Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Политика и модели безопасности
v Политика безопасности v Субъектно-объектные модели разграни- чения доступа v Аксиомы политики безопасности v Политика и мо- дели дискреционного доступа v Парольные системы разграничения доступа v Политика и модели мандатного доступа v Теоретико-ин- формационные модели v Политика и модели тематического разгра- ничения доступаv Ролевая модель безопасности v
7.1.
ехнология защиты информационных систем начала развиваться относительно недавно, но уже сегодня существует значительное число теоретических моде- лей, позволяющих описывать различные аспекты безопасно- сти и обеспечивать средства защиты с формальной стороны. Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопас- ности системы. Формальное выражение политики безопасно- сти называют моделью безопасности. Основная цель создания политики безопасности — это опре- деление условий, которым должно подчиняться поведение си- стемы, выработка критерия безопасности и проведение фор- мального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. Кроме того, модели безопасности позволяют решить еще це- лый ряд задач, возникающих в ходе проектирования, разработ- ки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и дру- гие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем.
Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач [7]: · выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реали- зации средств и методов защиты информации; · подтверждение свойства защищенности разрабатывае- мых систем путем формального доказательства соблюде- ния политики безопасности; · составление формальной спецификации политики без- опасности как важнейшей составной части организаци- онного и документационного обеспечения разрабатыва- емых защищенных систем.
Производители защищенных информационных систем ис- пользуют модели безопасности в следующих случаях: · при составлении формальной спецификации политики безопасности разрабатываемой системы; · при выборе и обосновании базовых принципов архитек- туры защищенной системы, определяющих механизмы реализации средств защиты; · в процессе анализа безопасности системы, при этом мо- дель используется в качестве эталонной модели; · при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения полити- ки безопасности. Потребители путем составления формальных моделей без- опасности получают возможность довести до сведения произ- водителей свои требования, а также оценить соответствие за- щищенных систем своим потребностям. Эксперты в ходе анализа адекватности реализации полити- ки безопасности в защищенных системах используют модели безопасности в качестве эталонов. По сути, модели безопасности являются связующим эле- ментом между производителями, потребителями и экспертами.
7.2.
Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одно- го из наиболее известных отечественных исследователей те- оретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концепту- ального подхода к информационной безопасности. В. А. Гера- сименко представил общую модель процессов защиты инфор- мации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения до- ступа к ресурсам. Разграничение доступа к информации — разделение инфор- мации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользовате- лей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей. Разграничение доступа непосредственно обеспечивает кон- фиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграниче- ние доступа можно рассматривать среди других методов обе- спечения информационной безопасности как комплексный программно-технический метод защиты информации. Раз- граничение доступа является также необходимым условием обеспечения информационной безопасности.
Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объ- ектов доступа. Рассмотрим основные положения наиболее распространен- ных политик безопасности, основанных на контроле досту- па субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются
безопасными, а другие — нет [7]. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях: 1. В системе действует дискретное время. 2. В каждый фиксированный момент времени система пред- ставляет собой конечное множество элементов, разделяемых на два подмножества: · подмножество субъектов доступа S; · подмножество объектов доступа О. Субъект доступа — активная сущность, которая может изме- нять состояние системы через порождение процессов над объ- ектами, в том числе порождать новые объекты и инициализи- ровать порождение новых субъектов. Объект доступа — пассивная сущность, процессы над кото- рой могут в определенных случаях быть источником порожде- ния новых субъектов. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управле- ния доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют полити- ку безопасности. Общим подходом для всех моделей являет- ся именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами опре- деления понятий «объект» и «субъект» в разных моделях мо- гут различаться. В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, пред- полагается также, что в любой момент времени tk, в том числе и в начальный, множество субъектов доступа не пусто. 3. Пользователи представлены одним или некоторой сово- купностью субъектов доступа, действующих от имени конкрет- ного пользователя. Пользователь — лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколь- кими субъектами, воспринимающий объекты и получающий
информацию о состоянии системы через субъекты, которыми он управляет. Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Пред- полагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не со- ответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Од- нако подобная идеализация позволяет построить четкую схе- му процессов и механизмов доступа. 4. Субъекты могут быть порождены из объектов только ак- тивной сущностью (другим субъектом). Объект оi называется источником для субъекта sm, если су- ществует субъект sj, в результате воздействия которого на объ- ект оi возникает субъект sm. Cубъект sj является активизирую- щим для субъекта sm.
Для описания процессов порождения субъектов доступа вво- дится следующая команда: Create (sj, oi) ® sm — из объекта оi порожден субъект sm, при активизирующем воздействии субъекта sj. Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздей- ствием активизирующего субъекта в момент времени tk новый субъект порождается в момент времени tk+ 1. Результат операции Create зависит как от свойств активизи- рующего субъекта, так и от свойств объекта-источника. Активная сущность субъектов доступа заключается в их спо- собности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации. 5. Все взаимодействия в системе моделируются установле- нием отношений определенного типа между субъектами и объ- ектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.
6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации. Потоком информации между объектом оi и объектом оj на- зывается произвольная операция над объектом оj, реализуемая в субъекте sm и зависящая от объекта оi. Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д. Объекты, участвующие в потоке, могут быть как источника- ми, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объ- ектами, а не между субъектом и объектом. Доступом субъекта sm к объекту оj называется порождение субъектом sm потока информации между объектом оj и некото- рым объектом оi. Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосред- ственно к описанию процессов безопасности информации в за- щищенных системах. С этой целью вводится множество пото- ков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (мно- жество Р является объединением потоков по всем моментам времени функционирования системы). Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р. 7. Политика безопасности задается в виде правил, в соответ- ствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с пра- вилами политики безопасности.
9. Совокупность множеств субъектов, объектов и отноше- ний между ними (установившихся взаимодействий) опреде- ляет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предло- женным в модели критерием безопасности. 10. Основной элемент модели безопасности — это доказа- тельство утверждения (теоремы) о том, что система, находяща- яся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и огра- ничений.
7.3.
Анализ опыта защиты информации, а также основных по- ложений субъектно-объектной модели позволяет сформулиро- вать несколько аксиом, касающихся построения политик без- опасности [10]. Аксиома 1. В защищенной информационной системе в любой момент времени любой субъект и объект должны быть иденти- фицированы и аутентифицированы. Данная аксиома определяется самой природой и содержа- нием процессов коллективного доступа пользователей к ресур- сам. Иначе субъекты имеют возможность выдать себя за дру- гих субъектов или подменить одни объекты доступа на другие. Аксиома 2. В защищенной системе должна присутствовать активная компонента (субъект, процесс и т. д.) с соответству- ющим объектом-источником, которая осуществляет управле- ние доступом и контроль доступа субъектов к объектам, — мо- нитор или ядро безопасности. Монитор безопасности — механизм реализации политики безопасности в информационной системе, совокупность ап- паратных, программных и специальных компонентов систе-
мы, реализующих функции защиты и обеспечения безопасно- сти (общепринятое сокращение — ТСВ — Trusted Computing Base). В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь раз- деляемое на компоненту представления информации (фай- ловая система ОС, модель данных СУБД), компоненту досту- па к данным (система ввода–вывода ОС, процессор запросов СУБД) и надстройку (утилиты, сервис, интерфейсные компо- ненты) (рис. 7.1).
Рис. 7.1. Незащищенная система
В защищенной системе появляется дополнительный ком- понент, обеспечивающий процессы защиты информации, пре- жде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безо- пасности (разграничения доступа) (рис. 7.2).
Субъекты Ядро системы Монитор безопасности Процессы Объекты
Рис. 7.2. Защищенная система
С учетом нормативных требований по сертификации защи- щенных систем к реализации монитора безопасности предъяв- ляются следующие обязательные требования:
1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объ- екту, и не должно быть никаких способов его обхода. 2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы. 3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешнетестируемым) на предмет вы- полнения своих функций. 4. Непрерывность. Монитор безопасности должен функ- ционировать при любых, в том числе и аварийных ситуациях. Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие мо- дели безопасности. Аксиома 3. Для реализации принятой политики безопасно- сти, управления и контроля доступа субъектов к объектам необ- ходима информация и объект, ее содержащий. Следствие 3.1. В защищенной системе существует особая категория активных сущностей, которые не инициализиру- ют и которыми не управляют пользователи системы, — си- стемные процессы (субъекты), присутствующие в системе изначально. Следствие 3.2. Ассоциированный с монитором безопасно- сти объект, содержащий информацию о системе разграниче- ния доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной ин- формационной системе. Следствие 3.3. В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором без- опасности объекту — данным для управления политикой раз- граничения доступа. Принципы, способы представления и реализация ассоци- ированных с монитором безопасности объектов определяют-
ся типом политики безопасности и особенностями конкрет- ной системы. К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколь- ко исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. пра- вило разделения информационных потоков, порождаемых до- ступом субъектов к объектам, на безопасные и небезопасные. Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную в системе политику безопасности. Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соот- ветственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопас- ности самого монитора безопасности.
7.4.
Политика дискреционного (избирательного) доступа реализо- вана в большинстве защищенных систем и исторически является первой проработанной в теоретическом и практическом плане. Первые описания моделей дискреционного доступа к ин- формации появились еще в 1960-х гг. и подробно представле- ны в литературе. Наиболее известны модель АДЕПТ-50 (ко- нец 1960-х гг.), пятимерное пространство Хартсона (начало 1970-х гг.), модель Хариссона — Руззо-Ульмана (середина 1970-х гг.), модель Take-Grant (1976 г.). Авторами и исследова- телями этих моделей был внесен значительный вклад в теорию безопасности информационных систем, а их работы заложили основу для последующего создания и развития защищенных информационных систем.
Модели дискреционного доступа непосредственно основы- ваются на субъектно-объектной модели и развивают ее как сово- купность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дис- кретным набором троек «пользователь (субъект) — поток (опе- рация) — объект». В модели, исходя из способа представления области безо- пасного доступа и механизма разрешений на доступ, анализи- руется и доказывается, что за конечное число переходов систе- ма останется в безопасном состоянии.
|
||||||||||||||
Последнее изменение этой страницы: 2021-12-07; просмотров: 245; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.118.30.253 (0.038 с.) |