Модели безопасности и их предназначения реферат

Обновлено: 29.06.2024

Формальные модели широко используются при построении систем защиты, так как с их помошью можно доказать безопас­ность системы, опираясь на объективные доказуемые математи­ческие постулаты. Целью построения модели является получение формального доказательства безопасности системы при соблюде­нии определенных условий, а также определение достаточного критерия безопасности. Формальные модели позволяют решить целый ряд задач, возникающих в ходе проектирования, разработ­ки и сертификации АС в защищенном исполнении.

формальная модель отображает политику безопасности.' По­литика безопасности (ПБ) — совокупность норм и правил, регла­ментирующих процесс обработки информации, выполнение ко­торых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы. Полити­ка безопасности описывает множество условий, при соблюдении которых пользователи системы могут получить доступ к ресурсам вычислительной системы без потери ее информационной без­опасности. Политика безопасности АС может состоять из множе­ства частных политик, соответствующих конкретным механизмам безопасности. Основу политики безопасности составляет способ управления доступом субъектов системы к объектам.

При функционировании АС происходит взаимодействие меж­ду ее компонентами, порождаются информационные потоки. Ос­новная цель создания политики безопасности и описания ее в виде формальной модели — это определение условий, которым

Известно множество теоретических моделей, описывающих различные аспекты безопасности. Данные модели можно разде­лить по предназначению на классы: модели обеспечения конфи­денциальности, контроля целостности, контроля информацион­ных потоков и ролевого доступа. Кроме того, важное значение имеет субъектно-ориентированная модель изолированной про­граммной среды.

Наиболее изучены математические модели, формализующие политики безопасности для обеспечения конфиденциальности, основанные на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы к информации не по­лучили доступа неавторизованные субъекты. Среди этих моделей можно выделить три группы:

а) дискреционные модели (матрицы доступа Харрисона, Руззо и Ульмана, модели Take-Grant, Белла—Лападула и др.);

в) модели ролевого разграничения доступа, которые нельзя отнести ни к дискреционным, ни к мандатным.

Модели данного типа широко используются в большинстве реальных систем. Так, в наиболее ответственных АС требуется обязательное сочетание дискреционного и мандатного доступа, поэтому рассмотрим их подробнее.

Дискреционное управление доступом есть разграничение дос­тупа между поименованными субъектами и поименованными объектами. Права доступа субъектов к объектам определяются на основе некоторого внешнего (по отношению к системе) правила. Политика безопасности либо разрешает некоторое действие над объектом защиты, либо запрещает его.

Для описания дискреционной модели используется матрица доступа — таблица, отображающая правила доступа. Например, в столбцах матрицы могут быть размещены S-субъекты, в строках — О-объекты, а на пересечении столбцов и строк размещаются R-права доступа. Права доступа могут быть типа: чтение, запись, запуск процесса, управление доступом к файлу для других пользо­вателей и т.п. Матрицу доступа можно задавать по-разному: от­талкиваясь либо от субъектов, либо от объектов.

Примером дискреционной модели является модель Харрисо­на, Руззо и Ульмана. Элементы этой модели — субъекты, объек­ты, права доступа и матрица доступов. Рассматриваются следую­щие права доступа: чтение, запись, владение. Функционирование системы рассматривается только с точки зрения изменений в мат­рице доступов. Изменения происходят за счет выполнения ко­манд, которые составляются из 6 примитивных операторов: вне­сти/удалить право, создать/уничтожить субъект/объект.

Основным фундаментальным недостатком данных моделей яв­ляется так называемая проблема троянских программ, заключаю­щаяся в том, что нарушитель может навязать пользователю вы­полнение программы, которая бы считывала данные из недоступ­ного для нарушителя объекта и записывала их в разделяемый между пользователем и нарушителем объект.

Другой недостаток — огромный размер матриц, необходимый для использования в реальных системах. При дискреционном до­ступе необходимо описать правила доступа для каждого объекта и субъекта, что для больших систем практически нереализуемо. На практике применяется автоматическое присвоение прав каждой новой сущности, внедряемой в систему, что может приводить к появлению ситуаций наличия некоторых прав по умолчанию, ко­торые могут быть использованы нарушителем (заводские пароли на BIOS, бюджеты по умолчанию в устанавливаемых ОС).

Мандатное управление доступом есть разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и допуска субъектов к информации соответствующего уровня кон­фиденциальности. В отличие от моделей дискреционного доступа модели мандатного доступа накладывают ограничение на переда­чу информации от одного пользователя другому, контролируют информационные потоки. Именно поэтому в подобных системах проблемы троянских программ не существует.

Классическим примером модели мандатного доступа является модель Белла—Лападула. В ней анализируются условия, при ко­торых невозможно возникновение информационных потоков от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем конфиденциальности. Типы доступа, исполь­зуемые в модели: чтение, запись, добавление в конец объекта, выполнение.

В краткой форме данная модель может быть описана следую­щими тремя правилами:

1) допускается чтение и запись информации между объектами одного уровня конфиденциальности;

Второе правило разрешает проблему троянских коней, так как запись информации на более низкий уровень запрещена.

Система состоит из множеств субъектов, объектов, видов и прав доступа, возможных текущих доступов в системе, решетки уров­ней безопасности, матрицы доступов и тройки функций, опреде­ляющих уровень доступа субъекта, уровень конфиденциальности объекта и текущий уровень доступа субъекта.

Другим недостатком является то, что субъект, выполнивший запись в объект более высокого уровня, не может проверить ре­зультат этой операции.

В реальных АС всегда есть администраторы, управляющие со­стоянием системы: они добавляют и удаляют субъекты, объекты, изменяют права доступа. Подобные действия администраторов не могут контролироваться правилами модели Белла—Лападула. Ад­министраторами могут быть не только физические лица, но и процессы и драйверы, обеспечивающие критические функции. Модель Белла—Лападула не устанавливает никаких специальных правил поведения доверенных субъектов.

В модели СВС описываются четыре постулата безопасности, обязательных для выполнения:

1. Администратор корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества прав.

2. Пользователь верно назначает уровни конфиденциальности модифицируемых им сущностей.

4. Пользователь правильно определяет атрибут контейнера.

В модели СВС описываются такие свойства, как авторизация, иерархия уровней конфиденциальности, безопасный перенос ин­формации, безопасный просмотр, доступ к сущностям, безопас­ное понижение уровня конфиденциальности, отправление сооб­щений и др.

Недостатком модели СВС является то, что в ней отсутствует описание механизмов администрирования. Предполагается, что создание сущностей, присвоение им уровней конфиденциально­сти, задание множества доступов происходят корректно.

Так же, как и во всех моделях мандатного доступа, в СВС есть угроза утечки информации по скрытым каналам.

Попытки распространить мандатную модель на низкоуровне-мыс механизмы, реализующие управляемые взаимодействия, при-иодят к нарушению политики безопасности. Например, ее нельзя применить для сетевых взаимодействий: нельзя построить распределенную систему, в которой информация передавалась бы только в одном направлении, всегда будет существовать обратный поток информации, содержащий ответы на запросы, подтвержде­ния получения и т. п.

В модели ролевого разграничения доступа (РРД) права до­ступа субъектов к объектам группируются с учетом специфики их применения, образуя роли. Модель РРД является развитием по­литики дискреционного разграничения доступа, но ее фундамен­тальное отличие состоит в том, что пользователи не могут переда­вать права на доступ к информации, как это было в моделях дискреционного доступа. Некоторые авторы полагают, что модель РРД нельзя отнести ни к дискреционным, ни к мандатным, так как управление доступом в ней осуществляется как на основе мат­рицы прав доступа для ролей, так и с помощью правил, регламен­тирующих назначение ролей пользователям и их активацию во время сеансов.

Основными элементами модели РРД являются множества пользователей, ролей, прав доступа на объекты АС, сессий пользо­вателей, а также функции, определяющие для каждой роли мно­жества прав доступа, для каждого пользователя — множество ро­лей, на которые он может быть авторизован, для каждой сессии — пользователя, от имени которого она активизирована, для каждо­го пользователя — множество ролей, на которые он авторизован в данной сессии.

Система считается безопасной, если любой ее пользователь, ра­ботающий в некотором сеансе, может осуществлять действия, тре­бующие определенные полномочия, лишь в том случае, если эти полномочия доступны для его роли (назначается только одна из всей совокупности доступных ролей для сеанса) в данном сеансе.

Для обеспечения соответствия реальным компьютерным си­стемам на множестве ролей строится иерархическая структура. Это позволяет пользователю, авторизованному на некоторую роль, быть автоматически авторизованным на все роли, меньшие ее в иерархии.

Ролевая политика обеспечивает удобное администрирование безопасности АС, так как пользователям даются не индивидуаль­ные права, а предоставляются права, связанные с конкретной ролью. Понятие роли используется в ГОСТ Р ИСО МЭК 15408 — 2002, а также в стандарте SQL3.

Несмотря на то что в рамках модели РРД формально доказать безопасность системы невозможно, она позволяет получить про­стые и понятные правила контроля доступа, которые легко могут быть применимы на практике. Кроме того, возможно объедине­ние модели РРД мандатной и дискреционными моделями. На­пример, полномочия ролей могут контролироваться правилами этих политик, что позволяет строить иерархические схемы конт­роля доступа.

В автоматной модели безопасности информационных потоков система защиты представляется детерминированным автоматом, на вход которого поступает последовательность команд пользова­телей. Элементами данной системы являются множества состоя­ний системы, пользователей, матриц доступов, команд пользова­телей, изменяющих матрицу доступа, команд пользователей, из­меняющих состояние, выходных значений, а также функция пе­рехода системы.

Существуют два типа команд пользователей: изменяющие со­стояние системы либо модифицирующие матрицу доступа. Для каждого пользователя в матрице доступа определены команды, которые он может выполнять (дискреционное разграничение до­ступа).

Для каждого пользователя задается функция выходов, опреде­ляющая, что каждый из них видит при данном состоянии системы.

Политика безопасности в автоматной модели безопасности — это набор требований информационного невмешательства. Не­вмешательство — ограничение, при котором ввод высокоуровне­вого пользователя не может смешиваться с выводом низкоуров­невого пользователя. Модель невмешательства рассматривает си­стему, состоящую из четырех объектов: высокий ввод (high-in), низкий ввод (low-in), высокий вывод (high-out), низкий вывод (low-out).

Главное достоинство данной модели по сравнению с моделью Белла—Лападула — отсутствие в ней скрытых каналов. Недоста­ток заключается в высокой сложности верификации модели.

Модель невыводимости также основана на рассмотрении ин­формационных потоков в системе. Система считается невыводи­мо безопасной, если пользователи с низким уровнем безопасно­сти не могут получить информацию с высоким уровнем безопас­ности в результате любых действий пользователей с высоким уров­нем безопасности.

Требования информационной невыводимости более строгие, чем требования безопасности модели Белла—Лападула, и предполага­ют изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы, что практически нереализуемо на практике.

ГОСТ

Можно выделить три основных модели информационной безопасности (ИБ):

• концептуальная;
• математическая;
• функциональная.

Рассмотрим их последовательно.

Концептуальная модель информационной безопасности

Для построения концептуальной модели необходимо ответить на вопросы:

1. что защищать;
2. от кого защищать;
3. как защищать.

Следует также определить:

1. источники информации;
2. приоритеты их важности;
3. источники и цели угроз;
4. способы доступа к защищаемой системе;
5. направления, средства, методы защиты.

Рисунок 1. Концептуальная модель информационной безопасности. Автор24 — интернет-биржа студенческих работ

В концептуальной модели принято выделять несколько уровней. В большинстве случаев достаточно организационно-управленческого, и сервисного.

Верхний уровень возглавляет ответственный за информационную безопасность организации. Здесь осуществляются:

• стратегическое планирование;
• разработка и исполнение политики в области информационной безопасности;
• оценка рисков и управление рисками;
• координация деятельности в области ИБ;
• контроль этой деятельности.

Цель концепции нижнего уровня - обеспечить надежную и экономически оправданную защиту информационных сервисов: какие средства и методы защиты использовать, как осуществлять повседневное администрирование, мониторинг, проводить первичное обучение персонала и т.п. Для данного уровня необходимо ответить на вопросы:

• какие данные будет обрабатывать данный сервис;
• каковы потенциальные последствия нарушения конфиденциальности, целостности и доступности данных;
• какие звенья информационной системы наиболее уязвимы;
• каковы квалификация, дисциплинированность, благонадежность персонала на защищаемом участке;
• каким юридическим нормам и корпоративным правилам должен удовлетворять сервис.

Готовые работы на аналогичную тему

Программа обеспечения безопасности не является набором технических средств. У нее должен быть управленческий аспект. Программа должна быть официально принята, поддерживаться руководством организации, для нее должны быть выделены штат и бюджет.

При формировании модели информационной безопасности нужно помнить, что построение такой системы должно достигаться экономически оправданными средствами.

Рисунок 2. Структура модели информационной безопасности. Автор24 — интернет-биржа студенческих работ

После выработки концептуальной модели ИБ можно приступить к построению математической и функциональной.

Математическая и функциональная модели информационной безопасности

Математическая и функциональные модели тесно взаимосвязаны. Первая предоставляет формализованное описание сценариев действий нарушителей и ответных мер. Количественные значения параметров модели отражают функциональные зависимости, отражающие взаимодействие нарушителей с системой защиты. При построении этих моделей нужно учитывать следующее:

• выбор критериев оценки системы защиты для данной архитектуры информационной системы;
• четкая формулировка задачи построения модели, выраженная математическим языком и учитывающая заданные требования.

На основе экспертной оценки вероятности угроз ИБ, рассчитывается значимость каждой из них, а также уровень экономических затрат на восстановление работоспособности системы в случаях атак. Затем рассчитывается суммарный риск отказа системы.

Построенная система является экономически оправданной, если суммарные затраты на устранение рисков меньше или равны максимальной сумме затрат, выделенных на уменьшение или устранение суммарных рисков.

В зависимости от целей и задач, можно множеством способов смоделировать части системы информационной безопасности, которые смогут на ранних этапах оценить ее эффективность.

Технические средства обеспечения информационной безопасности

Функциональная модель, формируемая на основе математической, предполагает практическое воплощение, внедрение определенных мер по защите информационной системы. В зависимости от бюджета компании и ценности информационной системы, данные меры могут быть организованы как на коммерческой основе (приобретение платных программных продуктов, найм экспертов по безопасности), так и выполнены силами локальных IT-специалистов.

Модель информационной безопасности на последних этапах проектирования предполагает, как правило, внедрение ряда стандартных технических средств:

Рисунок 3. Схема работы системы обнаружения вторжений Snort. Автор24 — интернет-биржа студенческих работ

В последние годы многие организации вместо собственного файлового хранилища арендуют облачные хранилища, доверяя свои данные крупным IT-корпорациям, таким, как Яндекс и Google.

Помимо установки и настройки защитного программного обеспечения, специалисты по информационной безопасности должны смоделировать и распределить между пользователями компьютеров полномочия по доступу к файловому пространству, базам данных, сетевым настройкам и т.п. Для того часто используют продукт Microsoft Active Directory.

Свойство, характерное как для одной, так и для другой технологии анализа безопасности ИИС, выражаются путём группирования схожих реакций системы (cигнатур) так, что для рассмотрения всех возможных реакций ИИС необходимо анализировать лишь небольшое количество входных воздействий.

Содержание работы

Введение………………. …………………………………………………………3
1. Понятие политики безопасности и её основные базовые представления….5
1.1. Компьютерная безопасность ……………………………………………….
1.1.1. Определения компьютерной безопасности…………………………
1.1.2. Контроль доступа…………………………………………………….
1.2. Модели безопасности……………………………………………………….
2. Модель компьютерной системы. Понятие доступа и монитора безопасности………………………………………………………………………..
3. Формальные модели безопасности…………………………………………….
3.1 Применение Формальных моделей безопасности…………………………
3.1.1. Базовые представления моделей безопасности……………………
3.1.2. Мандатная и дискреционная модели………………………………
3.2 Дискреционная модель Харрисона-Руззо-Ульмана……………………….
4. Модель Белла-ЛаПадулы……………………………………………………….
4.1 Мандатная модель Мак-Лина……………………………………………….
4.2 Модель уполномоченных субъектов……………………………………….
Заключение…………………………………………………………………………
Список использованной литературы……………………………………………..

Содержимое работы - 1 файл

Формальные модели безопасности конечная варсия.doc

Министeрствo oбразoвания и науки Рoссийскoй Фeдeрации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

студeнтки группы 841

1. Понятие политики безопасности и её основные базовые представления….5

1.1. Компьютерная безопасность ……………………………………………….

1.1.1. Определения компьютерной безопасности…………………………

2. Модель компьютерной системы. Понятие доступа и монитора безопасности……………………………………………… ………………………..

3. Формальные модели безопасности…………………………………………….

3.1 Применение Формальных моделей безопасности…………………………

3.1.1. Базовые представления моделей безопасности……………………

3.1.2. Мандатная и дискреционная модели………………………………

3.2 Дискреционная модель Харрисона-Руззо-Ульмана………………… …….

4.1 Мандатная модель Мак-Лина……………………………………………….

4.2 Модель уполномоченных субъектов……………………………………….

Список использованной литературы……………………………………………..

Информационные технологии (ИТ) является на сегодняшний день основой для построения современных информационно-измерительных систем (ИИС). Вместе с этим, ИТ привнесли в эту сферу проблемы обеспечения известной "триады" – конфиденциальности, целостности и доступности. Таким образом, для обеспечения и поддержания режима информационной безопасности (ИБ) современных ИИС требуется разработка и реализация политик безопасности, используемых информационных технологий. В связи с этим рассмотрим основные математические методы, применяемые при формальном анализе и описании политик безопасности ИИС. При анализе функционирования этих систем (при этом системы являются необязательно вычислительными), область применения которых является критичной в плане обеспечения их жизнедеятельности (к данному классу обычно относятся защищенные ИИС), желательно рассмотреть ее реакции на все возможные входные воздействия.

Хотя количество всех возможных реакций системы достаточно велико, существует два метода, позволяющих уменьшить количество состояний, которые необходимо подвергнуть анализу.

Один из методов заключается в доказательстве того, что система всегда "работает корректно", тогда как альтернативный метод состоит в демонстрации того, что система "никогда не выполняет неверных действий".

При использовании первого метода используется комбинация анализа и эмпирического тестирования для определения таких реакций системы, которые могут привести к серьезным сбоям – например, функционирование системы при граничных условиях или при условиях, не оговоренных в качестве возможных для компонентов системы. В качестве примера можно привести требование описания поведения системы в ответ на входное воздействие типа "выключение питания".

Основной идеей второго метода является гипотеза о том, что система делает что-то некорректное, поэтому ведется анализ реакций системы с выявлением состояний, в которых возможно проявление данной некорректности. Доказательство корректности работы системы сводится к демонстрации того, что данные состояния недостижимы, то есть к доказательству от противного.

Свойство, характерное как для одной, так и для другой технологии анализа безопасности ИИС, выражаются путём группирования схожих реакций системы (cигнатур) так, что для рассмотрения всех возможных реакций ИИС необходимо анализировать лишь небольшое количество входных воздействий.

Данные методы анализа безопасности систем пригодны в основном для измерительных систем, основывающихся на механических, электрических и других компонентах, то есть компонентах, основанных на физических принципах действия. В системах, основанных на физических принципах, отношения между входными и выходными данными являются непрерывными, то есть незначительные изменения во входных данных влекут незначительные изменения в выходных данных.

Это позволяет проанализировать (протестировать) поведение системы, основанной на физических законах конечным количеством тестов, так как непрерывный характер правил функционирования системы позволяет заключить, что отклик системы на непротестированное значение входной величины будет схожим с соответствующими протестированными случаями.

1. Понятие политики безопасности и её основные базовые представления

Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователи получат доступ к информации, и смогут осуществлять с ней только санкционированные действия.

Кроме того, формальные модели безопасности позволяют решить еще целый ряд задач, возникающих в ходе проектирования, разработки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и другие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем (производители, потребители, эксперты-квалификаторы).

Производители защищенных информационных систем используют модели безопасности в следующих случаях:

• при составлении формальной спецификации политики безопасности разрабатываемой системы;

• при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты;

• в процессе анализа безопасности системы в качестве эталонной модели;

• при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности.

Потребители путем составления формальных моделей безопасности получают возможности довести до сведения производителей свои требования в четко определенной и непротиворечивой форме, а также оценить соответствие защищенных систем своим потребностям.

Эксперты по квалификации в ходе анализа адекватности реализации политики безопасности в защищенных системах используют модели безопасности в качестве эталонов. [С. 31-32, 8]

Все модели безопасности основаны на следующих базовых представлениях:

1. Система является совокупностью взаимодействующих сущностей — субъектов и объектов. Объекты можно интуитивно предс тавлять в виде контейнеров, содержащих информацию, а субъектами считать выполняющиеся программы, которые воздействуют на объекты различными способами. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности. Необходимо отметить, что общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий объект и субъект в разных моделях могут существенно различаться.

2. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

3. Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политика безопасности.

4. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

5. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.

6. Основной элемент модели безопасности — это доказательство утверждения ( теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

Можно сформулировать следующие аксиомы защищенных компьютерных систем (КС):

Аксиома 1. В защищенной КС всегда присутствует активная компонента (субъект), выполняющая контроль операций субъектов над объектами. Данная компонента фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.

Аксиома 3. Все вопросы безопасности информации описываются доступами субъектов к объектам.

Важно заметить, что политика безопасности описывает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процессе изучения свойств защищаемой системы должны быть добавлены процедуры управления безопасностью. [С. 105-108, 9]

1.1 Компьютерная безопасность

Суть проблемы состоит в том, что одна математика не может обеспечить полную безопасность. В криптографии математика дает защите огромное преимущество перед злоумышленником. Добавьте один бит к ключу – и вы вдвое усложните работу по взлому алгоритма. Добавьте десять битов – и вы увеличите эту работу примерно в тысячу раз. Когда речь идет о компьютерной безопасности в целом, стороны находятся в равном положении: злоумышленники и защитники могут извлечь из технологии одинаковую выгоду. Это значит, что, если бы вам было достаточно криптографии для обеспечения безопасности, у вас все было бы в порядке. К сожалению, в большинстве случаев это не так.

Большинство ранних исследований по компьютерной безопасности было посвящено проблеме персонального доступа в системах совместного пользования. Как сделать так, чтобы Алиса и Боб могли пользоваться одним и тем же компьютером и одинаковыми компьютерными программами, но чтобы Алиса не могла видеть, что делает Боб, а Боб не знал, что делает Алиса? Или в общем случае: если системой пользуется большая группа людей, у каждого из которых есть определенные права использовать определенные программы и видеть определенные данные, то как мы можем реализовать такие правила контроля доступа? Вообще говоря, это не та задача, которую можно решить с помощью криптографии, хотя в чем-то она могла бы помочь. Это новая задача.

• Для учеников 1-11 классов и дошкольников
• Бесплатные сертификаты учителям и участникам

Модели типовых политик безопасности

Модели на основе дискретных компонент

В основе этих моделей лежит следующая идея: система защиты (в смысле описания алгоритма работы субъекта, обеспечивающего выполнение политики безопасности) представляется в виде некоторого декартова произведения множеств, составными частями которых являются элементы системы защиты. При этом в качестве математического аппарата для описания и анализа модели выбирается аппарат дискретной математики.

Результатом применения политики безопасности, задаваемой той или иной моделью, к конкретному объекту защиты ИС является разрешение выполнения операции над объектом защиты либо запрещение.

Модель Адепт-50

Модель Адепт-50 – одна из первых моделей безопасности, которая рассматривает только 4 группы объектов безопасности: пользователи, задания, терминалы и файлы. Каждый объект безопасности описывается вектором (А, С, F, М), включающим следующие параметры безопасности.

Компетенция А – элемент из набора упорядоченных универсальных положений о безопасности, включающих априорно заданные возможные в ИС характеристики объекта безопасности, например, категория конфиденциальности объекта: несекретно, конфиденциально, секретно, совершенно секретно .

Категория С – рубрикатор (тематическая классификация). Рубрики не зависят от уровня компетенции. Пример набора рубрик: финансовый, политический, банковский .

Полномочия F – перечень пользователей, имеющих право на доступ к данному объекту.

Режим М – набор видов доступа, разрешенных для определенного объекта или осуществляемых объектом. Пример: читать данные, записывать данные, исполнить программу (исполнение программ понимается как порождение активной компоненты из некоторого объекта – как правило, исполняемого файла).

Пятимерное пространство безопасности Хартстона

В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на основании множеств. Модель безопасности описывается пятью множествами:

А – установленных полномочий;

Область безопасности будет выглядеть как декартово произведение: AЧUЧEЧRЧS. Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции е над ресурсами R в то время, когда система находится в состоянии s . Например, запрос q на доступ представляется четырехмерным кортежем q = ( u , е , R, s ). Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ – подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.

Резюме по моделям Адепт–50 и Хартстона

К достоинствам дискретных моделей можно отнести относительно простой механизм реализации политики безопасности. В качестве примера реализации можно привести матрицу доступа, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели. Это означает, что модель не учитывает динамику изменений состояния ИС, не накладывает ограничений на состояния системы. Для моделей, построенных на основе дискретной защиты, можно доказать следующую теорему: не существует алгоритма, который может решить для произвольной системы дискретной защиты, является или нет заданная исходная конфигурация безопасной. Данный факт обусловил процесс совершенствования моделей в сторону достижения некоторых доказательных свойств.

Модели на основе анализа угроз системе

Модели этого класса исследуют вероятность вскрытия системы защиты за определенное время Т. Данный подход свойственен различным игровым задачам и в ряде случаев успешно применим для построения и анализа политик безопасности ИС. К достоинствам этих моделей можно отнести числовую вероятностную оценку надежности идеальной реализации системы защиты, к недостаткам – изначально заложенное в модель допущение того, что система защиты может быть вскрыта. Задача анализа модели – минимизация вероятности вскрытия системы защиты.

Игровая модель

Модель системы безопасности с полным перекрытием

Основным положением данной модели является тезис (аксиома) о том, что система, спроектированная на основании модели безопасности с полным перекрытием, должна иметь по крайней мере одно средство (субъект) для обеспечения безопасности на каждом возможном пути проникновения в систему.

В модели точно определяется каждая область, требующая защиты (объект защиты), оцениваются средства обеспечения безопасности с точки зрения их эффективности и вклада в обеспечение безопасности во всей ИС. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов сопряжен с некоторой величиной ущерба и этот ущерб может (или не может) быть определен количественно. Если ущерб не может быть определен количественно, то его полагают равным некоторой условной (как правило, средней) величине. Количественная характеристика ущерба может быть выражена в стоимостном (ценовом) эквиваленте либо в терминах, описывающих системы (например, единицах времени, необходимых для достижения тех или иных характеристик ИС после злоумышленного воздействия). Ущерб может быть связан с целевой функцией системы (например, для финансовой системы ущерб от конкретного злоумышленного действия есть сумма финансовых потерь участников системы).

С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно попытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.

Резюме по моделям анализа угроз

Основное преимущество метода моделирования состоит в возможности численного получения оценки степени надежности системы защиты информации. Данный метод не специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами моделей систем защиты информации.

При синтезе систем защиты в ИС данный подход полезен тем, что позволяет минимизировать накладные расходы (ресурсы вычислительной системы) для реализации заданного уровня безопасности. Модели данного типа могут использоваться при анализе эффективности внешних по отношению к защищаемой системе средств защиты информации. При анализе систем защиты информации модели данного типа позволяют оценить вероятность преодоления системы защиты и степени ущерба системе в случае преодоления системы защиты.

Модели конечных состояний

Для математической модели конечных состояний системы безопасности может быть доказана основная теорема безопасности: если начальное состояние системы безопасно и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.

Модель Белла-ЛаПадула

Модель Белла-ЛаПадула описывает систему абстрактно, без связи с ее реализацией. В модели определяется множество ограничений на систему, реализация которых будет гарантировать некоторые свойства потоков информации, связанных с безопасностью. Модель включает:

субъекты S – активные сущности в системе;

объекты О – пассивные сущности в системе.

Субъекты и объекты имеют уровни безопасности. Уровни безопасности являются некоторой характеристикой субъектов и объектов, связанной, как правило, с целевой функцией системы (наиболее часто уровень безопасности связан с уровнем конфиденциальности информации); ограничения на систему имеют форму аксиом, которые контролируют способы доступа субъектов к объектам. Эти аксиомы имеют вид:

Данные ограничения описывают безопасные состояния ИС, связанные с существованием потоков только от нижних уровней безопасности к высшим.

В отличие от дискретной модели безопасности модель Белла-ЛаПадула не определяет прав доступа для каждого пользователя. Это означает, что разные субъекты могут иметь один уровень полномочий. Данная модель служит основой для мандатной (полномочной) системы

безопасности. При строгой реализации модели Белла-ЛаПадула возникает ряд проблем.

Запись вслепую – это проблема вытекает из правила NRU. Рассмотрим ситуацию, когда субъект производит запись объекта с более высоким уровнем безопасности (эта операция не нарушает правила NWD ). Однако после завершения операции субъект не может проверить правильность выполнения записи объекта с помощью контрольного чтения, так как это нарушает правило NRU.

Привилегированные субъекты – эта проблема связана с работой системного администратора. Функционирование системного администратора подразумевает выполнение в системе таких критических операций, как добавление и удаление пользователей, восстановление системы после аварий, установка программного обеспечения, устранение ошибок и т.п. Очевидно, что такие операции не вписываются в модель, что означает невозможность осуществления правильного администрирования без нарушения правил данной модели. Поэтому правила модели Белла-ЛаПадула нужно рассматривать для множества всех субъектов, исключая привилегированные.

Модель low-water-mark (LWM)

Данная модель является конкретизацией модели Белла-ЛаПадула и примером того, что происходит, когда изменения уровня конфиденциальности объекта возможны. Политика безопасности задается в следующих предположениях:

все компоненты ИС классифицированы по уровню конфиденциальности, fs ( S ) – уровень доступа субъекта, fc ( S ) – текущий уровень доступа субъектов, fo ( O ) – гриф (уровень) конфиденциальности объекта;

Уровень объекта О в LWM может меняться: при команде write может снизиться, а при команде reset подняться следующим образом. По команде reset класс объекта поднимается и становится максимальным в линейном порядке. После этого все субъекты приобретают право w , но право read имеют только субъекты, находящиеся на максимальном уровне. При команде write гриф объекта снижается до уровня субъекта, давшего команду w . При снижении уровня секретности объекта вся прежняя информация в объекте стирается и записывается информация процессом, вызвавшим команду write . Право write имеет любой субъект, у которого fs( S ) не больше fo ( O ), где fo ( O ) – текущий уровень объекта.

Право reset имеет только тот субъект, который не имеет право write . Право read имеет любой субъект, для которого fs(S) больше либо равно fo(O).

Откажемся от условия, что при команде write в случае снижения уровня объекта его содержимое стирается (например, оно становится равным нулевому слову). Ясно, что в этом случае возможна утечка информации. В самом деле, любой процесс нижнего уровня, запросив объект для записи, снижает гриф объекта, а получив доступ w, получает возможность r. Возникает канал утечки с понижением грифа. Данный пример показывает, что определение безопасного состояния в модели Белла-ЛаПадула неполное и смысл этой модели только в перекрытии каналов указанных видов. Если процесс снижения грифа объекта работает неправильно, то система перестает быть безопасной.

Рассмотрим пример, поясняющий политику безопасности в модели LWM.

Пусть в нулевой момент времени m=1. Открывается файл F3 (гриф 3), открытие невозможно – категория субъекта равна 2 (ниже грифа файла) – m не меняется.

Пусть открыт файл F2, следовательно m=2. Чтение из файлов F1 и F2 возможно (их гриф не превосходит m). Запись возможна только в файл F2 (m больше либо равно грифу файла). Тем самым потоки информации от файлов с высоким грифом к файлам с низким грифом невозможны.

Модель Лендвера

Для понимания правил и ограничений безопасности в модели Лендвера приведем необходимые описания понятий.

Классификация – обозначение, накладываемое на информацию, отражающее ущерб, который может быть причинен несанкционированным доступом; включает уровни: TOP SECRET , SECRET и т.д.

Степень доверия пользователю – уровень благонадежности пользователя (априорно заданная характеристика).

Пользовательский идентификатор – строка символов, используемая для того, чтобы отметить пользователя системы.

Роль – работа пользователя в ИС. Пользователь в данный момент всегда ассоциирован как минимум с одной ролью из нескольких, и он может менять роль в течение сессии. Для действий в данной роли пользователь должен быть уполномочен. Некоторые роли могут быть

связаны только с одним пользователем в данный момент времени. С любой ролью связана способность выполнения определенных операций.

Объект – одноуровневый блок информации. Это минимальный блок информации в системе, который имеет классификацию (может быть раздельно поименован).

Контейнер – многоуровневая информационная структура. Имеет классификацию и может содержать объекты (каждый со своей классификацией) и/или другие контейнеры. Различие между объектом и контейнером базируется на типе, а не на текущем содержимом.

Сущность – объект или контейнер.

Требование степени доверия объектов – атрибут некоторых контейнеров, для которых важно требовать минимум степени доверия, т.е. пользователь, не имеющий соответствующего уровня благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соответствующим атрибутом.

Идентификатор – имя сущности без ссылки на другие сущности.

Операция – функция, которая может быть применена к сущности. Некоторые операции могут использовать более одной сущности (пример: операция копирования).

Множество доступа – множество троек (пользовательский идентификатор или роль, операция, индекс операнда), которое связано с сущностью.

Система, реализующая модель безопасности Лендвера, должна реализовывать приводимые ниже ограничения (ограничения запрещают пользователю операции, нарушающие эти ограничения). Часть этих ограничений должна реализовываться пользователями системы (правила безопасности), а часть – системой (ограничения безопасности).

Администратор безопасности системы присваивает уровни доверия, классификацию устройств и правильные множества ролей.

Пользователь вводит корректную классификацию, когда изменяет или вводит информацию.

Пользователь должным образом контролирует информацию объектов, требующих благонадежности.

Авторизация – пользователь может запрашивать операции над сущностями, только если пользовательский идентификатор или текущая роль присутствует во множестве доступа сущности вместе с этой операцией и с этим значением индекса, соответствующим позиции операнда, в которой сущность относят к требуемой операции.

Классификационная иерархия – классификация контейнера всегда, по крайней мере, больше или равна классификации сущностей, которые он содержит.

Изменения в объектах – информация, переносимая из объекта всегда содержит классификацию объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.

Просмотр – пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю.

Доступ к объектам, требующим степени доверия, – пользователь может получить доступ к косвенно адресованной сущности внутри объекта, требующего степени доверия, только если его степень доверия не ниже классификации контейнера.

Преобразование косвенных ссылок – пользовательский идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.

Требование меток – сущности, просмотренные пользователем, должны быть помечены его степенью доверия.

Установка степеней доверия, ролей, классификации устройств – только пользователь с ролью администратора безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено только администратором безопасности системы или этим пользователем.

Модель Лендвера достаточно близка категориям объектно-ориентированного программирования и описывает иерархические объекты в ИС. Однако полная реализация данной модели представляется достаточно сложной.

Резюме по моделям состояний

Для систем, построенных на основании моделей конечных состояний, характерна более высокая степень надежности, чем для систем, построенных на основании модели дискретного доступа. Это связано с тем, что система, построенная на основании данной модели,

должна отслеживать не только правила доступа субъектов системы к объектам, но и состояние самой системы. Таким образом, каналы утечки в системах данного типа не заложены непосредственно в модель (что имеется в системах, построенных на основании модели дискретного доступа), а могут появиться только при практической реализации системы вследствие ошибок разработчика. Однако реализация систем данного типа довольно сложна и требует значительных ресурсов вычислительной системы.

Читайте также:

  
• Реферат на тему положительные и отрицательные стороны реформ петра 1
  
• Лыжный спорт в школе реферат
  
• Метафора метонимия как выразительные средства языка реферат
  
• Знание и информация реферат
  
• Дискретная математика для программистов реферат