- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 94 -
порождения субъектов с контролем неизменности объектов-источников, исходя из утверждений части 1 (о сохранении ИПС при дополнении множества субъектов попарно корректными), получим, что при t>t0 ИПС сохраняется.
Утверждение доказано.
Смысл данного утверждения состоит в описании процедуры мягкого администрирования, которая сохраняет ИПС при дополнении множества объектов-источников. С другой стороны, описанные в списке LIST объекты обеспечивают исполнение пользовательских свойства программного пакета P. Далее, процедура исключения объектов-источников из ОУ МБС, как было доказано выше, не приводит к нарушению изолированности программной среды.
Итак, метод мягкого администрирования состоит в фиксации на этапе опытной эксплуатации всех или избранных аргументов операций Create (исходный материал для составления множества E) и Stream (для составления ПРД). Ценность метода состоит в том, что администратор безопасности выполняет только операцию редуцирования (сокращения) списков и сравнение функций целостности объектов с эталонными. Возможность применения мягкого администрирования целесообразно предусмотреть еще на этапе проектирования. Применение метода мягкого администрирования позволяет говорить о процессе автоматизации составления ПРД, что является новым результатом.
3.6. Системы управления безопасностью при распределенном объекте управления
Рассмотрим различные представления объекта управления (для простоты будем рассматривать только ОУ МБС). Рассмотрим ОУ как единый объект или как распределенный объект в КС. Рассмотрим пример. Пусть с каждым объектом-источником Oj ассоциирован некоторый объект Ouj (с точки зрения МБС, т.е. при выполнении Create(Si,Oj) МБС обращается к Ouj). Данный объект содержит информацию о множестве разрешенных для порождения субъектов объектов-источников Ei для пользователя i. Предположим, что Ouj в свою очередь состоит из последовательности подобъектов (неразделяемых) Oumj. Каждый из этих подобъектов описывает информацию о пользователе i, который может инициировать порождение субъекта из данного объекта (IDi) и функцию контроля целостности hij (вычисленную на основе индивидуальной информации пользователя Ri, hij=H(Ki,Oj)). Данная информация является минимально достаточной для порождения ИПС.
В самом деле, для работы МБС необходимо определить для пользователя i включенность некоторого субъекта во множество Ei и проверить неизменность объекта-источника. Первое определяется по IDi, второе - по hij.
Рассмотрим параметр Pri - вероятность запуска случайно равновероятно выбранного объекта Oj*, не совпадающего с Oj в ИПС с КЦ для пользователя i. Причем, зададимся еще двумя априорно известными вероятностями: Pi - вероятность принять пользователя m, не равного i, за пользователя i (по IDi) и
- 95 -
Ph - вероятность совпадения хеш-значений для двух случайно равновероятно заданных объектов-источников. Поскольку события “ложная аутентификация пользователя i” (вероятность Pi) и “совпадение хеш-значений объектов” (вероятность Ph) независимы, то вероятность Pri вычисляется как произведение вероятностей соответствующих событий: Pri = Pi*Ph.
Очевидно, что задана верхняя оценка вероятности, поскольку случайный равновероятный файл-источник может вообще не породить субъекта, либо порожденный субъект сохраняет свойства корректности.
Объект управления, спроектированный по указанной выше схеме, обеспечивает при каждой попытке активизации субъекта дополнительную операцию авторизации (подтверждения прав) пользователя. За счет этого интегральная оценка надежности защиты повышается, а вероятность Pir существенно снижается.
Рассмотрим преимущества распределенного ОУ с точки зрения технологии управления.
При использовании распределенного ОУ минимизируются затраты памяти для реализации МБС. Наконец, при различном отображении имен и путей объектов (mapping) положение ОУ не меняется (поскольку он находится по тому же пути). Распределенный ОУ соответствует конфигурациям 14 и 15, поскольку для удаленных объектов и подобъекты будут удаленными. Тем самым достигается свойство топологической однородности.
Обратимся теперь к понятию распределенного управления.
Рассмотрим процедуру управления в случае, когда ОУ является объектом произвольной локализации (локальным, удаленным или распределенным) и выделяются два субъекта управления - локальный субъект управления (ЛСУ) и удаленный субъект управления (УСУ). В качестве задачи будем рассматривать задачу разработки такого метода управления (для простоты будем рассматривать систему управления МБС), при котором:
-администратор управляет защитой со своего рабочего места, которое относительно пользователя является внешним сегментом КС,
-администратор не имеет физического доступа к ЛС КС.
Исходные положения следующие:
-в рамках ЛС КС действует ИПС с контролем целостности объектовисточников,
-ЛСУ входит для каждого пользователя в состав разрешенных субъектов. Необходимо заметить, что во время сеанса работы пользователя в рамках
ЛС КС ЛСУ обладает всей информацией пользователя, которая необходима для изменения ОУ МБС. Для администратора целесообразно организовать канал управления ЛСУ и доступность удаленного ОУ МБС (в случае его использования). Тогда возможна коррекция прав пользователя (сводящаяся к коррекции ОУ МБС) во время начала работы пользователя в системе.
Выше упоминалась задача обеспечения доступа администратора к ресурсам ЛС КС. В данном случае доступ осуществляется через ЛСУ и технически легко реализуем.
- 96 -
Сформулируем алгоритм управления.
1.Перенос информации о локальных объектах-источниках в область, доступную администратору защиты. Данная операция выполняется ЛСУ и может быть сопряжена к мягким администрированием. Предположим, что после работы субъектов, производящих протоколирование используемых
объектов источников создался объект LISTi, который содержит полные имена локальных (и удаленных) объектов-источников и, при необходимости их хешзначения (см. описанный выше алгоритм мягкого администрирования) для i-го пользователя. Тогда инициируется Stream(ЛСУ, LISTi)->LISTi*. Объекты LISTi
иLISTi* тождественны, но имеют различную локализацию (первый принадлежит ЛС КС, второй - внешнему сегменту, доступному администратору). Следовательно, после выполнения п.1 администратору доступна информация о локальных объектах.
2.Проверка целостности объектов-источников ЛС КС путем вычисления
такой же хеш-функции. Допускается зависимость хеш-функции от Ki, но в таком случае администратор должен располагать Ki для всех пользователей. При несовпадении хеш-значения, вычисленного администратором, с тем, которое хранится в LISTi, объект-источник редуцируется из списка.
3.После выполнения процедуры п.2 образуется объект SOURCEi, содержащий имена объектов-источников для i-го пользователя. Данный объект должен обладать следующим свойством - быть доступным на запись только для УСУ.
4.Начало сеанса работы пользователя. Активизация ЛСУ, чтение объекта
SOURCEi, коррекция локальных и удаленных ОУ МБС.
В случае пользователя-злоумышленника угроза корректному управлению исходит от ЛСУ, который имеет доступ на запись к ОУ МБС. Естественным требованием является отсутствие возможностей внешнего управления. С другой стороны, либо в ассоциированном объекте ЛСУ, либо во внешнем
объекте должна содержаться информация локализации объекта SOURCEi (путь). В случае локализации внутри объекта-источника ЛСУ путь к объекту
SOURCEi защищен от изменений процедурой контроля неизменности объектаисточника ЛСУ. В случае локализации пути во внешнем объекте необходима коррекция ОУ МБО так, чтобы исключить возможность изменения данного объекта.
Докажем корректность управления в строгом смысле при условии ИПС в рамках ЛС КС и неизменности пути к объекту SOURCEi.
Утверждение 7 (условия корректности управления при мягком администрировании).
Пусть в рамках ЛС КС действует ИПС с контролем неизменности объектов-источников, в которую включен также ЛСУ, последовательность