включающие запросы на доступ: read, write и reset (переустановить).
Эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности.
Формальное требование политики в том, что информация может
двигаться только «снизу вверх». Поток информации возможен тогда и только
тогда, когда реализуется доступ субъекта к объекту вида w или r.
Уровень объекта в LWM может меняться: при команде write может
снизиться, а при команде reset подняться.
(По команде reset класс объекта поднимается и становится максимальным в линейном порядке. После этого все субъекты приобретают право w, но право read имеют только субъекты, находящиеся на максимальном уровне. При команде write гриф объекта снижается до уровня субъекта, давшего команду w. При снижении уровня секретности объекта вся прежняя информация в объекте стирается и записывается информация процессом, вызвавшим команду write. Право write имеет любой субъект, у которого fs(S) не больше fo(O), где fo(O) – текущий уровень объекта).
Право reset имеет только тот субъект, который не имеет право write. Право read имеет любой субъект, для которого fs(S) больше либо равно fo(O).
Эта модель является примером того, что происходит, когда изменения
уровня конфиденциальности объекта возможны.
Если отказаться от условия, что при команде write в случае снижения
уровня объекта его содержимое стирается (например, оно становится равным нулевому слову), то в этом случае возможна утечка информации.
В самом деле, любой процесс нижнего уровня, запросив объект для
записи, снижает гриф объекта, а получив доступ w, получает
возможность r. Возникает канал утечки с понижением грифа.
13
Данный пример показывает, что определение безопасного состояния в модели Белла–Ла-Падула неполное и смысл этой модели только в перекрытии каналов указанных видов. Если процесс снижения грифа объекта работает неправильно, то система перестает быть безопасной.
3.3.3 Модель Лендвера Построена на основании моделей конечных состояний. Полная реализация данной модели
представляется достаточно сложной. Система, реализующая модель безопасности Лендвера, должна реализовывать приводимые ниже ограничения: ограничения запрещают пользователю операции, нарушающие эти ограничения.
Часть этих ограничений должна реализовываться пользователями системы (правила безопасности), а часть – системой (ограничения безопасности).
Правила безопасности А1. Администратор безопасности системы присваивает уровни доверия, классификацию
устройств и правильные множества ролей.
А2. Пользователь вводит корректную классификацию, когда изменяет или вводит информацию.
А3. В пределах классификации пользователь классифицирует сообщения и определяет набор доступа для сущностей, которые он создает, так что только пользователь с требуемой благонадежностью может просматривать информацию.
А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности.
Ограничения безопасности В1. Авторизация – пользователь может запрашивать операции над сущностями, только если
пользовательский идентификатор или текущая роль присутствует во множестве доступа сущности вместе с этой операцией и с этим значением индекса, соответствующим позиции операнда, в которой сущность относят к требуемой операции.
В2. Классификационная иерархия – классификация контейнера всегда, по крайней мере, больше или равна классификации сущностей, которые он содержит.
В3. Изменения в объектах – информация, переносимая из объекта всегда содержит классификацию объекта.
Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.
В4. Просмотр – пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю.
В5. Доступ к объектам, требующим степени доверия, – пользователь может получить доступ к косвенно адресованной сущности внутри объекта, требующего степени доверия, только если его степень доверия не ниже классификации контейнера.
В6. Преобразование косвенных ссылок – пользовательский идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.
В7. Требование меток – сущности, просмотренные пользователем, должны быть помечены его степенью доверия.
В8. Установка степеней доверия, ролей, классификации устройств – только пользователь с ролью администратора безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено только администратором безопасности системы или этим пользователем.
В9. Понижение классификации информации – никакая классифицированная информация не может быть понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью «пользователь, уменьшающий классификацию информации».
В10. Уничтожение информации – операция уничтожения информации проводится только пользователем с ролью «пользователь, уничтожающий информацию».
Вывод: для систем, построенных на основании моделей конечных
14
состояний, характерна более высокая степень надёжности, чем для систем, построенных на основании модели дискретного доступа.
Это связано с тем, что система, построенная на основании данной модели, должна отслеживать не только правила доступа субъектов системы к объектам, но и состояние самой системы.
Таким образом, каналы утечки в системах данного типа не заложены непосредственно в модель (что имеется в системах, построенных на основании модели дискретного доступа), а могут появиться только при практической реализации системы вследствие ошибок разработчика. Однако реализация систем данного типа довольно сложна и требует значительных ресурсов вычислительной системы.
3.4 Общая характеристика отечественных и международных нормативных документов
Нормативные документы по защите информации в нашей стране появились
ещё в СССР в 60-е годы ХХ века, но комплексный документ по этому направлению впервые появился в США, где в 1985 г. были утверждены
«Критерии оценки гарантированной защищенности вычислительной
системы» (так называемая «Оранжевая книга»). В 1987 г. были приняты
дополнения по оценке защищенности сетей, а в 1989 г. – по оценке защищенности СУБД.
В Европейском Союзе стал действовать согласованный между Францией, Великобританией, ФРГ и Голландией документ (1991 г.):
«Критерии оценки безопасности информационных технологий».
Международная организация по стандартизации ISO утвердила в
качестве |
международного |
стандарта |
|
|
«Единые |
критерии |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|||
безопасности информационных технологий» |
. |
|
|
|
|
||||||||
|
|
|
|
|
|
||||||||
|
В |
1992 г. |
Гостехкомиссия |
(ГТК) |
при Президенте РФ |
разработала 5 |
|||||||
|
|
|
|||||||||||
руководящих документов |
, посвящённых защите |
информации |
в АС и её |
||||||||||
15