Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
121
Доведення. Доведення вимагає додаткового уточнення деяких основних
понять. Розглянемо мережу з компонент, зв'язаних безпечними каналами
зв'язку. Нагадаємо, що будь-який об'єкт є кінцева непорожня множина слів
деякої мови. Д одамо до цього, що з означення об'єкта виникає, що він існує
тільки за умови, що можливий доступ до змісту об'єкту, тобто припускаємо
наявність хоч би одного слова з множини, що визначає об'єкт, до якого
можливий в даний момент доступ хоч би одного суб'єкта. Тоді інформація, що
передається безпечним каналом зв'язку, не є об'єктом, оскільки до моменту
закінчення прий ому , немає жодного слова н а приймальному кінці, до якого хоч
би один суб'єкт мав би дістати доступ. У самому каналі, якщо він не може
компрометувати інформацію при передачі, вважаємо за неможливе доступ до
інформації і тому це теж не об'єкт. На кінці, що передає, інформація
передається з деякого об'єкту і при передачі вважаємо, що там є деякий суб'єкт,
який передає і який протягом передачі має доступ до цього об'єкту. Після
закінчення передачі на приймальному кінці сформувався новий об'єкт, який,
взагалі кажучи, не має відношення до об'єкту на кінці, що передавав і з яко го
йшло пересилання інформації.
Розглянемо тепер формальне об'єднання МБ компонент. Тоді з
вищесказаного виходить, що немає об'єктів поза локальними компонентами, а
дистанційний доступ відбувається за рахунок створенн я нового об'єкту, який
повністю контролюється локальним МБ компоненти. Покажемо, що формальне
об'єднання МБ компонент – це МБ всієї мережі.
1) Очевидно, кожне звернення суб'єкта до об'єкту в системі відбув ається
через мережу. Насправді, кожен суб'єкт існує тільки в одній компоненті за
умови 1 і може звертатися до об'єктів тільки своєї компоненти за умови 2. Тому
всі звернення в системі обмежені рамками компонент. А тоді кож не звернення
обробляється МБ відповідною компонентою за визначенням МБ.
2) МБ кожної компоненти за визначенням гарантовано захищений. Тому і
об'єднання їх теж гарантовано захищено.
122
3) Функціонування МБ кожн ої з компонент повністю доступно для
перевірки та контролю (наприклад, за допомогою системи тестів). Тоді
сукупність підсистем перевірки та контролю компонент повністю контролює
мережу.
Отже, сукупність МБ володіє усіма властивостями МБ, тобто це є
мережевий МБ. Теорему доведено.
Сформулюємо також вимоги, яким повинен задовольняти використаний в
теоремі безпечний канал зв'язку:
1. Забепечення безпеки зв'язку – стійкість до несанкціонованого розкриття
або модифікації передаваної цінної інформації.
2. Забезпечення надійності зв'язку – неможливість відмови від доставки
повідомлення, неправильної доставки, доставки помилкових даних.
3. Неможливість реалізації прихованих каналів витоку за рахунок
модуляції параметрів каналу.
Таким чином, концепція МБ може бути розвинута в мережах довільного
масштабу.
4.6. Доказовий підх ід
Як раніше було зазначено, розробка і підтримка ПБ – це компроміс між
альтернативами, які оби рають власники цінної інформації для її захисту. В
такому разі зрозуміло, що будь -яка ПБ ніколи не задовольнить всіх, хто
приймає участь в захисті інформації. Однак вибір конкретної ПБ – це остаточне
рішення, після прийняття якого починається будова захисту, тобто системи
підтримки виконання правил обраної ПБ або побудова СЗІ.
Тоді зі сказаного випливає цілком природний критерій якості СЗІ:
побудована СЗІ гарна, як щ о вон а надій н о підтри м у є вик о на н н я прав и л ПБ і,
навпаки, СЗІ – погана, якщо вона ненадійно підтримує ПБ. Такий розв’язок
проблеми захищеності інформації і проблеми побудови СЗІ дозволяє залучити
до теорії захисту точні математичні методи [41], тобто доводити, що дана СЗІ в
заданих умовах підтримує П Б. Саме в цьому полягає суть до казово го підходу
щодо захисту інформації, який дозволяє також говорити про «гарантовано
123
захищену систему». Смисл «гарантованого захисту» якраз в тому, що при
додержанні вихідних умов завідомо виконуються всі правила ПБ. Т ермін
«гарантований захист» вперше зустрічається в стандарті міністерства оборони
США на вимоги до захищених систем («Оранжева книга»).
Отже, нехай задана деяка політика безпеки Р. Оскільки вваж ає тьс я, що
система захисту – гарна, якщо вона н адійно підтримує Р, і – погана, якщо вона
ненадійно підтримує Р, то , звичайно, виникає питання про п о ня тт я надійності
підтримки. Що значить надійно підтримувати політику безпеки Р?
Розглянемо поняття надійності підтримки Р за допомогою ієрархічної
моделі, а наведене положення про доказовий метод проілюструємо на прикладі
простої політики безпеки.
Нехай політика Р виражена мовою М
1
, формули якої визначаються через
послуги U
i
, i = 1,…k, які в св ою чергу описуються мовою М
2
.
Розіб’ємо усю множину су б'єк тів S системи на декілька підмн ожи н (класів)
S
1
, S
2
,..., S
n
, що не пере ти н аються, т о бто S
1
∪S
2
∪…∪S
n
=S, S
1
∩S
2
∩…∩S
n
=∅,
S
ij
∈S
i
, i = 1,…,n, j = 1,…,n
i
. Звичайн о , для кож н о го суб’єкту можна виділити
відповідні множині об’єктів, до яких вони можуть здійснювати доступ. Для
простоти надалі вважатимемо, що множини (або класи) об’єктів теж не
перетинаються, тобто O
1
∪O
2
∪...∪O
n
=О, O
1
∩O
2
∩...∩O
n
=∅, O
ij
∈O
i
, i =
1,…,n, j = 1,…,m
i
.
Тепер визначимо наступну розмежувальну політику безпеки Р
найпростішим чином: кожен суб'єкт S
ij
може мати доступ α
ij
∈R до об'єкта О
il
тоді і тільки тоді, коли S
ij
∈S
i
, j = 1,…,n
i
, О
il
∈
O
i
, l = 1,…,m
i
, i = 1,…,n. Простіше
кажучи, кожен суб’єкт, який належить до певного класу може мати доступ
тільки до об’єктів відповідного («свого») класу.
Для здійснення кожного звернення суб'єкта S
ij
на доступ до об'єкта О
il
система захисту повинна мати можливість обчислювати функції приналежності
до відповідної множини, тобто обчислювати значення функції
124
!
"
#
∉
∈
=
Ax
Ax
I
x
,0
,,1
для всіх суб'єктів та об'єктів I
s
(S
ij
), I
о
(O
il
), де індекси при функції
позначають відповідні множини. Потім слід сформувати та обчислити логічний
вираз
(I
s
(S
1j
)∧I
о
(O
1l
))∨...∨(I
s
(S
nj
)∧I
о
(O
nl
)).
Якщо отримано значення виразу – 1 (істинно), то доступ дозволений. Якщо
– 0 (хибно), то – недозволений. Тепер ясно, що мова М
1
, формулами якої
виражено політику безпеки Р, спира єть ся на наступн і послуги U
i
, i = 1,…k, k =
4:
• обчислення функцій приналежності I
x
(А);
• обчислення логічного виразу;
• обчислення оператора «якщо x = l, то доступ S
ij
→О
il
дозволено, якщо x
= 0, то доступ S
ij
→О
il
не дозволено»;
• реалізація (програмна, апаратна та ін.) оператора.
Як неважко помітити, для підтримки вимог політики безпеки використано
мову М
1
, а оп и с основних виразів для реаліз ац ії здійснено на мов і М
2
, тобто
мова верхнього рівня М
1
спи рається на мову низького рівня М
2
, пр и чо м у цю
ієрархічну декомпозицію неважко зробити так , що опи с М
2
синтаксично
залежатиме тільки від мови М
1
. Ц іл ко м можливо, що функції М
2
необхідно
реалізувати, спираючись на мову М
3
більш низького рівня і т.д.
Проте вважатимемо надалі, що в системі захисту існує можливість надійно
гарантувати послуги, що оп исані мовою М
2
. Тоді з цього ви н и ка є, що
надійність виконання політики Р цілком і однозначно визначається повнотою її
опису в термінах послуг U
1
,...,U
k
, k = 4. Якщо модель Р – формальна, тобто мова
М
1
формально визначає правила політики Р, то мож н а фор м а ль н о до в ес ти чи
спростувати твердження, що множина надан их послуг цілком і одн означн о
визначає політику Р. Отж е, гарантії викон ан н я цих послуг виявляються
рівносильними гарантіям дотримання політики. Тобто більш складна задача
125
дотримання або реалізації політики безпеки зводиться до більш простої задачі,
тобто до доказу того факту, що цих послуг досить для виконання політики.
Такий підхід забезпечує доведеність захисту з погляду математики або
гарантованість з погляду впевненості в підтримці політики з боку більш
простих функцій.
Проте, для реалізації такого простого, як здається, положення необхідно
розв’язати принаймні наступні складні та зовсім неоднозначні питання:
• формування коректної, однозначної та несуперечливої політики
безпеки;
• формування коректної, однозначної та повної множини послуг для
підтримки даної політики безпеки або простіше визначити – скільки і яких
послуг потрібно;
• доведення відповідності множини послуг даній політиці безпеки;
• реалізація послуг.
Неоднозначність та складність розв’язків кожного з цих питань є
наслідком великого різноманіття систем захисту, з чого виникає
неоднозначність самої політики безпеки навіть для однієї системи,
неоднозначність множини послуг для дотримання навіть однієї політики
безпеки, неодн означність методів доведення відповідності, неоднозначність
способів реалізації послуг. При цьому ієрархія мов опису також може бути
неоднозначною, головне – зручність представлення й аналізу.
Якщо такі поняття як однозначність, несуперечність та повнота цілком
зрозумілі, то під коректн істю тут слід розуміти можливість правильн о з точки
зору необхідних нормативних вимог, техно л ог ій та пр о ц ед ур реалізувати ту чи
іншу задачу.
Зазначимо, що викладений підхід представляє собою також метод аналізу
систем захисту, який дозволяє виявляти певні слабкості у спроектованих або
вже існуючих системах.
Доказовий метод є ефективним апаратом, що дозволяє спростити і
покращити проектування системи захисту інформації. Як ми побачили, суть
126
його полягає в комбінуванні апарату формальної логіки і об’єктного
моделювання для оцінки несуперечливості сформованої моделі ІТС і
додаткових умов її функціонування, формалізованих у вигляді тверджень
політики безпеки. Тепер схематично алгоритм застосування даного методу
можна зобразити у вигляді наступних етапів:
1) виділення в ІТС об’єктів-користувачів, об‘єктів-процесів і пасивних
об‘єктів [15], їх наступна класифікація і структуру ван ня;
2) моделювання інформаційних потоків між об‘єктами ІТС із зазначенням
типу доступу для кожного потоку;
3) формулювання умов функціонування ІТС і функціональних послуг
захисту за допомогою формалізму, що викор истову ється для моделю ван ня ІТС;
4) формулювання у вигляді правил положень політики безпеки;
5) доведення тверджень про виконання політики безпеки в даній систем і за
умови гарантованого виконання функціональних послуг.
Підсумовуючи, таким чином, проблему побудови «гарантовано захищених
систем», підкреслимо, що для цього необхідно вміти розв’язувати дві
проблеми:
a. розробляти гарні ПБ;
b. коректно та надійно реалізовувати вимоги ПБ у вигляді набору
певних послуг захисту.
Слід також звернути увагу на те, що, на перший погляд, поняття
«гарантованого захисту» протирічить одному з основних принципів захисту –
абсолютний захист інформації реалізув ати неможливо. Звичайно, ніякого
протиріччя немає, оскільки неможливо як створити «абсолютно гарну ПБ», так
і неможливо «аб со л ю т но к ор е кт но і н ад ій н о її р е ал ізу в ат и ».
Проте все ж може виникнути питання про реальну можливість створення
системи, у якій з достатнім ступенем упевненості можна підтримувати умови
доведених вище тверджень. О тже, чи існують такі систем хоча б для
найпростіших умов? В якості прикладу розглянемо наступну архітектуру ІТС:
127
1. У кожен момент тільки один користувач ІТС може працювати із
системою. Фізична присутність іншого виключена.
2. При зміні користувачів системи один одним, той що залишає систему:
• записує в зовн ішню пам'ять всі об'єкти, що він хоч е зберегти для
подальших сеансів;
• виключає живлення системи, після чого весь вміст оперативної пам'яті
стирається, залишаються лише записи на зовнішній пам'яті, де зберігаються
об'єкти загального доступу.
3. Новий користувач організує свою роботу з включення системи і
викликає свої об'єкти з зовнішньої пам'яті, користуючись об'єктами загального
користування.
4. На шлюзі зовнішньої пам'яті встановлено ш ифратор, що зашифровує за
допомогою поточного ключа k всю інформацію, яка записується на зовнішню
пам'ять, включаючи назви файлів. Н авпаки , вся інформація, що надходить із
зовнішньої пам'яті, розшифровується за допомогою поточного клю ча k.
Зовнішня пам'ять не має опції «перегляд директорії», а будь-який запит на
звертання до файлу функціонує так, що назва запитуваного файлу шифрується
за допомо гою поточного ключа k. При зміні користувачів поточний ключ k
автоматично сти рається (разом із вмістом оперативної пам'яті), а новий
користувач у якості поточного установлює свій ключ.
Як неважко впевнитись і це легко показати, що функціонування системи
даної архітектури дозволяє реалізувати всі описані вище властивості і, зокрема,
виконати умови доведених вище тверджень.
Дійсно, усі припущення і інші умови в описі системи цілком прийнятні для
розглянутої архітектури. Якщо об'єкт тільки що створений і знаходи ться в
оперативній пам'яті, то доступ до нього з боку процесів від імені користувача,
що його створив, автоматично дозволений за визначенням і можна вважати, що
функція приналежності обчислена. Якщо ж об'єкт викликано із зовнішньої
пам'яті, то сам виклик і доступ до інформації в об'єкті можливі, якщо
встановлено правильний ключ, що знову ж еквівалентно обчисленню функції
128
приналежності даного об’єкта до відповідної множини. У системі немає
суб'єкта, що реалізує дозвільну систему, вона природно реалізована за рахунок
того, що розшифрована інформація читається тоді і тільки тоді, коли в
шифраторі установлено потрібний ключ. Якщо користувач чи процес від його
імені звер та єт ься за доступом до об'єкта на зовн іш н ій пам'яті, то будь-який
доступ дозволений, якщо ключ зашифрування об'єкта (ключ творця об'єкта)
збігається з ключем поточного користув ача. Навпаки, при розбіжності ключів
допуск автоматично не дозволяється, тому що ім'я об'єкта і його зміст не
розшифровуються правильно.
Неможливість одержати доступ, минаючи до звільну систему, може бути
реалізована за допомогою рознесеності роботи користувачів, відсутностію
підслуховування, необхідності розшифровувати інформацію для одержання
доступу до неї. Також вважається, щ о відсутне фізичне проникнення в систему
і можливість м од и фік ац ії с ис те ми .
Підсумовуємо те, що забезпечує гарантії в побудованій системі:
• забезпечення роботи тільки одного користувача (охор она);
• відключення живлення при зміні користувачів;
• стійкість шифратора і схоронність у таємниці ключів кожного
користувача;
• неприпустимість фізичного проникнення в апаратну частину чи
підслуховування (охорона).
Відомо, як забезпечувати ці вимоги, а гарантії їхнього забезпечення є
гарантією захищеності системи в сенсі обраної політики безпеки. Фактично,
якщо брати до уваги нормати вні документи із захисту інформації [1-4], йдеться
про побудову гарантовано захищеної системи класу 1, тобто ІТС, що
реалізована на основі автономного комп’ютера.
Отже, на прикладі найпростішої схеми архітектури ІТС бачимо, що
існують реальн і ш л ях и п о бу до в и га р ан то в ан о за х и щ ен и х ІТ С .
129
РОЗДІЛ 5. МОДЕЛІ БЕЗПЕКИ СИСТЕМ
Розглянемо найбільш відомі та розповсюджені моделі безпеки систем. В
основному розглядаються моделі, появу яких можна вважати суттєвими
кроками або етапами в теорії та практиці захисту інформ ації. Тобто моделі, в
яких запроп оновано принципово нові ідеї. Звичайно, в даному огляді н а
першому плані виступає основна ідея моделі без детального її представлення.
Вважаємо, що доведення тверджень не обов’язково наводити. По-перше,
це не є важливим і необхідним для даного розгляду, а, по-друге, всюди
надаються відповідні посилання.
5.1. Модель А DEPT-50
Одною з перших спроб використати математичну модель для опису
механізму захисту була модель АDЕРТ-50, яка була вперше опублікована в
1970 році [68].
Модель АДЕРТ-50 включає чотири типи об’єктів, що мають відношення
до безпеки: користувачі (u), завдання (j), термінали (t) і файли (f), причому
кожний з об’єктів описується певною чотирьохмірною структурою (автори
називали її кортежем) (A,C,F,M), який містить основні параме три безп еки .
Як бачимо, зміст та назва наведених типів об’єктів та параметрів безпеки
цілком визначаються тогочасною ситуацією (і, як наслідок, термінологією) в
сфері комп’ютер них технологій: відсутність мережних технологій, великі
обсяги технічного та апаратно-програмного забезпечення як наслідок їх
недосконалості, складнощі в питаннях вводу-виводу інформації і т.д.
Компетенція А – скалярна величина (фактично це лінійна порядкова
шкала цінностей з використанням грифів та єм н ос ті) – елемент з набору
ієрархічно вп о р яд ко в ан и х положень пр о безпеку, таких як, наприклад:
НЕТАЄМНО, КОНФІДЕНЦІЙНО, ТАЄМНО, ЦІЛКОМ ТАЄМНО.
Категорія С – дискретний набір рубрик (м но жи н). Слід зазначити, що
категорії не залежать від рівня компетенції. В якості прикладу можна привести
наступний набір: ОБМЕЖЕНО, ТІЛЬК И ДЛЯ ПЕРЕГЛЯДУ, ЯДЕРНИЙ,
ПОЛІТИЧНИЙ.
130
Повноваження F –множина користувачів, які мають право на доступ до
певного об’єкта; це підмножина всієї множини користувачів.
Режим М – набір видів доступ ів (множина), які може здійснювати
користувач до певного об’єкта (або множини об’єктів). Наприклад: ЧИТАТИ,
ЗАЛУЧИТИ ДАНІ, ВИКОНАТИ ПРОГРАМУ.
Обмеження доступу, тобто реалізація механізму захисту, починається з
фіксації множин користувачів та їх можливостей щодо доступу. Це реалізується
наступним чином.
Введемо позначення: U={u
і
, і=1,...,n} – набір всіх відомих системі
користувачів, F(i)={u
j
, j=1,...,m≤n} – набір користувачів, що мають право
використовувати об’єкт i (або, інакше ка жу чи, набір корис тувачів, яким
«дозволено» знати об’єкт і). В якості об’єк та тут може виступати завдання,
термінал та файл.
Тепер залишається сформувати наступні прості правила, за якими
функціонує система
Σ
, тобто за якими к ор и ст у в ач п о сл ід о вн о зд ій сн ю є до ст у п:
1) Користувач u
і
отримує доступ до системи
Σ
тоді і тільки тоді, коли
u
і
∈
U або інакше ∀u
і
→
Σ
⇔ u
і
∈
U.
2) Користувач u
і
отримує доступ до терміналу t
j
тоді і тільки тоді, коли
u
і
∈
F(t
j
), тобто ∀u
і
→t
j
⇔ u
і
∈
F(t
j
).
3) Користувач u
і
отримує доступ до файла f
k
тоді і тільки тоді, коли
A(j
l
)
≥
A(f
k
), C(j
l
)
⊇
C(f
k
), M(j
l
)
⊇
M(f
k
), u
і
∈
F(f
k
).
Останнє правило фіксує важливу вимогу, що всі привілеї виконуваного
завдання повинні бути більшими, ніж привілеї файл а або дорівнювати їм, а
також, щ о всі користувачі u
і
повинні належати до множини тих користувачів,
які мають право використовувати файл f
k
., тобто u
і
∈
F(f
k
). Така в имо га цілком
зрозуміла, оскільки з точки зору інформаційної безпеки найбільш важливим
об’єктом системи є файл. Наприклад, найвищим повноваженням доступу до
файлу для користувача «ЦІЛКОМ ТЄМНО», який виконує завдання з терміналу
«КОНФІДЕНЦІЙНО », буде, звичайно , тільки «КОН ФІД ЕН Ц ІЙН О».