- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 16 -
тождественное отображение объекта на какой-либо ассоциированный объект МО).
Теперь сформулируем понятие монитора безопасности (в литературе также применяется понятие монитора ссылок). Это понятие связано с упоминаемой выше задачей фильтрации потоков. Поскольку целью является обеспечение безопасности КС, то и целевая функция монитора - фильтрация с целью обеспечения безопасности (отметим еще раз, что разделение на N и L задано априорно).
Определение 9. Монитор безопасности объектов (МБО) - монитор обращений, который разрешает поток, принадлежащий только множеству легального доступа L. Разрешение потока в данном случае понимается как выполнение операции над объектом-получателем потока, а запрещение - как невыполнение (т.е. неизменность объекта-получателя потока).
Монитор безопасности объектов фактически является механизмом реализации политики безопасности в КС. Обратимся теперь к основным моделям работы МБО.
1.3. Описание типовых политик безопасности
Постулируя наличие в КС субъекта, реализующего политику безопасности, рассмотрим описания (на уровне моделей) некоторых известных политик безопасности (описания политик безопасности приводятся с использованием
[6]).
1.3.1.Модели на основе дискретных компонент
Воснове этих моделей лежит следующая идея: система защиты (в смысле описания алгоритма работы субъекта, обеспечивающего выполнение политики безопасности) представляется в виде некоторого декартова произведения множеств, составными частями которых являются элементы системы защиты. При этом в качестве математического аппарата для описания и анализа модели выбирается аппарат дискретной математики.
Результатом применения политики безопасности, задаваемой той или иной моделью к конкретному объекту защиты КС, является разрешение выполнения операции над объектом защиты, либо запрещение.
1.3.1.1. Модель АДЕПТ-50
Одна из первых моделей безопасности [1]. Данная модель рассматривает только объекты, которые типизированы на 4 группы объектов безопасности:
пользователи (Users - u), задания(Jobs - j), терминалы(Terminal - t) и файлы(File
- f). Каждый объект безопасности описывается вектором (A, C, F, M), включающим следующие параметры безопасности.
Компетенция А - элемент из набора упорядоченных универсальных положений о безопасности, включающих априорно заданные возможные в КС характеристики объекта безопасности, например, категория конфиденциальности объекта: НЕСЕКРЕТНО, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО.
- 17 -
Категория С - Рубрикатор (тематическая классификация). Рубрики не зависят от уровня компетенции. Пример набора рубрик: ФИНАНСОВЫЙ, ПОЛИТИЧЕСКИЙ, БАНКОВСКИЙ.
Полномочия F - перечень пользователей, имеющих право на доступ к данному объекту.
Режим М - набор видов доступа, разрешенных для определенного объекта или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ЗАПИСЫВАТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ (исполнение программ понимается как порождение активной компоненты из некоторого объекта - как правило, исполняемого файла).
Обозначим U={u} множество всех пользователей, известных системе (зарегистрированных пользователей), F(i) - набор всех пользователей, имеющих право использовать объект i, то для модели формулируются следующие правила:
1.Пользователь u получает доступ к системе u U, где U - набор всех известных системе пользователей (правило легального пользователя).
2.Пользователь u получает доступ к терминалу t u F(t) - пользователь u имеет право использовать терминал t.
3.Пользователь u получает доступ к файлу j A(j)≥A(f), C(j) C(f), M(j) M(f) и u F(f), т.е. только в случае:
-привилегии выполняемой программы (по компетенции, категории и режиму одновременно) выше привилегий файла или равны им;
-пользователь является членом F(f).
Четырехмерный вектор, полученный на основе прав задания (субъекта), а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает контроль права на доступ над множеством программ и данных, файлов, пользователей и терминалов.
Например, наивысшим полномочием доступа к файлу для пользователя "СЕКРЕТНО", выполняющего задание с "КОНФИДЕНЦИАЛЬНОГО" терминала будет "КОНФИДЕНЦИАЛЬНО".
1.3.1.2. Пятимерное пространство безопасности Хартстона
В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.
Модель безопасности описывается пятью множествами:
А - установленных полномочий; U - пользователей;
Е - операций;
R- ресурсов;
S- состояний;
Область безопасности будет выглядеть как декартово произведение:
А×U×E×R×S.
- 18 -
Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции е над ресурсами R, в то время, когда система находится в состоянии s. Например, запрос q на доступ представляется четырехмерным кортежем q=(u, e, R, s), u U, e E, s S, r R. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ - подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.
Процесс организации доступа можно описать следующим образом.
Для запроса q, где q(u, e, R, s), набора U' определенных групп пользователей, набора R' определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур:
1.Вызвать все вспомогательные программы, необходимые для "предварительного принятия решений".
2.Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.
3.Определить из Р набор F(e) полномочий, которые устанавливают е как основную операцию. Этот набор называется привилегией операции е.
4.Определить из Р набор F(R)(привилегию единичного ресурса R) - полномочия, которые определяют подмножество набора ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R.
Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса
q: D(q)=F(u)∩F(e)F(R).
5.Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).
6.Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса.
Новый набор полномочий - один на каждую единицу ресурса, указанную в D(q), есть F(u, q) - фактическая привилегия пользователя u по отношению к запросу q.
7.Вычислить ЕАС - условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q). Эта операция И(или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.
8.Оценить ЕАС и принять решение о доступе:
-разрешить доступ к R, если R перекрывается;
- 19 -
-отказать в доступе в противном случае.
9.Вызвать все программы, необходимые для организации доступа после "принятия решения".
10.Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.
12.Если решение о доступе было положительным - завершить физическую обработку.
Автор модели, Хартстон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе.
1.3.1.3. Резюме по моделям Адепт и Хартстона
К достоинствам дискретных моделей можно отнести относительно простую реализацию соответствующих механизмов.
В качестве примера реализаций можно привести матрицу доступа, строки которой соответствуют субъектам системы, а столбцы - объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели. Это означает что модель не учитывает динамику изменений состояния КС, не накладывает ограничений на состояния системы.
Для моделей, построенных на основе дискретной защиты, можно доказать следующую теорему (доказательство приведено в [4]):
Не существует алгоритма, который может решить для произвольной системы дискретной защиты, является или нет заданная исходная конфигурация безопасной.
Данный факт обусловил процесс совершенствования моделей в сторону достижения некоторых доказательных свойств.
1.3.2. Модели на основе анализа угроз системе
Модели этого класса исследуют вероятность преодоления системы защиты за определенное время Т. Данный подход свойственен различным игровым задачам и в ряде случаев успешно применим для построения и анализа политик безопасности КС. К достоинствам этих моделей можно отнести числовую вероятностную оценку надежности идеальной реализации системы защиты. К недостаткам - изначально заложенное в модель допущение того, что система защиты может быть вскрыта. Задача анализа модели - минимизация вероятности преодоления системы защиты.
1.3.2.1. Игровая модель
Игровая модель системы защиты строится по следующему принципу. Разработчик создает первоначальный вариант системы защиты. После этого аналитик-«злоумышленник» начинает его преодолевать. Если к моменту времени Т, в который злоумышленник преодолел систему защиты, у разработчика нет нового варианта, система защиты преодолена. Если нет -