Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

Классическим примером модели мандатного доступа является

модель

Белла—Лападула.

В ней анализируются условия, при ко-

торых невозможно возникновение информационных потоков от

объектов с большим уровнем конфиденциальности к объектам с

меньшим уровнем конфиденциальности. Типы доступа, исполь-

зуемые в модели: чтение, запись, добавление в конец объекта,

выполнение.

В краткой форме данная модель может быть описана следую-

щими тремя правилами:

1) допускается чтение и запись информации между объектами

одного уровня конфиденциальности;

2) не допускается запись информации «вниз», т.е. от объектов

с большим уровнем конфиденциальности к объектам с меньшим

уровнем;

3) не допускается чтение «вверх», т.е. от объектов с меньшим

уровнем конфиденциальности к объектам с большим уровнем.

Второе правило разрешает проблему троянских коней, так как

запись информации на более низкий уровень запрещена.

Система состоит из множеств субъектов, объектов, видов и прав

доступа, возможных текущих доступов в системе, решетки уров-

ней безопасности, матрицы доступов и тройки функций, опреде-

ляющих уровень доступа субъекта, уровень конфиденциальности

объекта и текущий уровень доступа субъекта.

Ясно, что в «чистом» виде модель

Белла—Лападула

нереалис-

тична. В самом деле, у субъекта, находящегося на высоком уровне

конфиденциальности, может возникнуть потребность создания

несекретного документа, однако он вынужден будет присвоить

ему высокий гриф.

Другим недостатком является то, что субъект, выполнивший

запись в объект более высокого уровня, не может проверить ре-

зультат этой операции.

В реальных АС всегда есть администраторы, управляющие со-

стоянием системы: они добавляют и удаляют субъекты, объекты,

изменяют права доступа. Подобные действия администраторов не

могут контролироваться правилами модели

Белла—Лападула.

Ад-

министраторами могут быть не только физические лица, но и

процессы и драйверы, обеспечивающие критические функции.

Модель

Белла—Лападула

не устанавливает никаких специальных

правил поведения доверенных субъектов.

Фундаментальным недостатком мандатных систем является

проблема существования в них скрытых каналов утечки инфор-

мации. Особенно это актуально для распределенных систем. На-

пример, субъект высокого уровня конфиденциальности одного

сегмента АС посылает запрос на чтение объекта с меньшим уров-

нем конфиденциальности другого сегмента. Этот запрос есть не-

желательный информационный поток «сверху вниз», нарушаю-

240

щий правила модели

Белла—Лападула.

Можно привести приме-

ры и других скрытых каналов, образуемых как по памяти, так и

по времени.

Для преодоления ограничений в модели

Белла—Лападулы

были

разработаны специализированные модели. Рассмотрим, например,

модель системы военных сообщений (СВС). Она построена на

основе модели

Белла—Лападулы

и ориентирована прежде всего

на системы приема, передачи и обработки почтовых сообщений,

реализующих мандатную политику безопасности. В данной моде-

ли делается различие между одноуровневым объектом и много-

уровневым контейнером, содержащим в себе объекты. Контейнер

и объекты называют сущностями, которые имеют идентификато-

ры. У контейнера есть атрибут, определяющий порядок обраще-

ния к его содержимому. На объект можно ссылаться либо непо-

средственно, либо косвенно — через контейнеры, в которых он

содержится.

В модели СВС рассматриваются операции над входящими и

исходящими сообщениями, а также операции хранения и получе-

ния сообщений. Сообщение, как правило, является контейнером,

состоящим из сущностей, описывающих его параметры: кому, от

кого

и т. п.

В модели СВС описываются четыре постулата безопасности,

обязательных для выполнения:

1. Администратор корректно разрешает доступ пользователей

к сущностям и назначает уровни конфиденциальности устройств

и множества прав.

2. Пользователь верно назначает уровни конфиденциальности

модифицируемых им сущностей.

3. Пользователь корректно направляет сообщения по адресам

и определяет множества доступа к созданным им сущностям.

4. Пользователь правильно определяет атрибут контейнера.

В модели СВС описываются такие свойства, как авторизация,

иерархия уровней конфиденциальности, безопасный перенос ин-

формации, безопасный просмотр, доступ к сущностям, безопас-

ное понижение уровня конфиденциальности, отправление сооб-

щений и др.

Недостатком модели СВС является то, что в ней отсутствует

описание механизмов администрирования. Предполагается, что

создание сущностей, присвоение им уровней конфиденциально-

сти, задание множества доступов происходят корректно.

Так же, как и во всех моделях мандатного доступа, в СВС есть

угроза утечки информации по скрытым каналам.

Попытки распространить мандатную модель на низкоуровне-

вые механизмы, реализующие управляемые взаимодействия, при-

водят к нарушению политики безопасности. Например, ее нельзя

применить для сетевых взаимодействий: нельзя построить рас-

241

пределенную систему, в которой информация передавалась бы

только в одном направлении, всегда будет существовать обратный

поток информации, содержащий ответы на запросы, подтвержде-

ния получения и

т.

п.

В модели ролевого разграничения доступа (РРД) права до-

ступа субъектов к объектам группируются с учетом специфики их

применения, образуя роли. Модель РРД является развитием по-

литики дискреционного разграничения доступа, но ее фундамен-

тальное отличие состоит в том, что пользователи не могут переда-

вать права на доступ к информации, как это было в моделях дис-

креционного доступа. Некоторые авторы полагают, что модель

РРД нельзя отнести ни к дискреционным, ни к мандатным, так

как управление доступом в ней осуществляется как на основе мат-

рицы прав доступа для ролей, так и с помощью правил, регламен-

тирующих назначение ролей пользователям и их активацию во

время сеансов.

РРД активно применяется в существующих АС. В данной мо-

дели субъект замещается понятиями «пользователь» и «роль»,

пользователь — человек, работающий с системой, выполняющий

определенные служебные обязанности. Роль — активно действу-

ющая в системе абстрактная сущность, с которой связана сово-

купность прав доступа. Количество ролей в системе может не со-

ответствовать количеству пользователей. Один пользователь мо-

жет выполнять несколько ролей, а несколько пользователей мо-

гут выполнять одну и ту же роль.

Основными элементами модели РРД являются множества

пользователей, ролей, прав доступа на объекты АС, сессий пользо-

вателей, а также функции, определяющие для каждой роли мно-

жества прав доступа, для каждого пользователя — множество ро-

лей, на которые он может быть авторизован, для каждой сессии —

пользователя, от имени которого она активизирована, для каждо-

го пользователя — множество ролей, на которые он авторизован в

данной сессии.

Система считается безопасной, если любой ее пользователь, ра-

ботающий в некотором сеансе, может осуществлять действия, тре-

бующие определенные полномочия, лишь в том случае, если эти

полномочия доступны для его роли (назначается только одна из

всей совокупности доступных ролей для сеанса) в данном сеансе.

Для обеспечения соответствия реальным компьютерным си-

стемам на множестве ролей строится иерархическая структура.

Это позволяет пользователю, авторизованному на некоторую роль,

быть автоматически авторизованным на все роли, меньшие ее в

иерархии.

Ролевая политика обеспечивает удобное администрирование

безопасности АС, так как пользователям даются не индивидуаль-

ные права, а предоставляются права, связанные с конкретной ро-

242

лью. Понятие роли используется в ГОСТ Р ИСО

МЭК

15408

—

2002,

а также в стандарте SQL3.

Несмотря на то что в рамках модели РРД формально доказать

безопасность системы невозможно, она позволяет получить про-

стые и понятные правила контроля доступа, которые легко могут

быть применимы на практике. Кроме того, возможно объедине-

ние модели РРД мандатной и дискреционными моделями. На-

пример, полномочия ролей могут контролироваться правилами

этих политик, что позволяет строить иерархические схемы конт-

роля доступа.

В автоматной модели безопасности информационных потоков

система защиты представляется детерминированным автоматом,

на вход которого поступает последовательность команд пользова-

телей. Элементами данной системы являются множества состоя-

ний системы, пользователей, матриц доступов, команд пользова-

телей, изменяющих матрицу доступа, команд пользователей, из-

меняющих состояние, выходных значений, а также функция пе-

рехода системы.

Существуют два типа команд пользователей: изменяющие со-

стояние системы либо модифицирующие матрицу доступа. Для

каждого пользователя в матрице доступа определены команды,

которые он может выполнять (дискреционное разграничение до-

ступа).

Для каждого пользователя задается функция выходов, опреде-

ляющая, что каждый из них видит при данном состоянии системы.

Политика безопасности в автоматной модели безопасности —

это набор требований информационного невмешательства. Не-

вмешательство — ограничение, при котором ввод высокоуровне-

вого пользователя не может смешиваться с выводом низкоуров-

невого пользователя. Модель невмешательства рассматривает си-

стему, состоящую из четырех объектов: высокий ввод (high-in),

низкий ввод (low-in), высокий вывод (high-out), низкий вывод

(low-out).

Главное достоинство данной модели по сравнению с моделью

Белла—Лападула

— отсутствие в ней скрытых каналов. Недоста-

ток заключается в высокой сложности верификации модели.

Модель невыводимости также основана на рассмотрении ин-

формационных потоков в системе. Система считается невыводи-

мо безопасной, если пользователи с низким уровнем безопасно-

сти не могут получить информацию с высоким уровнем безопас-

ности в результате любых действий пользователей с высоким уров-

нем безопасности.

Требования информационной невыводимости более строгие, чем

требования безопасности модели

Белла—Лападула,

и предполага-

ют изоляцию друг от друга высокоуровневых и низкоуровневых

объектов системы, что практически нереализуемо на практике.

243

11.2.3.

Модели обеспечения целостности

Цель политики безопасности в данных моделях — защита от

нарушения целостности информации. Наиболее известны в этом

классе моделей мандатная модель целостности Биба и модель Клар-

ка—Вильсона.

В основе модели Биба лежат уровни целостности,

аналогичные уровням модели

Белла—Лападула. В

отличие

от

модели

Белла—Лападула

чтение разрешено теперь только вверх (от субъекта

к объекту, уровень ценности которого превосходит уровня субъек-

та), а запись

—

только вниз. Правила данной модели являются пол-

ной противоположностью правилам модели

Белла—Лападула.

В модели Биба рассматриваются следующие доступы субъек-

тов к объектам и другим субъектам: доступ субъекта на модифи-

кацию объекта, доступ субъекта на чтение объекта, доступ субъекта

на выполнение и доступ субъекта к субъекту.

В отличие от модели

Белла—Лападула

требования безопасно-

сти в модели Биба динамические, так как для их описания исполь-

зуются элементы текущего и последующего состояний системы.

Подобно модели

Белла—Лападула,

модель Биба простая и яс-

ная для понимания, однако она унаследовала все ее недостатки.

Кроме того, одновременное применение моделей Биба и Белла

—

Лападула затруднено в силу их противоречивости. Например, для

чтения субъектом информации из объекта в первой вышеуказан-

ной модели его уровень должен быть ниже, а во второй модели —

выше, чем у объекта.

Основу модели

Кларка—Вильсона

составляют транзакции, ко-

торые включают операции, переводящие систему из одного со-

стояния в другое. Вся совокупность данных (объекты доступа)

делится на два класса: целостность одних контролируется, цело-

стность других не контролируется. Субъекты в рамках данной мо-

дели должны порождать лишь правильно сформулированные тран-

закции, где субъект инициирует последовательность действий,

которая выполняется управляемым и предсказуемым образом.

В модели определено также понятие процедуры подтвержде-

ния целостности, которая применяется по отношению к данным,

подлежащим контролю. По отношению к этим данным должны

применяться лишь правильно сформулированные транзакции,

которые не могут нарушить целостность данных. Все операции

разрешаются только авторизованным пользователям и регистри-

руются. Кроме того, существуют процедуры постановки на конт-

роль целостности ранее неконтролируемых данных.

Преимуществом модели является то, что она основана на про-

веренных временем методах обращения с бумажными ресурсами.

К недостаткам можно отнести сложность практической реализа-

ции в реальных системах, ее неформализованность и некоторую

противоречивость в правилах.

244

Известны подходы к объединению модели

Кларка—Вильсона

с моделью Биба. Модель Биба реализует защиту от атак субъек-

тов, находящихся на низшем уровне целостности, но неспособна

отразить атаки своего уровня целостности. Поэтому ее целесооб-

разно объединять с моделью Кларка

—Вильсона,

которая может

задавать определенные отношения в пределах каждого уровня

целостности.

В качестве вывода необходимо констатировать высокую трудо-

емкость применения теоретических моделей, неадекватное опи-

сание большинством из них процессов, происходящих в АС. На-

пример, большинство моделей не учитывают возможные действия

субъектов по изменению свойств АС. Описанию порядка без-

опасного взаимодействия субъектов системы, описанию и обо-

снованию необходимых условий реализации безопасности посвя-

щена субъектно-ориентированная модель.

11.2.4.

Субъектно-ориентированная модель

В данной модели считается, что субъекты порождаются други-

ми субъектами (активными сущностями) из объектов (пассивная

сущность). Вводится понятие ассоциированности объекта и субъек-

та. О ней говорят в случае, если состояние объекта влияет на со-

стояние субъекта в следующий момент времени (считается, что в

системе дискретное время). Субъект осуществляет отображение

ассоциированных объектов в момент времени

на множество ас-

социированных объектов в момент времени t

При этом мож-

но выделить подмножество объектов (передатчиков), изменение

которых влечет за собой изменение субъектом других объектов

(приемников). В результате мы получаем информационный по-

ток между двумя объектами. Этот поток обладает свойством тран-

зитивности. Доступом субъекта к объекту называется порождение

потока информации между некоторым объектом и объектом до-

ступа. Среди потоков есть легальные и несанкционированные.

Политика безопасности описывает разбиение потоков на эти два

множества. Правила разграничения доступа есть формально опи-

санные легальные потоки.

Для разбиения всех потоков на множества законных и несанк-

ционированных выделяется особый субъект, который активизи-

руется при любом потоке и умеет выполнять классификацию по-

токов — монитор обращений. Отсюда получается понятие мони-

тора безопасности объектов (МБО) — это монитор обращений,

разрешающий только легальные потоки (операции над объектом).

Однако при изменении ассоциированных с МБО объектов может

измениться и сам МБО, поэтому вводят понятие корректности

субъектов, или их невлияния друг на друга. Два субъекта называ-

ют взаимно корректными, если в любой момент времени отсут-

245

ствует поток между двумя объектами, ассоциированными с этими

субъектами. У абсолютно корректных субъектов множества ассо-

циированных объектов вообще не пересекаются.

Введение понятия абсолютной корректности позволяет сфор-

мулировать достаточные условия осуществления только легаль-

ного доступа. Для этого все субъекты в системе, включая МБО,

должны быть абсолютно корректными относительно друг друга.

Это достаточно жесткое правило, и на первый взгляд неясно, как

решить проблему корректности порождаемого субъекта и МБО.

На помощь приходит введение понятия монитора безопасности

субъектов (МБС) — субъекта, который разрешает порождение толь-

ко определенного подмножества пар активизирующих субъектов

и объектов-источников.

Компьютерная система, в которой есть МБС, называется зам-

кнутой. Если порождаемые субъекты абсолютно корректны отно-

сительно друг друга и

МБС,

то замкнутая система называется изо-

лированной. В [5] приведена и доказана теорема, описывающая

достаточное условие гарантированного выполнения политики без-

опасности в компьютерной системе: «Если в изолированной про-

граммной среде существует МБО и порождаемые субъекты абсо-

лютно корректны с МБО, МБС и другими субъектами, а также

МБС абсолютно корректен с МБО, то в такой программной среде

МБО разрешает порождение только легальных потоков».

Для того чтобы программная среда всегда оставалась изолиро-

ванной (а значит, и гарантированно защищенной), необходимо

потребовать, чтобы порождение субъектов сопровождалось конт-

ролем неизменности породивших их объектов.

11.3.

Прикладные модели защиты информации

в АС

Формальные подходы к решению задачи оценки защищенно-

сти информации до настоящего времени не получили широкого

практического распространения. Это обусловлено прежде всего

алгоритмической сложностью формализации процессов защиты

информации в АС.

Считается, что значительно более действенным является исполь-

зование неформальных классификационных подходов. В частно-

сти, вместо количественных оценок используют категорирование:

• нарушителей (по целям, квалификации и доступным вычис-

лительным ресурсам);

• информации (по уровням критичности и конфиденциально-

сти);

• средств защиты (по функциональности и гарантированности

реализуемых возможностей) и т.п.

246

Такой подход не дает возможности получения количественных

значений показателей защищенности, а позволяет лишь класси-

фицировать АС по уровню защищенности и сравнивать их между

собой. Примерами классификационных методик, получивших

широкое распространение, могут служить разнообразные крите-

рии оценки безопасности информации, принятые во многих стра-

нах в качестве национальных стандартов, устанавливающих клас-

сы и уровни защищенности. Одним из основных результатов про-

ведения работ в этом направлении является обобщающий миро-

вой опыт международный стандарт ISO

15408,

принятый в каче-

стве национального российского стандарта — ГОСТ

15408

—

2002.

В России основными документами, задающими требования к обес-

печению безопасности информации в АС, являются руководящие

документы Гостехкомиссии РФ (ФСТЭК).

Задача контроля выполнения требований по защите информа-

ции в АС от НСД может решаться на основе использования клас-

сификационных методик лишь при проектировании АС. Вместе с

тем достаточно универсального решения этой задачи в процессе

эксплуатации АС на сегодняшний день не существует. Обеспече-

ние заданного уровня защищенности от НСД к информации в

течение всего периода эксплуатации АС должно осуществляться

путем административного управления средствами защиты инфор-

мации (СЗИ) АС.

Успешное решение задачи обеспечения заданного уровня защи-

щенности от НСД к информации связано с последовательным

решением двух частных задач: оценивание защищенности от НСД

к информации в АС на количественном уровне и принятие реше-

ний об изменении параметров настройки СЗИ АС в целях обеспе-

чения заданного уровня защищенности. Наряду с этим оценивание

защищенности АС от НСД связано с необходимостью определения

количественных значений параметров возможных атак на АС.

В настоящее время наиболее известны четыре класса моделей

систем и процессов защиты информации, позволяющих оцени-

вать общее состояние АС относительно меры уязвимости, или

уровня защищенности информации в них:

1) общая модель процессов защиты информации, описывающая

взаимодействие СЗИ АС и угроз безопасности информации в АС;

2) обобщенная модель СЗИ, предназначенная для определения

рационального состава системы защиты;

3) модель общей оценки эффективности реализации атак на

АС, позволяющая оценить потери, которые могут возникнуть при

проявлении различных угроз безопасности информации;

4) модель анализа систем разграничения доступа, предназна-

ченная для решения задач анализа и синтеза этих систем.

Данные модели не нашли широкого практического примене-

ния для оценивания защищенности информации в АС в значи-

247

тельной

мере из-за

трудностей,

возникающих при подготовке и

актуализации исходных данных о параметрах потенциальных ИВ

на

АС.

Однако, применив модель политики безопасности для оце-

нивания не общих, а частных характеристик АС, например для

оценивания защищенности АС от НСД при применении программ-

ных средств защиты информации (входящих в состав общего и

специального программного обеспечения АС), можно получить

достаточно достоверную оценку защищенности. Это связано с тем,

что при подготовке исходных данных о параметрах атак, для про-

тиводействия которым применяются программные средства за-

щиты, не требуется составления и обоснования наиболее полного

перечня возможных угроз.

Использование модели процессов защиты информации для

расчета частного показателя защищенности АС от НСД имеет сле-

дующие основные особенности:

• принятие решений о применении средств защиты связано с

необходимостью учета параметрической неопределенности атак

(априорно неизвестно, какие атаки с какими параметрами могут

быть реализованы);

• не известны вероятностные законы изменения параметров

атак в процессе эксплуатации АС;

• обработка информации является конфликтной ситуацией, в

которой стороны имеют различные интересы (в ряде случаев —

строго противоположные).

Прикладные модели защиты информации могут разрабатываться

для конкретной АС, с учетом всех особенностей планируемых тех-

нологий обработки информации.

Рассмотрим процесс формулирования задач на проектирова-

ние СЗИ АС и ее формализацию на примере. При этом в качестве

модели СЗИ выберем описанную ранее субъектно-объектную мо-

дель.

11.4.

Формальное построение модели защиты:

пример

11.4.1.

Описание объекта защиты

Рассмотрим пример АС, объединяющей несколько подразде-

лений предприятия (рис.

11.1).

В каждом подразделении имеется

своя иерархически построенная локальная сеть, объединяющая

одноранговые сети отделов. Сеть подразделения выполнена по

звездообразной структуре, сети отделов имеют кольцевидную

структуру. В сети подразделения имеется ряд серверов: информа-

ционный, почтовый и т.д. Сеть подразделения находится в пре-

делах контролируемой зоны, связь между подразделениями обес-

248

Администратор

системы

АС-подразделения

Пользователь 1

Пользователь 2

Пользователь 3

СКЗ

АС-подразделения

г*-

Пользователь 1

Пользователь 2

Пользователь 3

•«-'

СКЗИ

АС

- подразделения

АС

Пользователь 1

Пользователь 2

Пользователь 3

—*

СКЗ

Рис.

11.1.

Структура гипотетической автоматизированной

системы (АС)

печивается посредством криптографически закрытых каналов свя-

зи. Безопасность сети подразделения обеспечивается должност-

ным лицом — администратором сети, за безопасность всей АС

отвечает должностное лицо — администратор системы.

Рассматриваемая АС предоставляет информационно-справоч-

ные и информационно-расчетные услуги должностным лицам

подразделений (пользователям) и обеспечивает ведение юриди-

чески значимого электронного документооборота. Кроме того,

существует набор административных и защитных механизмов (под-

систем), играющий вспомогательную роль.

В АС может обрабатываться информация различного уровня

конфиденциальности. Пользователи имеют различные полномо-

чия по доступу к информации, поэтому данная АС должна отно-

ситься к классу защищенности

1Г

(или 1Д) согласно РД Гостехко-

миссии [3]. Это налагает ограничения снизу по необходимости

реализации средств и механизмов защиты.

Среди функций АС выделим:

• создание и удаление пользователей вместе со всеми атрибута-

ми безопасности информации, а также их личными записями;

• изменение полномочий пользователей;

• администрирование прав и других атрибутов защиты (паро-

ли, ключи шифрования и электронной цифровой подписи);

• корректное создание, передача и обработка инструкций, вы-

полненных в электронной форме, отображение результатов рабо-

ты, в том числе на внешних носителях.

249