- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
-104-
По свойству транзитивности потоков имеет место доступ субъекта Х к объекту Oj через субъект Si.
В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:
1.Доступ к объекту Oj со стороны субъекта Si при управляющем воздействии субъекта X.
2.Порождение субъектом Si из локального объекта нового субъекта Si*, для которого существует поток Stream(X, Si*).
Вообще говоря, существенных различий с точки зрения доступа субъекта
X к локальному объекту между ситуациями активности субъекта Si или S*i не существует - в обоих случаях существуют сложный поток, включающий в себя
ассоциированные объекты локального субъекта (Si или Si* соответственно). Различие описанных ситуаций находится в области корректного
межсубъектного взаимодействия в рамках ЛС КС, т.е. поскольку процесс активизации может быть инициирован субъектом X, то вновь порожденный субъект помимо реализации потоков к внешнему субъекту может реализовать и потоки к ассоциированным объектам субъектов ЛС КС, например, МБС и МБО.
Вданном случае нарушается основное условие попарной корректности субъектов.
4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
Рассмотрение алгоритмов локальной защиты не затрагивает в указанных работах реализованной политики безопасности и носит в основном технический характер (реализация различных механизмов контроля доступа и т.д.).
Будем полагать, что в ЛС КС могут существовать только попарно корректные субъекты, замкнутые в ИПС (т.е. в составе ЛС КС существует МБС) с контролем целостности порождаемых субъектов. Кроме того, во множестве субъектов ЛС КС действует МБО, реализующих некоторую политику безопасности.
Рассмотрим общепринятую на сегодняшний день политику безопасности в контексте сформулированного взаимодействия локального и внешнего сегмента КС. Предварительно заметим, что в сформулированных условиях (генерация ИПС) для выделенного ЛС КС в случае отсутствия или неактивности ТПО) гарантированно реализуется любая политика безопасности, заданная в МБО (см. утверждение 3 части 1).
В случае существования субъекта с внешним управлением даже в случае его корректности относительно других субъектов условия утверждения 3 части 1 в общем случае не выполнены. Покажем это.
Предположим для произвольно выделенного нами ЛС КС наличие m
пользователей P1, ..., Pn, ... , Pm.
Введем также понятие прав доступа субъектов к объектам как возможностей реализации потоков Stream(Sm,Om)->Ov (Om ассоциированный объект Sm) - право доступа типа W (Write - запись) и потоков Stream(Sm, Ov)-
-105-
>Om - право доступа R (Read - чтение). Следовательно, если субъект имеет право доступа R к объекту Ov, то это эквивалентно возможности существования потока Stream(Sm,Ov)->Om.
Вообще говоря, задаваясь некоторыми свойствами потока Stream(Sm,Om)- >Oj или Stream(Sm,Oj)->Om, можно говорить о некотором конечном множестве прав G={g1, ..., gl}. В рассматриваемом случае мощность множества G равна 2.
Определение 3. Множеством доступных пользователю Pn субъектов Sn называется множество субъектов, которые данный пользователь может активизировать в ИПС из произвольного множества объектов-источников.
Определение 4. Множеством доступных пользователю Pn объектов Ln(T) относительно права доступа T называется подмножество всех объектов, относительно которых реализуемы потоки соответствующего права доступа при активизации всех субъектов, входящих в Sn и имеющих право доступа T.
Рассмотрим теперь традиционную политику безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает Ln(T) для любого подмножества множества субъектов Sn (если субъект потенциально способен реализовать поток, соответствующий праву доступа T) и в период работы пользователя Pn обеспечивает для выполнения потоков права T любому субъекту из Sn доступ к любому объекту, принадлежащему Ln(T).
Для введенного множества прав это означает, что любой Stream(Si,Ok)->Oj разрешен, если Si принадлежит Sn, а Oj принадлежит Ln(W). Практически это означает, что в спроектированной с учетом такой политики безопасности системе защиты права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).
Определим политику безопасности с полным проецированием прав. Определение 5. Политикой безопасности с полным проецированием прав
пользователя или методом доступа с полным проецированием прав пользователя Pn на объекты КС называется такой порядок составления ПРД, при котором любой из субъектов, принадлежащий Sn, обладает одним и тем же правом доступа T к любому объекту множества Ln(T).
Теперь сформулируем утверждение, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта Si.
Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
В условиях действия политики безопасности с полным проецированием прав пользователя Pn на локальные объекты КС субъект X имеет доступ T к любому объекту множества Ln(T) при условии существования потоков Stream (X,Ok)->Ox и Stream(X,Ox)->Ok и доступности субъекта Si для пользователя Pn.
Доказательство
Пусть у пользователя есть право R доступа к объекту Oj. В условиях полного проецирования прав на любой субъект это означает, что для любого субъекта Sm из Sn (доступному пользователю) возможен поток Stream (Sm,Oj)- >Om, где Om - ассоциированный объект Sm. По условию доказываемого
-106-
утверждения Si входит в Sn, следовательно, существует Stream(Si,Oj)->Ok. По условию утверждения существует и поток Stream(X,Ok)->Ox. По свойству транзитивности потоков существует Stream(X,Oj)->Ox. Это означает, что субъект X также имеет право доступа R к объекту Oj. Поскольку Oj произвольно выбран из множества Ln(R), которое описано потоком Stream(Sm,Oj)->Om, то утверждение верно для всех объектов Ln(T).
Аналогично доказывается утверждение в случае наличия у пользователя права доступа W к объекту Oj.
Утверждение доказано.
Из данного утверждения следует весьма важный факт, заключающийся в том, что система защиты от НСД любого ЛС КС, в котором гарантированно выполнена политика безопасности с полным проецирование прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС) является потенциально ненадежной (т.е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т.е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника.
Сформулируем конструктивную политику безопасности, исключающую описанные выше ситуации.
Определение 6. Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользователя Pn задаются отдельно для каждого доступного пользователю субъекта (или подмножества субъектов), принадлежащего множеству Sn.
Легко видеть, что метод расщепления прав включает метод проецирования прав доступа (когда для любого субъекта задаются равные права доступа к объектам).
Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника.
Утверждение 2 (о доступе в системе с проецированием прав)
В условиях расщепления прав субъект Х получит тот же доступ к объекту Oj, что и субъект Si при условии существования потоков Stream(X,Ox)->Ok и Stream(X,Ok)->Ox и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ox.
Доказательство
Поскольку других субъектов, связанных с внешним субъектом X в ЛС КС нет, то возможны потоки к объекту Oj только через ассоциированный объект Ok субъекта Si. Поскольку между Ok и Oj возможен только поток, соответствующий праву доступа Si, то и между Ox и Oj возможен только такой же поток.
-107-
Утверждение доказано.
Следствие. В условиях расщепления прав субъект Х не получит доступ к объекту Oj в том случае, если субъект Si не имеет доступ к Oj и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и Ox.
Сформулированные и доказанные утверждения позволяют сформулировать методику проектирования защиты ЛС КС при условии попарной корректности всех субъектов (включая телекоммуникационный) и гарантированным выполнением политики безопасности.
Методика проектирования защиты описывается последовательностью шагов.
1.Формулируется политика безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов - чисто локальные и телекоммуникационные и установить раздельные права для этих групп).
2.Относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов).
3.Реализуется МБО, выполняющий указанную политику безопасности.
4.Субъекты ЛС КС замыкаются в ИПС с контролем целостности объектовисточников.
Сформулируем одну из возможных политик безопасности, связанную с группированием объектов. Предположим, что объекты разделяются на три
подмножества O1 - доступные только пользователям ЛС КС (относительно O1 все пользователи имеют доступ R и W), O2 - множество доступных для внешних пользователей объектов с правом доступа R (например, объекты типа
электронных объявлений) и O3 - множество доступных для внешних пользователей объектов с правом W (например, почтовые ящики для входящих писем). Субъекты также разделены на две группы: Si - локальные субъекты и S2
-телекоммуникационные субъекты.
Тогда правила разграничения доступа формулируются следующим образом:
Таблица 1. Групповые правила разграничения доступа в ЛС КС
|
O1 |
O2 |
O3 |
S1 |
RW |
RW |
RW |
S2 |
-- |
R |
W |
Вообще говоря, произвольная политика безопасности, разделяющая локальные и телекоммуникационные субъекты при их доступе к объектам будет гарантировать разделение также внутренних и внешних пользователей.
Рассмотрим возможность преднамеренной компрометации информации самим пользователем. Такая возможность реализуется инициированием потока Stream(Si,Oj)->Ox со стороны управляющего телекоммуникационным субъектом Si пользователем, имеющим злоумышленные цели. Обозначим