- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 62 -
Утверждение 4 (о свойствах объекта первичной аутентификации).
В случае возможности доступа пользователя к содержимому АНП хранение произвольных данных о групповых свойствах приведет к нарушению ПБ.
Доказательство Очевидно, что поле групповой характеристики АНП должно быть
перезаписываемым. Полагаем также, что пользовательский АПН может быть использован в рамках незащищенной КС (считываться и перезаписываться).
Рассмотрим для простоты групповую характеристику мандатного доступа - категорию доступа пользователя. Очевидно, что при знании допустимых значений категорий доступа пользователь по условию утверждения может произвольно изменить ее (например, повысить), что приведет к нарушению ПБ (по аксиоме). Аналогично при идентификации принадлежности к групповым свойствам имя группы также может быть произвольно изменено. Утверждение доказано.
С другой стороны, IDi недоступно для изменения пользователем, а изменение Ki приведет к невозможности использования информации, хранящейся в объекте вторичной аутентификации, поскольку, как минимум, функция контроля целостности H (если она зависит от Ki) не совпадет с эталоном (с учетом свойств функции КЦ).
Сформулируем приведенные рассуждения в виде утверждения.
Утверждение 5 (об изменении информации пользователя в АНП).
Изменение Ki пользователем приводит к нарушению ПБ с вероятностью не более, чем вероятность совпадения функций КЦ, если функция H зависит от Ki и объект вторичной аутентификации недоступен для изменения пользователем.
Доказательство:
Рассмотрим произвольную запись m объекта вторичной аутентификации i- го пользователя. Пусть Ki заменен пользователем на K*i. Нарушение ПБ по условию есть получение информации из FIELDm для измененного K*i. Вероятность получения информации из записи FIELDm совпадает с вероятностью совпадения H(K*i,FIELDm) и H(Ki,FIELDm) (поскольку исходное значение по условию не может быть изменено). Утверждение доказано.
Объект вторичной аутентификации при недоступности его для пользователя по записи защищает от нарушения ПБ (если, конечно, остальные механизмы КС гарантируют ПБ) в случае пользователя-злоумышленника, который может изменять свойства своего АНП.
2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
Выше упоминалось, что при проектировании механизмов генерации ИПС необходимо предусмотреть процедуру проектирования субъекта, который реализует алгоритм вычисления хеш-функций. Этот субъект может быть интегрирован в состав МБС, но может существовать и отдельно. В связи с этим
- 63 -
можно утверждать, что защитная подсистема КС, включающая механизмы генерации ИПС и субъекты МБО, нуждается в реализации ряда общих функций, связанных с логическим преобразованием содержания объектов (функции логической защиты). К таким функциям относятся алгоритмы контроля целостности объектов КС, алгоритмы аутентификации или авторизации субъектов или пользователей, которые управляют субъектами, алгоритмы поддержания конфиденциальности содержания объектов (например, объекта вторичной аутентификации пользователей (см. предыдущую главу)).
Международные стандарты описывают ряд хорошо изученных функций защитного характера, в частности, алгоритмы хеширования MD2 и MD5, ГОСТ Р 34.11, алгоритмы генерации и проверки ЭЦП DSS и ГОСТ Р 34.10. Все эти алгоритмы имеют различную спецификацию вызовов (в частности, различную длину аргументов) и, естественно, не совместимы между собой.
Выше рассматривалась задача разработки универсальных методов проектирования защиты в КС (с применением метода генерации ИПС). В связи с этим необходимо заметить, что описанные методы генерации ИПС и связанные с ним алгоритмы работы с объектами не используют какого-либо конкретного алгоритма контроля целостности или поддержания конфиденциальности (или в случае использования аппаратной поддержки аутентификации, конкретного алгоритма аутентификации). С другой стороны, реализации ИПС должны сопрягаться с различными общепринятыми стандартами реализации логических функций защиты.
При организации территориально распределенных КС в различных локальных сегментах могут использоваться функционально одинаковые, но семантически разные функции логической защиты (вычисление функций КЦ может производиться с применением различных алгоритмов). Следовательно, субъекты различного уровня, участвующие в создании ИПС, должны сопрягаться с существующими решениями в области логической защиты. Особенно актуальна эта проблема относительно стандартизированных и сертифицированных аппаратных модулей типа FORTEZZA или Crypton.
При сопряжении с различными средствами защиты по-прежнему важным остается вопрос о свойствах защищенности КС при добавлении какого-либо субъекта к множеству существующих. Кроме задач семантического сопряжения (по перечню, типу и длине аргументов) или стандартизации функций возникает задача проверки корректности работы субъекта реализации защитных функций, понимаемая несколько шире, чем сформулированная выше корректность субъектов относительно друг друга. Необходимость более широкого взгляда на проблему межсубъектного взаимодействия следует из того, что при передаче информации от субъектов, обеспечивающих гарантии ПБ (МБС) или субъектов реализации ПБ (МБО) к субъектам, реализующим логические функции защиты, происходит в общем случае изменение ассоциированных объектов рассматриваемых субъектов. Несмотря на то, что речь идет об изменении ассоциированных объектов-данных, в случае локализации в рамках одного