- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 66 -
Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
Открытым интерфейсом (ОИ) МРЗФ назовем детальное специфицирование функций, реализованных в МРЗФ, позволяющее организовать исполнение этих функций из внешних субъектов.
“Открытость” интерфейса понимается как его полное описание для использования реализуемых в МРЗФ функций внешними субъектами. Для проектирования схем информационных потоков КС, в том числе имеющих отношение к обеспечению безопасности, такое описание имеет ключевую роль.
Рассмотрим схему функционирования МРЗФ (рис. 2). Пусть имеется вызывающий субъект Si и его ассоциированные объекты: Ok (объект для передачи информации к МРЗФ) и Of (объект возврата информации от МРЗФ после ее преобразования). Для субъекта МРЗФ выделим ассоциированные объекты: Om для приема информации от вызывающего модуля и Or для размещения информации перед ее транспортировкой к вызвавшему субъекту Si.
2.6. Понятие и свойства модуля реализации защитных функций
Заметим, что МРЗФ является участником межсубъектного взаимодействия в КС.
Сформулируем некоторые свойства МРЗФ.
1. Существует хотя бы один из потоков Stream(Sx,(Ok))->Om и Stream(Sx, Or)->Of. Первый поток описывает передачу информации для обработки в МРЗФ, второй - возврат результата преобразования к ассоциированным объектам
- 67 -
вызвавшего субъекта. Обозначим через F функцию преобразования ассоциированных объектов МРЗФ, обобщая в ней все функции логической защиты, реализуемые конкретным субъектом МРЗФ.
Субъект Sx в данном случае может быть тождественен либо Si, либо МРЗФ и, по определению потока, устанавливает субъект, инициирующий поток.
Возможно четыре ситуации инициирования входного и выходного потока.
1.Поток передачи информации инициируется МРЗФ (процесс субъекта Si устанавливает адрес объекта Ok и активизирует прямо или опосредованно (через субъект запуска задач или загрузки библиотек - обычно, субъект-ядро
ОС) субъект МРЗФ, передавая адрес объекта Ok). Субъект МРЗФ организует поток от Ok к своим ассоциированным объектам Om. В данном случае потоков, влияющих на ассоциированные объекты Si, не возникает.
2.Поток передачи информации инициируется Si (как правило, в случае ждущего режима работы МРЗФ, который фиксирует создание или изменение
объекта Om). В данном случае за счет существования потока Stream(Si,Ok)-> Or существует возможность нарушения корректности межсубъектного взаимодействия за счет влияния на ассоциированные объекты МРЗФ.
3.Поток возврата инициируется Si. После выполнения логического преобразования F(Ok)->Or МРЗФ передает управление вызвавшему субъекту Si. Вызвавший субъект инициирует поток Stream(Si,Or)->Of. Угрозы корректности межсубъектному взаимодействию нет.
4.Поток возврата инициируется МРЗФ. Существует угроза корректности. Из рассмотренных четырех возможностей две ситуации безопасны с точки
зрения взаимной корректности субъектов, а две опасны. Легко видеть, что опасность некорректного взаимодействия возникает в случае, когда передача информации к субъекту производится другим субъектом (ситуации 2 и 4).
С точки зрения передачи и возврата параметров наилучший случай, когда поток передачи параметров инициируется МРЗФ (на практике так обычно и бывает), а поток возврата инициируется вызывающим субъектом Si (обычно это реализовано не так: вызывающий субъект передает адрес объекта Of как своего ассоциированного объекта Of (объекты Or и Of могут совпадать) и одновременно с вычислением результата F(Ok)->Or инициируется поток к ассоциированному объекту Si). В данном случае обеспечение корректного возврата результата может быть обеспечено двумя путями:
-свойствами самого МРЗФ (должен быть обеспечен возврат результата именно в объект Of),
-возвратом вызвавшему субъекту адреса объекта Or и инициированием потока Stream(Si,Or)->Of уже вызвавшим субъектом, что не несет угрозу корректности.
Формализуем изложенные положения в нескольких определениях. Определение 1. Корректным преобразованием информации в МРЗФ в
период времени T называется такой порядок существования субъекта МРЗФ в КС, при котором функция преобразования ассоциированных объектов F соответствует описанию ОИ и не изменяется в течение всего времени T.
- 68 -
Определение 2. Корректным вызовом МРЗФ называется такой порядок реализации потока Stream (Sx, Ok)->Om, где Om ассоциированный объект МРЗФ, когда объекты Ok и Om тождественны.
Определение 3. Корректным возвратом результата от МРЗФ называется такой порядок реализации потока Stream (Sx, Or)-> Of, при котором объекты Or и Of тождественны.
Определение 4. Корректной работой МРЗФ в КС в период времени Т назовем такой порядок его использования, при котором обеспечивается корректное преобразование, корректный вызов и корректный возврат результата.
Покажем, что в общем случае всегда существует субъект, относительно которого происходит некорректный возврат результата.
Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
Относительно любого МРЗФ всегда существует субъект, относительно ассоциированных объектов которого происходит некорректный возврат результата.
Доказательство Для доказательства утверждения необходимо описать хотя бы один
субъект, имеющий свойство преобразования ассоциированного объекта Of, относительно которого происходит возврат результата преобразования: Stream(МРЗФ, Or)->Of. Таким субъектом будет любой Si, который определяет Of либо как неассоциированный с самим собой объект, либо выполняет над объектом Оf дополнительное преобразование, не равное тождественному отображению.
Из данного утверждения следует, что:
-субъект, вызывающий МРЗФ должен содержать в себе корректную реализацию получения результата,
-корректная реализация вызова должна поддерживаться в течение заданного времени T промежутка активности КС.
Аналогичное утверждение можно сформулировать и для операции вызова МРЗФ.
Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
Относительно любого МРЗФ всегда существует субъект, относительно ассоциированных объектов которого происходит некорректный вызов МРЗФ.
Доказательство
Аналогично предыдущему утверждению, необходимо описать субъект Si, для которого Stream(Sx, Ok)->Om. Таким субъектом будет любой Si, который определяет Om как неассоциированный с МРЗФ объект. При этом очевидно, что объекты Ok и Om будут в общем случае нетождественны, это означает, что происходит отображение объектов, не равное тождественному отображению.