Перестраиваемость резидентного компонента безопасности

 

Установленные выше задачи безопасности электронного обмена данными, в решении которых должен участвовать РКБ, можно разделить на две группы, соответствующие двум основным этапам работы компьютерной системы:

· этап формирования политики безопасности — режим управления;

· этап электронного обмена информацией — пользовательский режим.

Предметной областью задач первой группы является среда существования документа, целостность и санкционированный доступ к которой должен обеспечиваться средствами защиты. То есть это задачи обеспечения целостности среды. Здесь не существенен сам непосредственный носитель информации, собственно электронный документ. Во временном аспекте можно говорить об этапе управления средой или об этапе формирования политики безопасности. Считается, что описание политики безопасности, согласно которой функционирует КС, зафиксировано в некоторой базе данных в виде правил разграничения доступа, меток конфиденциальности и т. д.

Задачи второй группы, характерные для пользовательского режима работы КС, — это задачи аутентификации объектов и субъектов. В отличие от первой группы здесь приходится иметь дело с конкретными пользователями и конкретной информацией, конкретными документами. Основное содержание — решение проблем аутентификации субъектов, взаимодействующих с данным документом, санкционирование доступа к ЭлД. В том числе субъектов, формирующих и применяющих данный ЭлД, а также имеющих доступ к документу в процессе документооборота.

Специфика групп задач обусловлена качественно разными объектами защиты — среда и документ, и, соответственно, должна отражаться в требованиях к РКБ, участвующих в их решении.

В таком случае при обосновании архитектуры РКБ можно ограничиться изучением только двух принципиально отличающихся функциональных возможностей: чтение — R (read); запись — W (wright) (адрес подразумевается и опущен для компактности).

Точно такой же результат следует и из предыдущего раздела, где обсуждалась минимальная конфигурация РКБ: извне в РКБ записывается эталон, устройства КС считывают из РКБ требуемый результат.

На практике, конечно, потребуется целый ряд дополнительных требований к РКБ, обеспечивающих его сопряжение с КС, совместимость, и т. п. Тем не менее, в самом общем плане можно утверждать, что для функционирования РКБ достаточно реализации этих двух операций, причем адрес должен пониматься по умолчанию.

В режиме управления назначение РКБ — обеспечение легального формирования выбранной администратором безопасности политики безопасности. Для этого требуется внесение соответствующих изменений (записей) в базу данных компонента безопасности. Следовательно, для применимости РКБ на этапе управления КС компонент должен обладать свойством «W». «Стереть» запись эквивалентно «записать»: например, записать одни «нули». Поэтому можно обойтись без операции чтения, не заменять записи, но писать всю базу полностью. Таким образом, в режиме управления наличие операции W не только необходимое, но и достаточное условие выполнения РКБ своего назначения.

В пользовательском режиме назначение РКБ — контроль соответствия доступа пользователей к интересующим их объектам компьютерной системы сформированной политике безопасности. Доступ либо разрешается, либо запрещается в соответствии с информацией из базы данных РКБ, содержащей правила функционирования КС. Следовательно, для применимости РКБ в пользовательском режиме КС компонент безопасности необходимо должен обладать возможностью «R». В принципе, это и достаточное условие для реализации пользовательского режима работы РКБ.

Итак, для работы во всех режимах КС достаточно, чтобы РКБ обладал свойствами R, W, что, согласно предыдущему разделу, означает, что РКБ будет полноценной машиной Тьюринга.

Но когда РКБ одновременно обладает этими свойствами, то задача защиты КС необходимо сводится к почти равноценной задаче защиты компьютера – РКБ. Легко привести пример разрушающего программного воздействия (РПВ), если РКБ одновременно обладает свойствами R, W. Если злоумышленник является легальным пользователем КС, то, используя функциональные возможности РКБ, он может сначала выяснить свои права доступа к интересующему его объекту (с помощью процесса R), а затем заменить свои права на другие (с помощью процесса W).

Суммируя приведенные доводы, выделим следующие положения:

· для обеспечения защиты КС резидентный компонент безопасности необходимо должен быть машиной Тьюринга;

· если РКБ в каждый момент времени может выполнять любую из тьюринговых операций, то построенные на такой базе механизмы защиты потенциально уязвимы;

· в цикле функционирования КС можно выделить два непересекающихся режима — режим управления и пользовательский режим;

· для каждого из режимов достаточно функционирование РКБ с редуцированным множеством операций: в режиме управления W — запись, адрес; в пользовательском режиме R — чтение, адрес;

· РКБ с редуцированным множеством операций, как установлено в предыдущем разделе, имеет потенциально высокую защищенность.

Но тогда напрашивается следующее предложение — РКБ не должен быть машиной Тьюринга в краткосрочном периоде, но должен являться таковой в долгосрочном. Резидентный компонент безопасности должен иметь перестраиваемую архитектуру, в каждый момент времени обладать редуцированным набором вычислительных операций: в режиме управления «W»; в пользовательском режиме «R». Это позволило бы сочетать отмеченные выше несовместимые на первый взгляд требования.

Возникает вопрос, а кто (что) должен выдавать команду на перестройку РКБ? Вариант, что такой сигнал должен исходить от КС, порочен в принципе. Согласно теореме о программировании последовательной композиции тьюринговых программ [10] всегда может быть построена программа T, которая будет реализовывать рассмотренный выше механизм РПВ. Остается единственная возможность — перестройка архитектуры РКБ должна осуществляться извне, защищенным воздействием системного администратора или иного уполномоченного лица.

Наиболее распространенными архитектурами организации вычислительных процедур являются линейная (последовательная) и древовидная (иерархическая).

Система имеет линейную архитектуру (линейная система), если множество объектов строго упорядочено — всякому объекту, за исключением начального, предшествует один и только один объект.

Для линейной системы доказано Утверждение об использовании резидентного компонента безопасности — РКБ:

 Задача контроля целостности системы разрешима только при использовании специализированного аппаратного резидентного компонента безопасности (РКБ).

Из утверждения об использовании РКБ следуют:

Следствие 1: Установление целостности возможно только при расширении КС специализированным резидентным компонентом безопасности (принцип Архимеда).

Следствие 2:Установление целостности КС невозможно только за счет программных средств без использования РКБ (синдром Мюнгхаузена).

 

Как же должен размещаться РКБ в системе линейной структуры? Ответ на этот вопрос дает Утверждение о размещении РКБ в линейной системе. Это утверждение обосновывает, что компоненты безопасности (РКБ) могут быть размещены в системе линейной структуры произвольным образом, при условии, что один из РКБ в системе размещен как начальный объект.

Очевидна трактовка этого утверждения – произвольным образом – значит, могут и отсутствовать! Значит, достаточно, чтобы в системе линейной архитектуры был всего один РКБ! Но для этого необходимо, чтобы он стартовал первым.

По-иному обстоит дело с системами иерархической архитектуры – это наиболее распространенный вид систем. Для них доказано Утверждение о размещении РКБ в системе произвольной структуры:

 Для контроля целостности системы произвольной структуры необходимо размещение РКБ во всех точках системы, соответствующих вершинам графа связности, кратность которых больше 2, т. е. имеющих по крайней мере 2 ребра, связывающие их с вершинами следующего уровня иерархии.

Другими словами, с помощью РКБ должен быть защищен каждый компьютер, непосредственно взаимодействующий более чем с двумя другими компьютерами. В сетях сложной архитектуры это означает, что практически каждый компьютер должен быть защищен с помощью РКБ.