Политика и модели безопасности

 

v Политика безопасности v Субъектно-объектные модели разграни- чения доступа v Аксиомы политики безопасности v Политика и мо- дели дискреционного доступа v Парольные системы разграничения доступа v Политика и модели мандатного доступа v Теоретико-ин- формационные модели v Политика и модели тематического разгра-

ничения доступаv Ролевая модель безопасности v

 

 

7.1.

Т

политика безопасности

 

ехнология защиты информационных систем начала развиваться относительно недавно, но уже сегодня существует значительное число теоретических моде-

лей, позволяющих описывать различные аспекты безопасно- сти и обеспечивать средства защиты с формальной стороны.

Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопас- ности системы. Формальное выражение политики безопасно- сти называют моделью безопасности.

Основная цель создания политики безопасности — это опре- деление условий, которым должно подчиняться поведение си- стемы, выработка критерия безопасности и проведение фор- мального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.

Кроме того, модели безопасности позволяют решить еще це- лый ряд задач, возникающих в ходе проектирования, разработ- ки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и дру- гие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем.

 

Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач [7]:

· выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реали- зации средств и методов защиты информации;

· подтверждение свойства защищенности разрабатывае- мых систем путем формального доказательства соблюде- ния политики безопасности;

· составление формальной спецификации политики без- опасности как важнейшей составной части организаци- онного и документационного обеспечения разрабатыва- емых защищенных систем.

Производители защищенных информационных систем ис- пользуют модели безопасности в следующих случаях:

· при составлении формальной спецификации политики безопасности разрабатываемой системы;

· при выборе и обосновании базовых принципов архитек- туры защищенной системы, определяющих механизмы реализации средств защиты;

· в процессе анализа безопасности системы, при этом мо- дель используется в качестве эталонной модели;

· при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения полити- ки безопасности.

Потребители путем составления формальных моделей без- опасности получают возможность довести до сведения произ- водителей свои требования, а также оценить соответствие за- щищенных систем своим потребностям.

Эксперты в ходе анализа адекватности реализации полити- ки безопасности в защищенных системах используют модели безопасности в качестве эталонов.

По сути, модели безопасности являются связующим эле- ментом между производителями, потребителями и экспертами.

 

7.2.
субъектно-объектные модели разграничения доступа

 

Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одно- го из наиболее известных отечественных исследователей те- оретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концепту- ального подхода к информационной безопасности. В. А. Гера- сименко представил общую модель процессов защиты инфор- мации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения до- ступа к ресурсам.

Разграничение доступа к информации — разделение инфор- мации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользовате- лей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей.

Разграничение доступа непосредственно обеспечивает кон- фиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграниче- ние доступа можно рассматривать среди других методов обе- спечения информационной безопасности как комплексный программно-технический метод защиты информации. Раз- граничение доступа является также необходимым условием обеспечения информационной безопасности.

Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объ- ектов доступа.

Рассмотрим основные положения наиболее распространен- ных политик безопасности, основанных на контроле досту- па субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются

 

безопасными, а другие — нет [7]. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:

1. В системе действует дискретное время.

2. В каждый фиксированный момент времени система пред- ставляет собой конечное множество элементов, разделяемых на два подмножества:

· подмножество субъектов доступа S;

· подмножество объектов доступа О.

Субъект доступа — активная сущность, которая может изме- нять состояние системы через порождение процессов над объ- ектами, в том числе порождать новые объекты и инициализи- ровать порождение новых субъектов.

Объект доступа — пассивная сущность, процессы над кото- рой могут в определенных случаях быть источником порожде- ния новых субъектов.

При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управле- ния доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют полити- ку безопасности. Общим подходом для всех моделей являет- ся именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами опре- деления понятий «объект» и «субъект» в разных моделях мо- гут различаться.

В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, пред- полагается также, что в любой момент времени t_k, в том числе и в начальный, множество субъектов доступа не пусто.

3. Пользователи представлены одним или некоторой сово- купностью субъектов доступа, действующих от имени конкрет- ного пользователя.

Пользователь — лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколь- кими субъектами, воспринимающий объекты и получающий

 

информацию о состоянии системы через субъекты, которыми он управляет.

Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Пред- полагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не со- ответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Од- нако подобная идеализация позволяет построить четкую схе- му процессов и механизмов доступа.

4. Субъекты могут быть порождены из объектов только ак- тивной сущностью (другим субъектом).

Объект о_i называется источником для субъекта s_m, если су- ществует субъект s_j, в результате воздействия которого на объ- ект о_i возникает субъект s_m. Cубъект s_j является активизирую- щим для субъекта s_m.

Для описания процессов порождения субъектов доступа вво- дится следующая команда:

Create (s_j, o_i) ® s_m — из объекта о_i порожден субъект s_m, при активизирующем воздействии субъекта s_j.

Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздей- ствием активизирующего субъекта в момент времени t_k новый субъект порождается в момент времени t_{k+ 1}.

Результат операции Create зависит как от свойств активизи- рующего субъекта, так и от свойств объекта-источника.

Активная сущность субъектов доступа заключается в их спо- собности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации.

5. Все взаимодействия в системе моделируются установле- нием отношений определенного типа между субъектами и объ- ектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

 

6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации.

Потоком информации между объектом о_i и объектом о_j на- зывается произвольная операция над объектом о_j, реализуемая в субъекте s_m и зависящая от объекта о_i.

Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д. Объекты, участвующие в потоке, могут быть как источника- ми, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объ- ектами, а не между субъектом и объектом.

Доступом субъекта s_m к объекту о_j называется порождение субъектом s_m потока информации между объектом о_j и некото- рым объектом о_i.

Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосред- ственно к описанию процессов безопасности информации в за- щищенных системах. С этой целью вводится множество пото- ков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (мно- жество Р является объединением потоков по всем моментам времени функционирования системы).

Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р.

7. Политика безопасности задается в виде правил, в соответ- ствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с пра- вилами политики безопасности.

 

9. Совокупность множеств субъектов, объектов и отноше- ний между ними (установившихся взаимодействий) опреде- ляет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предло- женным в модели критерием безопасности.

10. Основной элемент модели безопасности — это доказа- тельство утверждения (теоремы) о том, что система, находяща- яся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и огра- ничений.

 

7.3.
аксиомы политики безопасности

 

Анализ опыта защиты информации, а также основных по- ложений субъектно-объектной модели позволяет сформулиро- вать несколько аксиом, касающихся построения политик без- опасности [10].

Аксиома 1. В защищенной информационной системе в любой момент времени любой субъект и объект должны быть иденти- фицированы и аутентифицированы.

Данная аксиома определяется самой природой и содержа- нием процессов коллективного доступа пользователей к ресур- сам. Иначе субъекты имеют возможность выдать себя за дру- гих субъектов или подменить одни объекты доступа на другие. Аксиома 2. В защищенной системе должна присутствовать активная компонента (субъект, процесс и т. д.) с соответству- ющим объектом-источником, которая осуществляет управле- ние доступом и контроль доступа субъектов к объектам, — мо-

нитор или ядро безопасности.

Монитор безопасности — механизм реализации политики безопасности в информационной системе, совокупность ап- паратных, программных и специальных компонентов систе-

 

мы, реализующих функции защиты и обеспечения безопасно- сти (общепринятое сокращение — ТСВ — Trusted Computing Base).

В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь раз- деляемое на компоненту представления информации (фай- ловая система ОС, модель данных СУБД), компоненту досту- па к данным (система ввода–вывода ОС, процессор запросов СУБД) и надстройку (утилиты, сервис, интерфейсные компо- ненты) (рис. 7.1).

Субъекты

Ядро системы

Процессы

Объекты

Рис. 7.1. Незащищенная система

 

В защищенной системе появляется дополнительный ком- понент, обеспечивающий процессы защиты информации, пре- жде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безо- пасности (разграничения доступа) (рис. 7.2).

 

 

Субъекты

Ядро системы

Монитор безопасности

Процессы

Объекты

 

Рис. 7.2. Защищенная система

 

С учетом нормативных требований по сертификации защи- щенных систем к реализации монитора безопасности предъяв- ляются следующие обязательные требования:

 

1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объ- екту, и не должно быть никаких способов его обхода.

2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы.

3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешнетестируемым) на предмет вы- полнения своих функций.

4. Непрерывность. Монитор безопасности должен функ- ционировать при любых, в том числе и аварийных ситуациях. Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие мо-

дели безопасности.

Аксиома 3. Для реализации принятой политики безопасно- сти, управления и контроля доступа субъектов к объектам необ- ходима информация и объект, ее содержащий.

Следствие 3.1. В защищенной системе существует особая категория активных сущностей, которые не инициализиру- ют и которыми не управляют пользователи системы, — си- стемные процессы (субъекты), присутствующие в системе изначально.

Следствие 3.2. Ассоциированный с монитором безопасно- сти объект, содержащий информацию о системе разграниче- ния доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной ин- формационной системе.

Следствие 3.3. В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором без- опасности объекту — данным для управления политикой раз- граничения доступа.

Принципы, способы представления и реализация ассоци- ированных с монитором безопасности объектов определяют-

 

ся типом политики безопасности и особенностями конкрет- ной системы.

К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколь- ко исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. пра- вило разделения информационных потоков, порождаемых до- ступом субъектов к объектам, на безопасные и небезопасные. Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную

в системе политику безопасности.

Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соот- ветственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопас- ности самого монитора безопасности.

 

7.4.
политика и модели дискреционного доступа

 

Политика дискреционного (избирательного) доступа реализо- вана в большинстве защищенных систем и исторически является первой проработанной в теоретическом и практическом плане. Первые описания моделей дискреционного доступа к ин- формации появились еще в 1960-х гг. и подробно представле- ны в литературе. Наиболее известны модель АДЕПТ-50 (ко- нец 1960-х гг.), пятимерное пространство Хартсона (начало 1970-х гг.), модель Хариссона — Руззо-Ульмана (середина 1970-х гг.), модель Take-Grant (1976 г.). Авторами и исследова- телями этих моделей был внесен значительный вклад в теорию безопасности информационных систем, а их работы заложили основу для последующего создания и развития защищенных

информационных систем.

 

Модели дискреционного доступа непосредственно основы- ваются на субъектно-объектной модели и развивают ее как сово- купность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дис- кретным набором троек «пользователь (субъект) — поток (опе- рация) — объект».

В модели, исходя из способа представления области безо- пасного доступа и механизма разрешений на доступ, анализи- руется и доказывается, что за конечное число переходов систе- ма останется в безопасном состоянии.