Мiллен використову¹ модель розподiлення ресурсiв для опису деяких стратегiй. Наприклад, застосовуючи цю модель, можна виразити стратегiю скiнченного часу очiкування (FWT). Для вказаних iнтервалiв, якi можуть виникнути пiсля багатократних пе-

реходiв, використовують оператор часово¨ логiки leads_to (тобто A leads_to B означа¹, що в усiх наступних станах iз A у кiнцi кiнцiв наступа¹ B). Для вказаних iнтервалiв, якi можуть вини-

кнути пiсля багатократних переходiв можна виразити скiнченний час очiкування (FWT) аналогiчним чином

F W T : p, s : s0 =: s0 (running(p)) and s leads_to s0 .

У виразi, що приведений вище, s(x) означа¹, що x iстинне для стану s, à s leads_to s0 означа¹, що s, s0 : s((T (p) = n) i s0 ((T (p) =

m) i m > n. стверджу¹, що користувачi у кiнцi кiнцiв одержать

ресурси, на якi зробили запит (тобто вони врештi-решт одержать ЦПП для виконання роботи). Аналогiчним чином можна виразити максимальний час очiкування MWT.

MW T : $b : p, s : s0 : s0 (running(p)) and s leads_to(p) s0 .

У цьому виразi s leads_to(p) s0 означа¹, що s, s0 : s((T (p) = n) i s0 ((T (p) = m) i m − n ≤ b). MWT âiäðiçíÿ¹òüñÿ âiä FWT òèì, ùî

тут накладаються обмеження на час очiкування користувачами для здобування можливостi просування у виконаннi завдання.

3.6Приклади моделювання питань безпеки в обчислювальних системах

3.6.1Моделi захисту централiзованих та розподiлених операцiйних систем

3.6.1.1.Модель операцiйно¨ системи ADEPT-50

Це одна з перших моделей безпеки. Вона розгляда¹ тiльки об'- ¹кти, якi типiзованi на чотири групи об'¹ктiв безпеки:

•користувачi (users u);

•завдання (jobs j);

•òåðìiíàëè (terminal t);

•файли ( le f).

Кожний об'¹кт безпеки опису¹ться вектором (A, C, F , F ), ùî

включають наступнi параметри безпеки.

Компетенцiя A елемент iз набору впорядкованих унiвер-

сальних положень про безпеку, що включа¹ апрiорно заданi можливi в комп'ютернiй системi характеристики об'¹кта безпеки, наприклад, категорi¨ конфiденцiйностi об'¹кта:

•несекретно;

•êîíôiäåíöiéíî;

•секретно;

•цiлком секретно.

Категорiя C рубрикатор (тематична класифiкацiя). Рубри-

ки не залежать вiд рiвня компетенцi¨. Приклад набору рубрик:

•фiнансовий;

•полiтичний;

•банкiвський.

Повноваження F перелiк користувачiв, що мають право

на доступ до заданого об'¹кта.

Режим M набiр видiв доступу, дозволених для певного об'- ¹кта або здiйснюваних об'¹ктом. Приклад:

•читати данi;

•записувати данi;

•виконувати програму (виконання програм розумi¹ться як породження активно¨ компоненти з деякого об'¹кта як правило

файла, що викону¹ться).

Якщо позначити U = {u} множину усiх користувачiв, вiдомих системi (заре¹строваних користувачiв), F (i) набiр усiх користувачiв, що мають право використати об'¹кт i, тодi для моделi формуються наступнi правила:

1)Користувач u одержу¹ доступ до системи u U, äå U

набiр усiх вiдомих системi користувачiв (правило легального користувача).

2)Користувач u одержу¹ доступ до термiналу t u F (t)

користувач u ма¹ право використовувати термiнал t.

3) Користувач u одержу¹ доступ до файлу j A(j) ≥ A(f), C(j) C(f), M(j) M(f) i u F (f), тобто тiльки у випадку

ÿêùî:

•привiле¨ виконувано¨ програми (з компетенцi¨, категорi¨ i ре-

жиму одночасно) ¹ вищими привiле¨в файлу або дорiвнюють ¨м;

•користувача ¹ членом F (f).

Чотиривимiрний вектор, одержаний на основi прав завдання (суб'¹кта), а не прав користувача, використову¹ться в моделi для управлiння доступом. такий пiдхiд забезпечу¹ контроль права на доступ над множимою програм i даних, файлiв, користувачiв та термiналiв.

Наприклад, найвищим повноваженням доступу до файлу для користувача та¹мно , що викону¹ завдання з конфiденцiйного термiнала буде конфiденцiйно .

3.6.1.2. Модифiкацiя дискрецiйно¨ моделi доступу для базово¨ моделi безпеки операцiйно¨ системи

В основу базово¨ моделi безпеки операцiйно¨ системи Unix

покладено дискрецiйне управлiння доступом, що цiлком достатнiм iнструментом для систем комерцiйного застосування та систем, що не пов'язанi з обробленням iнформацi¨, що складають державну та¹мницю.

Базова модель безпеки класично¨ операцiйно¨ системи Unix представлена на рис. 3.23.

Кожному користувачу i групi користувачiв присвоюються локальнi iдентифiкатори: iдентифiкатор користувача [User Identi - cation (UID)], iдентифiкатор групи [Group Identi cation (GID)]. Будь-який процес, що запуска¹ться користувачем пiсля завершення процесу автентифiкацi¨, автоматично набува¹ атрибути UID i GID, що описують даного користувача в операцiйнiй системi.

Кожний об'¹кт, у тому числi зовнiшнi пристро¨ та порти вводувиводу, представляються в системi у виглядi файла i в загальному виглядi i у загальному виглядi мiстять права доступу на читання, запис та виконання. Власне кажучи, доступ до будь-якого ресурсу системи реалiзу¹ться через iнтерфейс доступу до об'¹ктiв файлово¨ системи. Це дозволя¹ унiфiкувати правила управлiння ресурсами

Ðèñ. 3.23. Способи управлiння доступом до ресурсiв операцiйно¨ системи Unix

системи. Крiм того, для кожного об'¹кта визначенi параметри UID i GID, присво¹нi вiд породжуючих ¨х процесiв у момент створення.

Дозволи доступу для кожного об'¹кта зберiгаються у спецiальних службових атрибутах файлово¨ системи (iндекснi дескриптори файлiв inode) для власника, для групи власника (тобто для всiх тих користувачiв, якi входять в загальну з власником групу) i на рiвнi решти користувачiв.

При звертаннi процесу до файлу або пристрою (доступ до пристрою в операцiйнiй системi Unix викону¹ться через спецiальний файл пристрою) iдентифiкатори UID i GID з таблицi процесiв порiвнюються з вiдповiдними значеннями iндексного дескриптора i

у випадку виявлення в ньому дозволяючого запису (одного з трьох вищеописаних типiв) доступ нада¹ться.

Для розширення моделi захисту при роботi непривiлейованих користувачiв з критичними даними системи (наприклад, при роботi з файлами паролiв) програмам можуть бути назначенi спецiальнi iдентифiкатори, що називаються ефективними iдентифiкаторами (EUID, GUID). Програми, що запускаються непривiлейованим користувачем, одержують права доступу до ресурсiв, встановлених для власникiв цих програм (власником таких програм звичайно ¹ адмiнiстратор).

Програми, яким назначенi атрибути EUID (GUID), реалiзують модель програмного шлюзу, оскiльки вони дозволяють виконати доступ до окремих елементiв файлу без надання доступу до всього файлу (наприклад, в операцiйнiй системi Unix така можливiсть широко використову¹ться без змiни паролю).

Розглянута базова модель захисту, в основному, характерна для раннiх некомерцiйних версiй операцiйно¨ системи Unix. Суча- снi реалiзацi¨ дано¨ операцiйно¨ системи мають порiвняно потужнi механiзми захисту та широку номенклатуру класiв захищеностi вiдповiдно до критерi¨в Жовтогарячо¨ книги (C2, B1, B2, B3).

3.6.1.3. Модифiкацiя дискрецiйно¨ моделi доступу для базово¨ моделi безпеки для операцiйних систем

Windows NT

Модель безпеки операцiйно¨ системи Windows NT бiльш складна нiж базова модель безпеки операцiйно¨ системи Unix. На вiдмiну вiд Unix, у Windows NT видiляються два способи надання доступу: системнi права i дозволи об'¹ктiв. Доступ на рiвнi об'¹- ктiв розвива¹ модель доступу до файлово¨ системи для об'¹ктноорi¹нтовано¨ концепцi¨ ресурсiв операцiйно¨ системи Windows NT.

Управлiння доступом на рiвнi системних прав нада¹ ролевий розподiл ресурсiв на рiвнi функцiональних задач, що розв'язу¹ться конкретним користувачем. У рядi випадкiв наявнiсть системних прав може означати надання доступу до ресурсiв без наявностi дозволiв на рiвнi об'¹ктiв. Наприклад, якщо користувач володi¹

правами backup operator (резервне копiювання), йому дозволено читати файли навiть при вiдсутностi об'¹ктних дозволiв доступу, що указанi в списках прав доступу [Access Control List (ACL)].

Використання системних дозволiв операцiйно¨ системи Windows NT да¹ меншу гнучкiсть, нiж EUID та EGID програми в операцiйнiй системi Unix. Проте рiвень захищеностi об'¹ктiв операцiйно¨ системи Windows NT гаранту¹ться власне операцiйною системою, а не додатками (як це ма¹ мiсце в операцiйнiй системi Unix).

З метою спрощення доступу до ресурсiв розподiлених мереж сотень i тисяч комп'ютерiв в операцiйнiй системi Windows NT застосову¹ться дворiвнева технологiя управлiння облiковою iнформацi¹ю користувачiв з видiленням локальних i глобальних груп. В основi технологi¨ лежить централiзована ре¹страцiя користувачiв в контролерi домена перед наданням права працювати на ЕОМ, що входить до даного домену. Контролер домену операцiйно¨ системи Windows NT представля¹ собою видiлений сервер локально¨ обчи- слювально¨ мережi, що використову¹ться для керування доступом в локальнiй обчислювальнiй мережi.

Кожний домен Windows NT це користувачi та ресурси мережi, доступ до яких нада¹ться вiдповiдно до ¹диних принципiв полiтики безпеки органiзацi¨, в iнтересах яко¨ створю¹ться мережа. Приклад найпростiшо¨ конфiгурацi¨ двох доменiв з видiленням локальних та глобальних груп приведений на рис. 3.24. Глобальна група операцiйно¨ системи Windows NT може використовуватися для надання доступу до ресурсiв одного домену. Для надання доступу до ресурсiв iншого домену використовуються локальнi групи групи.

Наявнiсть двох рiвнiв групування дозволя¹ бiльш гнучко управляти доступом, вводячи промiжнi адмiнiстративнi ролi, що вiдповiдають за ведення користувачiв деяких локальних груп, у тому числi груп, що використовують ресурси рiзних доменiв.

Ðèñ. 3.24. Групування ресурсiв в доменах операцiйно¨ системи Windows NT

3.6.2Моделi безпеки деяких типових технологiй оброблення iнформацi¨

3.6.2.1.Модель безпеки електронного каталогу вiдповiдно

äî ITU-T X.500

Дискрецiйну модель для бiльш складних систем можна розглянути на прикладi довiдника ITU-T X.500. Сiмейство рекомендацiй ITU-T X.500 добре вiдоме в телекомунiкацiйнi галузi та опису¹ i¹рархiчну модель бази даних, що представля¹ться у виглядi дерева. Органiзацiя тако¨ бази даних у цiлому нагаду¹ органiзацiю файлових систем.

Кожний об'¹кт бази даних ITU-T X.500 ¹ кiнцевим або контейнером (мiстить посилання на iншi об'¹кти дерева) i може iдентифiкуватися так званим довiдковим iменем (тобто повною специфi-

кацi¹ю об'¹кта, заданою вiд кореня дерева довiдника, аналогiчно шляху в файлових системах).

Кожний об'¹кт дерева мiстить iнформацiйнi та службовi атрибути i буду¹ться на основi опису класу об'¹ктiв. Iнформацiйнi атрибути мiстять користувальницьку iнформацiю. у той час як службовi атрибути використовуються для зв'язку з iншими об'¹ктами i атрибутами. а також для управлiння доступом до iнформацiйних атрибутiв. Видiля¹ться також спецiальний клас об'¹ктiв i атрибутiв, з яких конструюються новi об'¹кти, як з шаблонiв.

Для доступу користувачiв використову¹ться протокол доступу до довiдника [Directory Access Protocol (DAP)] або полегшений протокол доступу до довiдника [Light Directory Access Protocol (LDAP)] (реалiзований в операцiйних системах Windows 2000, Novell netware 4.1 i вище). Довiдник забезпечу¹ можливiсть виконання зчеплених запитiв (коли запит автоматично маршрутизу¹ться на сервер, що мiстить необхiдну iнформацiю) та запитiв вiдсилання (коли користувачу поверта¹ться адреса сервера, на якому, можливо , знаходиться необхiдна довiдкова iнформацiя).

Дерево довiдника може бути роздiлене на так званi автономнi областi, доступ до яких контролю¹ться сервером деяко¨ органiзацi¨. Окремi частини дерева, як правило, зберiгаються на рiзних серверах, вза¹модiя мiж якими здiйсню¹ться вiдповiдно до службового протоколу.

Кожна автономна область iдентифiку¹ться сво¨м кореневим об'¹ктом i може бути дальше подiлена на спецiальнi адмiнiстративнi областi, наприклад, з метою делегування деяким прав локального адмiнiстратора системи захисту iнформацi¨ на фрагменти дерева довiдника. Кожна локальна область опису¹ться атрибутами свого кореневого об'¹кта, що назива¹ться subentry.

Для визначення прав доступу використовуються спецiальнi атрибути ACL (Access Control List список управлiння доступом), якi аналiзуються системою захисту iнформацi¨ всякий раз при одержаннi користувальницького запиту. ACL кожного об'¹кта мiстить формалiзованi правила опису суб'¹ктiв доступу з указанням типiв операцiй, якi дозволенi ¨м для роботи з атрибутами даного об'¹кта.

ITU-T X.500 видiля¹ дозволи доступу до об'¹кта (елемента де-

об'¹ктами, типами атрибутiв та значеннями атрибутiв.

Стандартнi типи запитiв до бази даних довiдника

Самi по собi об'¹кти, типи та значення атрибутiв не доступнi для додаткiв. Замiсть цього ITU-T X.500 визнача¹ перелiк операцiй, якi можуть бути узгодженi мiж клi¹нтом i сервером. Цi ж рекомендацi¨ визначають спiввiдношення мiж елементами подання даних та типами операцiй в протоколах доступу, приведеними в табл.3.7 При одержаннi сервером довiдника запиту на викона-

Òàáë. 3.7 Стандартнi типи запитiв до бази даних довiдника

ння операцiй результат, що поверта¹ться визнача¹ться наступною системою розв'язних правил:

•при вiдсутностi доступу до значень атрибута в результатах ви-

конання операцi¨, що повертаються до користувача, указаний атрибут iнiцiалiзу¹ться порожнiм значенням;

•при вiдсутностi доступу до типу атрибута в результатах вико-

нання операцi¨, що повертаються до користувача, даний атрибут не включа¹ться не залежно вiд iндивiдуального дозволу доступу на значення атрибута;

•при вiдсутностi дозволу доступу до об'¹кта у результати запиту не включаються атрибути, що вiдносяться до даного об'¹кта.

Групування суб'¹ктiв та об'¹ктiв доступу

Групування суб'¹ктiв доступу, у цiлому, подiбне до того, як це прийнято в операцiйних системах. Правила управлiння доступом ITU-T X.500 дозволяють указувати в ACL дозволяють указувати наступнi типи об'¹ктiв доступу, приведенi у порядку убування приоритету при одночасному застосування до об'¹кта вирiшних правил з декiлькох ACL:

•явно заданi користувачi iндивiдуальне задавання в ACL ко-

ристувача як самостiйного суб'¹кта ма¹ максимальний прiоритет використання;

•групи користувачiв перелiчення членiв групи, у томi числi

рекурсивне (через iншi групи). Користувача, що входять до перелiку групи, можуть мати рiзний iменний контекст (вiдносне довiдкове iм'я, що визнача¹ локалiзацiю об'¹кта вiдносно кореневого об'¹кта дерева), проте повиннi входити в одну i ту ж автономну адмiнiстративну область;

•усi користувачi усi користувачi, що входять до спецiально¨

адмiнiстративно¨ областi.

Розглянемо тепер питання групування об'¹ктiв доступу. I¹рархiчна модель бази даних сама по собi представля¹ простий та досить ефективний спосiб такого групування, а саме, надавати права доступу до об'¹кта можна не прямо, а через об'¹кт-контейнер. Проте у деяких випадках можуть бути корисними правила групування ресурсiв, локалiзованих в рiзних, не пов'язаних один з одним фрагментах дерева.

Наприклад, для корпоративно¨ мережi пiдпри¹мства привродно вимагати обмеження доступу на запис для усiх об'¹ктiв, що мiстять цифровi сертифiкати X.509 для перевiрки автентичностi електронного цифрового пiдпису. Для представлення можливостi такого групування в ITU-T X.500 використовуються специфiкацi¨ сегмента дерева. Пiд сегментом дерева розумiють множину об'¹- ктiв i атрибутiв доступу, що задовольняють встановленим правилам вiдбору в межах адмiнiстративно¨ областi. Приклад специфiкацi¨ сегмента приведений на рис. 3.25.

Визначення сегментiв дерева не виключа¹ можливостi створення двох або бiльше сегментiв, якi перетинаються мiж собою. При

Ðèñ. 3.25. Приклад визначення сегмента дерева довiдника

цьому можлива ситуацiя, коли для об'¹ктiв для цих сегментiв призначенi рiзнi права доступу. Для розв'язання колiзi¨ в в ACL використову¹ться спецiальний атрибут, що опису¹ прiоритет кожного iз сегментiв дерева (precedence). Для сегмента з великим значенням атрибута precedence домiну¹ правило сегмента з меншим значенням даного атрибута.

Вибiр прiоритетiв в ACL

Розмежування доступу у довiднику може засновуватися на явному та неявному призначеннi прав. Це дозволя¹ реалiзувати достатньо складну полiтику управлiння доступом.

Неявне призначення прав доступу до об'¹ктiв забезпечу¹ться спецiальним атрибутом entry_ACL, який може бути використаний для захисту об'¹ктiв будь-якого типу та дозволя¹ реалiзувати полiтику безпеки, засновану на представленнi власникам об'¹ктiв права самим призначати та змiнювати правила розмежування доступу.

Неявнi права доступу до довiдника, що визначаються в опе-

рацiйному атрибутi prescriptive_ACL, можуть бути призначенi централiзовано через так звану запропоновану полiтику. Даний атрибут розташову¹ться в адмiнiстративних об'¹ктах subentry i ¹ недоступним для користувача. Його простiр дi¨ розповсюджу¹ться на сегмент дерева довiдника. Даний механiзм ¹ основним засобом захисту операцiйних та користувальницьких атрибутiв.

Iншим способом призначення правил на заданий атрибут ¹ встановлення операцiйного атрибуту subentry_ACL. Вiд може розташовуватися в кореневому об'¹ктiв автономно¨ областi i звичайно використову¹ться для призначення найбiльш загальних правил позмежування доступу для автономно¨ областi.

При наявностi вирiшних правил в prescriptive_ACL, що супере- чать один одному, прiоритет нада¹ться вирiшному правилу з бiльшим значенням параметра precedence i вирiшному правилу, що визнача¹ бiльш специфiчний доступ вiдповiдно до дозволами доступу до об'¹ктiв, типiв та значень атрибутiв.

Рiшення на надання доступу може залежати вiд типу протоколiв автентифiкацi¨ суб'¹кта, що запитав доступ. У цьому випадку в ACL окрiм указання суб'¹ктiв, об'¹ктiв та режимiв доступу вказу¹ться також необхiдний тип протоколу автентифiкацi¨, який дозволя¹ здiйснити доступ до об'¹кта в даному режимi.

При наявностi в ACL хоча би одного правила, що забороня¹ доступ до об'¹кта для заданого протоколу автентифiкацi¨, доступ до даного об'¹кта не нада¹ться, незалежно вiд потрiбного протоколу в iнших правилах.

Алгоритм обчислення розв'язно¨ функцi¨

Можна описати в загальних рисах послiдовнiсть крокiв, яку викону¹ довiдник при обробленнi користувальницького запиту.

Залежно вiд локалiзацi¨ сервера довiдника, що прийняв запит вiд користувача, вiдносно цiльового сервера, де знаходиться ресурс, що цiкавить користувача, тут можливi два варiанти дiй:

•при знаходженнi цiльового об'¹кта на локальному серверi об-

числю¹ться вирiшний вплив i викликаний об'¹кт (атрибут об'- ¹кта) помiща¹ться у результат, що поверта¹ться користувачевi вiдповiдно до протоколу DAP (LDAP);

•рiшення про надання доступу визнача¹ться шляхом перегляду

частини дерева довiдника, розташовано¨ вище даного об'¹кта та визначення всiх внутрiшнiх адмiнiстративних областей. Для кожно¨ iз знайдених адмiнiстративних областей вiдшукую-

òüñÿ âñi îá'¹êòè prescriptive_ACL, що мiстять вирiшнi правила для викликаного ресурсу. Шляхом використання стратегi¨ прiоритетiв визнача¹ться поточне рiшення з доступу для запиту, що поступив. У випадку вiдмови доступу i при одночаснiй наявностi дозволу доступу DisclosedOnError користувачу повiдомля¹ться причина вiдмови. У протилежному випадку вида¹ться службове повiдомлення про вiдсутнiсть цiльового об'¹кта команди або порожнiй результат.

При розташуваннi цiльового об'¹кта на вiддаленому серверi при обслуговуваннi зчеплених запитiв користувачу поверта¹ться довiдкове iм'я iншого сервера. При обслуговуваннi зчеплених запитiв сервер довiдника встановлю¹ з'¹днання з вiддаленим сервером вiдповiдно до стратегi¨ маршрутизацi¨ таких запитiв. При цьому викону¹ться автентифiкацiя серверiв i на вiддаленiй сервер передаються параметри для локально¨ автентифiкацi¨. Дальше процес продовжу¹ться для передавання запиту на сервер призначення iз збереженням послiдовностi крокiв та перевiрок, яка мала мiсце для локального доступу.

При обслуговуванi розподiлених запитiв у режимi пошуку за шаблонами, коли шукана iнформацiя розташову¹ться на декiлькох серверах, форму¹ться зчеплена вiдповiдь, у якiй кожний з цiльових серверiв розташову¹ свiй результат за запитом користувача.

Слiд вiдзначити, що дана модель надання даних та розподiлений характер зберiгання вимагають використовувати достатньо складнi правила опису об'¹ктiв захисту та прикладати значнi зусилля для синхронiзацi¨ механiзмiв безпеки серверiв довiдково¨ служби. Усе це дещо обмежу¹ можливостi застосування рекомендацiй ITU-T X.500 для побудови систем з високими гарантiями безпеки.

3.6.2.2. Модель безпеки систем електронного документообiгу на основi моделi забезпечення цiлiсностi

Кларка-Вiльсона

Роль кожного з дев'яти правил моделi Кларка-Вiльсона (див. 3.4.3) у забезпеченнi цiлiсностi iнформацi¨ можна пояснити, якщо показати, яким з теоретичних принципiв полiтики контролю цiлiсностi вiдповiда¹ дане правило.

Звичайно для моделi Кларка-Вiльсона вибирають першi шiсть

çдев'яти абстрактних теоретичних принципiв [29]:

1)коректнiсть транзакцiй;

2)автентифiкацiя користувачiв;

3)ìiíiìiçàöiÿ ïðèâiëå¨â;

4)розмежування функцiональних обов'язкiв;

5)аудит подiй, що вiдбулися;

6)об'¹ктивний контроль;

7)управлiння передачею привiле¨в;

8)забезпечення неперервно¨ працездатностi;

9)простота використання захисних механiзмiв.

Для розумiння правил моделi розкри¹мо данi принципи. Поняття коректностi транзакцiй звичайно визнача¹ться на-

ступним чином. Користувач не повинен модифiкувати данi довiльно, а тiльки визначеними способами, так, щоб зберiгалася цiлiснiсть даних. Iншими словами, данi можна змiнювати тiльки шляхом коректних транзакцiй i не можна довiльними засобами. Крiм того. Передбача¹ться, коректнiсть (у звичайному сенсi) кожно¨ з таких транзакцiй може бути деяким способом доведеною. Принцип коректних транзакцiй за сво¹ю суттю вiдбива¹ основну iдею визначення цiлiсностi даних, що нi одному користувачевi системи, у тому числi авторизованому, не повиннi бути дозволеними такi змiни даних, якi спричинять ¨х руйнування або втрату.

Другий принцип говорить, що змiни даних може здiйснювати користувач, якого спецiально автентифiковують для цього. Цей принцип працю¹ разом з наступними чотирма, з якими тiсно зв'я- зана його роль у загальнiй схемi забезпечення цiлiсностi.

Iäåÿ ìiíiìiçàöi¨ ïðèâiëå¨â з'явилася ще на раннiх етапах розвитку напрямку комп'ютерно¨ безпеки у формi обмеження, що на-

кладаються на можливостi процесiв, що виконуються в системi, i припускають, що процеси повиннi бути надiленими тими i тiльки тими привiлеями для виконання процесiв. Практикам адмiнiстрування ОС UNIX це положення дуже знайоме на прикладi використання облiкового запису, що ма¹ необмеженi повноваження. Принцип, вiдповiдно до якого слiд мiнiмiзувати привiле¨, що призначаються, у суворiй вiдповiдностi iз змiстом завдання, що викону¹ться, розповсюджу¹ться в рiвнiй мiрi як на процеси (працюючi в системi програми), так i на користувачiв системи.

Розмежування функцiональних обов'язкiв припуска¹ органiзацiю роботи з даними таким чином, що у кожнiй з ключових стадiй, якi складають ¹диний критично важливий з точки зору цiлiсностi процес, необхiдна участь рiзноманiтних користувачiв. Цим гаранту¹ться, що один користувач не може виконувати весь процес цiлком (або навiть двi його стадi¨) з тим, щоб порушити цiлiснiсть даних. У звичайному випадку прикладом втiлення даного принципу служить передача однi¹¨ половини паролю для доступу до програми керування ядерним реактором першому системному адмiнiстратору, а другий другому.

Як вiдзначалося вище, принцип мiнiмiзацi¨ привiле¨в розповсюджу¹ться i на програми, i на користувачiв. Останнiм, проте, на практицi важко визначити теоретично досяжний мiнiмальний рiвень привiле¨в за двома причинами. По-перше, користувачi виконують рiзноманiтнi завдання, якi потребують рiзних привiле¨в. Подруге, якщо суворе дотримання принципу мiнiмiзацi¨ у вiдношеннi процесiв зв'язане з мiркуваннями щодо вартостi та продуктивностi. То у вiдношеннi користувачiв воно. Скорiше, зачiпа¹ питання етики та моралi, а також зручностi та ефективностi роботи це фактори, якi не пiддаються точнiй кiлькiснiй оцiнцi. Тому користувачi будуть, як правило, мати дещо бiльше привiле¨в, нiж ¨х необхiдно для виконання конкретно¨ дi¨ на даний момент часу. А це вiдкрива¹ можливостi для зловживань.

Аудит подiй, що вiдбулися (включаючи можливiсть вiдновлення повно¨ картини подiй, що вiдбулися) ¹ превентивною мiрою по вiдношенню до потенцiйних порушникiв.

Принцип об'¹ктивного контролю також ¹ одним з нарiжних каменiв полiтики контролю цiлiсностi. Суть даного принципу по-

ляга¹ у тому, що контроль цiлiсностi даних ма¹ смисл лише тодi, коли цi данi вiдображають реальне положення речей. Очевидно, що нема смислу турбуватися про цiлiсних даних, з розташуванням бойового арсеналу, який уже вiдправлений на переплавку. У зв'язку з цим Кларк та Вiльсон указують на необхiднiсть регулярних перевiрок, метою яких ¹ виявлення можливих невiдповiдностей мiж даними, що захищаються, та об'¹ктивною реальнiстю, яку вони вiдображають.

Управлiння передачею привiле¨в необхiдне для ефективно¨ роботи усi¹¨ полiтики безпеки. Якщо схема призначення привiле¨в неадекватно вiдобража¹ органiзацiйну структуру пiдпри¹мства або не дозволя¹ адмiнiстраторам гнучко манiпулювати нею для забезпечення ефективностi виробничо¨ дiяльностi, захист ста¹ важким тягарем та провоку¹ спроби обiйти ¨¨ там, де вона заважа¹нормальнiй роботi.

З деякими застереженнями iнодi в основу контролю цiлiсностi заклада¹ться принцип забезпечення безперервно¨ роботи (вклю- чаючи захист вiд збо¨в, стихiйних лих та iнших форс мажорних обставин), який у класичнiй теорi¨ комп'ютерно¨ безпеки вiдноситься, скорiше, до проблеми доступностi даних.

В основу дев'ятого принципу контролю цiлiсностi простота використання захисних механiзмiв закладений ряд iдей, призваних забезпечити ефективне застосування наявних механiзмiв забезпечення цiлiсностi. На практицi часто виявля¹ться, що передбаченi в системi механiзми безпеки некоректно використовуються або повнiстю iгноруються системними адмiнiстраторами за наступних причин:

•неправильно вибранi виробниками конфiгурацiйнi параметри за умочанням забезпечують слабкий захист;

•погано розробленi iнтерфейси керування захистом ускладнюють використання навiть простих засобiв захисту;

•наявнi засоби безпеки не забезпечують адекватний рiвень контролю за системою;

•реалiзацiя механiзмiв безпеки погано вiдповiда¹ ¨х iнту¨тивному розумiнню, що склалося у адмiнiстраторiв;

•окремi засоби захисту погано iнтегрованi в загальну схему безпеки; адмiнiстратори недостатньо поiнформованi про важли-

вiсть застосування конкретних механiзмiв захисту та ¨х особливостях.

Простота використання механiзмiв захисту припуска¹, що найбiльш безпечний шлях експлуатацi¨ системи буде також найбiльш простим, i навпаки, найбiльш простий найбiльш захищеним.

Вiдповiднiсть правил моделi Кларка-Вiльсона до перелiчених принципiв показанi у табл. 3.8. Як видно iз табл. 3.8 принципи 1 (коректнiсть транзакцiй) i 4 (розмежування функцiональних обо- в'язкiв) реалiзуються бiльшiстю правил, що вiдповiдають основнiй iде¨ моделi.

Òàáë. 3.8 Вiдповiднiсть правил моделi Кларка-Вiльсона до принципiв полiтики контролю цiлiсностi

Публiкацiя опису моделi Кларка-Вiльсона викликала широкий вiдгук серед дослiдникiв, що займаються проблемою контролю цiлiсностi. У рядi робiт розглядаються практичнi аспекти застосування моделi, запропонованi деякi ¨¨ розширення та способи iнтеграцi¨ з iншими моделями безпеки.