- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
-115-
Сдругой стороны, свойства произвольного субъекта X внешнего сегмента
относительно Sf могут быть произвольны.
Аксиома. При произвольном составе субъектов внешнего сегмента КС
возможно формирование подобъектов (на уровне ассоциированных объектов Of субъекта-фильтра Sf для потока Stream(X,Ox)->Of) с произвольной адресной и информационной частью.
Исходя из данного положения, можно утверждать, что фильтрация подобъектов изолированно от содержания объектов ЛС КС в общем случае потенциально ненадежна относительно любых критериев фильтрации при возможности управления телекоммуникационным субъектом ЛС КС со стороны злоумышленника.
Требование гарантированной фильтрации в части доступа Sf к любому объекту ЛС КС технически достаточно сложно реализовать в силу возможной гетерогенности операционных сред ЛС КС, скоростных параметров и т.д. Однако можно предложить альтернативный метод проектирования гарантированно-изолирующего субъекта-фильтра.
Предположим, что в субъекте-фильтре однозначно выделяются
информационные подобъекты и реализация Stream(Si,Ojm)->Of является тождественным отображением (технически это означает безошибочную передачу в тракте фильтр - ЭВМ).
Для всех объектов ЛС КС вычислим хеш-функции H(Oj,Kg)=hjg и гарантируем их доступность для субъекта-фильтра, хеш-функция возможно
зависит от индивидуальной информации пользователя Ki.
Процедура фильтрации на выход (относительно существующих объектов) формулируется следующим образом:.
1. По последовательности подобъектов Oj1r, ..., Ojkr восстанавливается объект Dj.
2. Вычисляется H(Dj,Ki)=hji*.
3. Вычисленное значение hji* сравнивается с hji.
4. В случае совпадения проверяются права доступа к объекту Oj.
5. В случае доступности объекта для передачи во внешний сегмент КС разрешается передача подобъектов, соответствующих декомпозиции объекта, во внешнюю сеть.
6. В случае несовпадения передача запрещается.
Указанный метод может быть дополнен фильтрацией сервисов для обеспечения достоверного восстановления объекта по последовательности подобъектов.
4.5.Модель политики безопасности в распределенной системе
Данная модель приводится по [1] и описывает требования безопасности для построения защищенной сети. Предполагается, что имеется множество защищенных и незащищенных станций, связанных в сеть.
Каждый компонент сети имеет классификацию защищенности; каждый пользователь сети имеет уровень благонадежности. Предполагается, что на
-116-
множестве классов защищенности установлен частичный порядок ≥. Отношение частичного порядка - рефлексивно, антисимметрично и транзитивно. Для двух классов безопасности sc1 и sc2, если sc1 ≥ sc2, говорят, что sc1 доминирует над sc2. Для двух элементов sc1 и sc2:
-множество классов безопасности, доминирующее над sc1 и sc2 - непустое
исодержит наибольшую внешнюю границу, доминирующую над всеми классами.
-множество классов безопасности, над которыми доминируют sc1 и sc2 - непустое и содержит наименьшую внешнюю границу (inf), над которой доминируют все классы.
Далее предполагается, что сущности X и Y(субъекты или объекты) могут
иметь более одной классификации Scls(X)={scx1, scx2,... scxn} и Scls(Y)={scy1, scy2,... scyм}. Допустим, что sc - класс безопасности. Тогда:
-Scls(X) ≥ sc scxi ≥ sc, i, 1≤i≤n; -Scls(X) ≤ sc scxi ≤ sc, i, 1≤i≤n;
-Scls(X) ≥ Scls(Y) scxi (1≤i≤n), scxi ≥ lub(scy1, scy2,... scyм).
Формальная модель.
Определим модель безопасности сети MODEL: MODEL = <S,O,A,s0>
S - множество состояний:
O - множество операций системы; A - функция системы;
s0 -начальное состояние системы.
Множество S моделирует состояние переменных, относящихся к защищенности сети. Множество О описывает сетевые операции, а множество А - переходы модели из одного состояния в другое после применения последовательности операций из множества О. Состояние s0 описывает начальное состояние системы.
Определим основные множества, используемые для описания модели. -Sub: множество всех субъектов сети. Включает множество всех
пользователей(Users) и всех процессов(Procs) сети
Sub=Procs Users
-Obj: множество всех объектов сети. Включает множество сетевых компонентов(NC) и информационных блоков(UI) сети.
Obj=NC UI
Обычно множество сетевых компонентов включает хосты (Н), устройства ввода-вывода(IOD) и устройства вывода(OD), а множество информационных блоков включает файлы и сообщения.
NC=H IOD OD
-Scls: множество классов безопасности. Предполагается, что на этом множестве определен частичный порядок.
-Rset: множество ролей пользователя. Включает роль администратора безопасности.
-Strings: множество символьных строк.
-117-
Состояние системы.
Каждое состояние s S описывается:
s=<Subs, Objs, authlist, conlist, accset, subcls, objcls, curcls, subrefobj, role, currole, term, contents>, где:
-Subs определяет множество субъектов в состоянии s; -Objs определяет множество объектов в состоянии s;
-authlist - множество, состоящее из элементов в форме (sub, nc), где sub Subs nc Objs; Существование элемента (sub1, nc1) в множестве, отмечает то, что субъект sub1 имеет право на связь с компонентом сети nc1.
-connlist - множество, состоящее из элементов в форме (sub, nc). Это множество отражает текущее множество допустимых соединений в данном состоянии.
-subcls - Sub → SCls.
subcls - функция, приписывающая каждому субъекту его степень доверия. -objcls - Obj → PS(SCls), где PS обозначает мощность множества.
objcls - функция, приписывающая каждому объекту один или более уровней классификации. Предполагается, что выходные устройства и информационные блоки имеют единственный уровень классификации, тогда как хосты могут иметь несколько классификаций.
-curcls - Sub → Scls.
curcls - функция, задающая текущую степень доверия субъекта. subrefobj - Sub → PS(Obj).
subrefobj - описывает множество объектов, к которым субъект может обратиться в данном состоянии.
role: Users → PS(Rset)
role описывает множество ролей, для которых авторизован пользователь. currole: Users → Rset
currole описывает текущую роль пользователя. term: Users → IOD
term определяет терминал, с которого пользователь вошел в систему. contents - IU → Strings
contents - функция, которая отображает множество информационных блоков в множество строк. Она выделяет содержание информационных объектов.
Для nc IOD OD, view(nc) - множество упорядоченных пар{(x1, y1), (x2, y2),... (xn, yn)}, где каждое yi отражается на компоненте nc. Каждое xi - информационный блок и уi - результат применения функции contents к xi.
Предположения безопасности.
Модель сети содержит следующие предположения безопасности.
1. На хостах сети существует надежная схема пользовательской аутентификации. Каждый пользователь и процесс в сети имеет уникальный идентификатор.
-118-
2.Только пользователь с ролью Администратор Безопасности Сети может присваивать классы безопасности субъектам и компонентам сети, и роли пользователям.
3.Все сущности сети имеют сравнимые классы безопасности.
4.Имеет место надежная передача данных по сети.
Безопасное состояние.
Определим условия, при которых состояние сети безопасно. С целью определения данных условий, рассмотрим различные фазы, через которые проходит система во время выполнения операций.
Фаза доступа к системе
Предполагается, что существует надежный механизм идентификацииаутентификации. Эти аспекты не включены в данную модель. Но существует требование, по которому степень доверия пользователя должна быть больше или равна классификации терминала, с которого он получил доступ к системе. Более того, текущая степень доверия пользователя не должна быть больше его максимальной степени доверия, а его роль должна принадлежать к списку его авторизованных ролей. Это дает следующие ограничения.
Ограничения при доступе к системе
Предложение 1: Состояние s удовлетворяет ограничениям при доступе к системе, если x Userss
-subcls(x) ≥ objcls(term(x)) -subcls(x) ≥ curcls(x) -currole(x) role(x)
Фаза установления связи
После получения доступа к системе, пользователь может захотеть установить связь с другими компонентами сети. Для определения доступных соединений, должны поддерживаться дискретная и мандатная политика сети.
Ограничения связи
Предложение 2. Состояние s удовлетворяет ограничениям связи, если
(sub, nc) connlist - (sub, nc) authlist
-если nc OD curcls(sub) ≥ sup(oc1, oc2,... ocj), где objcls(nc)={ oc1, oc2,...
ocj }
-если nc OD objcls(nc) ≥ subcls(sub)
Первое условие дает контроль дискретного доступа, т.е. объект, к которому осуществлен запрос на связь, должен находиться в списке объектов, к которым имеет доступ субъект.
Второе ограничение говорит о том, что если запрашиваемый сетевой компонент - не устройство вывода, то для установления соединения, текущая степень доверия к пользователю должна быть, по крайней мере, не меньше самой нижней классификации объекта.
Третье условие относится к устройствам вывода. Степень доверия к субъекту должна быть не больше класса безопасности компонента сети, для предотвращения утечки информации через выходное устройство.
-119-
Другие условия
1.Классификация информации, которая может быть просмотрена через устройство ввода-вывода, должна быть не больше классификации данного устройства.
2.Роль пользователя в данном состоянии должна принадлежать к списку ролей, к которым авторизован пользователь.
Теперь определим безопасное состояние. Определение 11. Состояние s безопасно, если:
1.s удовлетворяет Ограничениям при доступе к системе.
2.s удовлетворяет Ограничениям связи.
3.z (IODs ODs), x (x, contents(x)) view(x) objcls(z)≥objcls(x)
4.z Users, currole(u) role(u).
Начальное состояние.
Предполагается, что начальное состояние системы s0 определено таким образом, что оно удовлетворяет условиям безопасного состояния, описанным выше.
Операции.
Операция связи
Операция connect(sub, nc) позволяет субъекту sub связаться с удаленным объектом сети nc.
Операции манипуляции информацией
После установления связи с удаленным компонентом, субъект может выполнять операции, которые требуют манипуляции с информационными объектами. Манипуляция информацией состоит из двух этапов: этап получения доступа к информации, на котором субъект связывается с информационным объектом, над которым он хочет произвести манипуляции, и этап манипуляции, на котором действуют ограничения, принятые в модели Белла-ЛаПадула для операций чтения, записи, добавления и выполнения. В данной модели рассматривается операция, выполняющая передачу информации от одного сетевого компонента к другому, как самая важная при рассмотрении сети. (Фактически данная операция является частью всех других операций).
Операция получения доступа
Операция bind(iobj, nc) позволяет субъекту sub получить доступ к информационному объекту iuobj на сетевом компоненте nc.
Операция передачи информации
Операция transfer(iuobj1, nc1, iuobj2, nc2) позволяет субъекту sub добавить содержание информационного блока объекта iuobj1 на сетевом компоненте nc1 к содержанию информационного блока объекта iuobj2 на сетевом компоненте nc2.
Операция освобождения
Операция unbind(sub, iuobj) позволяет субъекту sub освободить связь с объектом iuobj. До выполнения данной операции iuobj2 subrefobj(sub), а
после выполнения - iuobj subrefobj(sub).
Другие операции