Зегжда Д.П. Информационная безопасность

Подождите немного. Документ загружается.

— множество классов безопасности, доминирующее над sc

и sc

— непустое и содержит

наибольшую внешнюю границу (sup), доминирующую над всеми классами.

— множество классов безопасности, над которыми доминируют sc

и sc

— непустое и

содержит наименьшую внешнюю границу(inf), над которой доминируют все классы.

Далее предполагается, что сущности Х и У (субъекты или объекты) могут иметь более

одной классификации Scls(X)={scx

, sсx

,... scx

} и Scls(Y)={scy

, scy

,... scy

}. Допустим,

что sc — класс безопасности. Тогда:

— Scls(X) ≥ sc  scx

≥sc, i, 1≤i≤n;

— Scls(X) ≤ sc  scx

≤ sc, i, 1≤i≤n;

— Scls(X) ≥Scls(Y)  scx

(1≤i≤n), sex

≥ lub(scy

, scy

,...scy

Основные определения.

Определим модель безопасности сети MODEL:

MODEL = <S,0,A,s

S — множество состояний:

О — множество операций системы;

А — функция системы;

— начальное состояние системы;

Множество S моделирует состояние переменных, относящихся к защищенности сети.

Множество О описывает сетевые операции, а множество А— переходы модели из одного

состояния в другое после применения последовательности операций из множества О.

Состояние s

описывает начальное состояние системы.

Определим основные множества, используемые для описания модели.

— Sub: множество всех субъектов сети. Включает множество всех пользователей (Users)

и всех процессов (Ргосs) сети Sub=Procs ⋃ Users

— obj: множество всех объектов сети. Включает множество сетевых компонентов

(NC) и информационных блоков (UI) сети.

— Obj=NC ⋃ UI

Обычно, множество сетевых компонентов включает хосты (Н), устройства ввoдa-

вывoдa(IOD) и устройства вывода (OD), а множество информационных блоков включает

файлы и сообщения.

НC=H ⋃ lOD ⋃ OD

— Scls: множество классов безопасности. Предполагается, что на этом множестве

определен частичный порядок.

—Rset: множество ролей пользователя. Включает pоль офицера безопасности.

— Strings: множество символьных строк.

Состояние системы.

Каждое состояние sS описывается:

s=<Subs, Objs, authlist, conlist, accset, subcls, objcls, curls, subrefobj, role, currole, term,

contents>, где:

— Subs определяет множество субъектов в cocтoянии s;

— Obj s определяет множество объектов в состоянии s;

— authlist — множество, состоящее из элементов в форме (sub, nc), где subSubs

ncObjs; Существование элемента (sub1, nc1) в множестве, отмечает то, что субъект sub1

имеет право на связь с компонентом сети nc1.

— connlist — множество, состоящее из элементов в форме (sub, nc). Это множество

отражает текущее множество допустимых соединений в данном состоянии.

— subcis — Sub→SCIs.

subcls — функция, приписывающая каждому субъекту его степень доверия.

— objcls — Obj→PS(SCIs), где PS обозначает мощность множества.

subcls — функция, приписывающая каждому объекту один или более уровней

классификации. Предполагается, что выходные устройства и информационные блоки

имеют единственный уровень классификации, тогда как хосты могут иметь несколько

классификаций.

— curcls — Sub→Sets.

curcls — функция, определяющая текущую степень довери я субъекта.

subrefobj — Sub→PS(Obj).

subrefobj — описывает множество объектов, к которым субъект может обратиться в

данном состоянии.

role: Users→PS(Rset)

role описывает множество ролей, для которых авторизован пользователь. currole:

Users→Rset

currole описывает текущую роль пользователя.

term: Users→IOD

term определяет терминал, с которого пользователь вошел в систему.

contents — IU→Strings

contents — функция, которая отображает множество информационных блоков в

множество строк. Она выделяет содержание информационных объектов.

Для nclOD⋃OD, view(nc) — множество упорядоченных пар{(х1, у1), (х2,у2),... (хп,

уп)}, где каждое yi отражается на компоненте nc. Каждое xi — информационный блок и

yi — результат применения функции contents к xi.

Предположения безопасности.

Модель сети содержит следующие предположения безопасности.

1. На хостах сети существует надежная схема пользовательской аутентификации.

Каждый пользователь и процесс в сети имеет уникальный идентификатор.

2. Только пользователь с ролью Офицер Безопасности Сети может присваивать

классы безопасности субъектам и компонентам сети, и роли пользователям.

3. Все сущности сети имеют сравнимые классы безопасности.

4. Имеет место надежная передача данных по сети.

5. В сети реализована надежная криптозащита.

Безопасное состояние.

Определим условия, при которых состояние сети безопасно. С целью определения

данных условий рассмотрим различные фазы, через которые проходит система во время

выполнения операций.

Фаза доступа к системе.

Предполагается, что существует надежный механизм идентификации-

аутентификации. Эти аспекты не включены в данную модель. Но существует требование,

по которому, степень доверия пользователя должна быть больше или равна

классификации терминала, с которого он получил доступ к системе. Более того, текущая

степень доверия пользователя, не должна быть больше его максимальной степени

доверия, а его роль должна принадлежать к списку его aвторизованных ролей. Это дает

следующие ограничения.

Ограничения при достуре к системе.

Предложение 1: Состояние s удовлетворяет ограничениям при доступе к системе, если

xUserss

— subcls(x)≥objcls(term(x))

— subcls(x)≥curcls(x)

— currole(x)role(x)

Фаза установления связи.

После получения доступа к системе, пользователь может захотеть установить связь с

другими компонентами сети. Для определения доступных соединений, должны

поддерживаться дискретная и мандатная политика сети.

Ограничения связи.

Предложение 2. Состояние s удовлетворяет ограничениям связи, если (sub, nс)∉connlist

— (sub, nc)∉authlist

— если ncOD⇒curcls(sub) ≥sup(oc1, oc2,... оcj), где objcls(nc)={oc1, oc2,...ocj}

— если ncOD⇒objcls(nc)≥subcls(sub)

Первое условие дает контроль дискретного доступа, т.е.объект, к которому

осуществлен запрос на связь, должен находиться в списке объектов, к которым имеет

доступ субъект.

Второе ограничение говорит о том, что если запрашиваемый сетевой компонент —

не устройство вывода, то для установления соединения, текущая степень доверия к

пользователю должна быть, по крайней мере, не меньше самой нижней классификации

объекта.

Третье условие относится к устройствам вывода. Степень доверия к субъекту

должна быть не больше класса безопасности компонента сети, для предотвращения

утечки информации через выходное устройство.

Другие условия.

1. Классификация информации, которая может быть просмотрена через устройство

ввода-вывода, должна быть не больше классификации данного устройства.

2. Роль пользователя в данном состоянии, должна принадлежать к списку ролей, к

которым авторизован пользователь.

Теперь определим безопасное состояние.

Определение.

Состояние s безопасно, если:

1. s удовлетворяет Ограничениям при доступе к системе.

2. s удовлетворяет Ограничения связи.

3. z  (IODs⋃ODs), x  (x, contents(x))  view(x) 

objcls(z)≥objcls(x)

4. z  Users, currole(u)  role(u).

Начальное состояние. Предполагается, что начальное состояние системы s0

определено таким образом, что оно удовлетворяет условиям безопасного состояния,

описанным выше.

Операции.

Операция связи.

Операция connect(sub, nc) позволяет субъекту sub связаться с удаленным объектом

сети nc. Из ограничения связи (предложение 2), для того, чтобы эта операция была

безопасна, требуется:

(a) (sub, nc)  authlist

(b) если nс  OD  curcls(sub) ≥ sup(oc1, oc2,... ocj), где objcls(nc)=(oc1, oc2,..осj}

или если nс  OD  objcls(nc) ≥ subcls(sub).

После того как операция выполнена, (sub, nc)  authlist’ и nс  subrefobj(sub).

Операции манипуляции информацией.

После установления связи с удаленным компонентом, субъект может выполнять

операции, которые требуют манипуляции с информационными объектами. Манипуляция

информацией состоит из двух этапов: этап получения доступа к информации, на котором

субъект связывается с информационным объектом, над которым он хочет произвести

манипуляции, и этап манипуляции, на котором действуют ограничения, принятые в

модели Белла и Лападула для операций чтения, записи, добавления и выполнения. В

данной модели рассматривается операция, выполняющая передачу информации от

одного сетевого компонента к другому, как самая важная при рассмотрении сети.

(Фактически данная операция является частью всех других операций).

Операция получения доступа.

Операция bind(iobj, nc) позволяет субъекту sub получить доступ к

информационному объекту iuobj на сетевом компоненте nc. Для того чтобы данная

операция была безопасной требуется:

(a) (sub, iuobj)  accset(iuobj)

(b) curcls(sub) ≥ objcls(iuobj)

После выполнения операции, iuobj  subrefobj(sb).

Отметим, что в данные выражения включен простой контроль прав доступа,

базирующийся на accset на удаленном компоненте.

Операция передачи информации.

Операция transfer (iuobj1, nc1, iuobj2, nc2) позволяет субъекту sub добавить

содержание информационного блока объекта iuobj1 на сетевом компоненте nc1 к

содержанию информационного блока объекта iuobj2 на сетевом компоненте nc2. Для

того чтобы данная операция была безопасна, требуется:

(a) objcls(iuobj1) ≥ objcls(iuobj2)

(b) curcls(sub) ≥ objcls(iuobjl)

К объектам iuobjl и iuobj2, к которым обращается субъект sub, не должны обращаться

другие субъекты.

После выполнения операции, классификация объектов iuobjl, iuobj2 не изменяется.

(d) objcls'(iuobjl) = objcls(iuobjl)

(e) objcis'(iuobj2) = objcls(iuobj2)

где objcis' относится к новому состоянию s'.

Операция освобождения.

Операция unbind (sub, iuobj) позволяет субъекту sub освободить связь с объектом

iuobj. До выполнения данной операции iuobj2subrefobj(sub), а после выполнения —

iuobj∉subrefobj(sub).

Другие операции.

Рассмотрим другие операции, модифицирующие атрибуты безопасности субъектов и

объектов. Обычно, они включают операции, изменяющие степень доверия к субъектам,

классификацию информационных блоков, а также множества доступа к

информационным блокам. В случае модели безопасности сети, необходимо добавить

операции, такие как присвоение классификации сетевым компонентам и изменение ролей

пользователей.

Присвоение классификации сетевому компоненту.

Операция assign-sclass-ncobj(nc,scls) позволяет субъекту sub установить

классификацию сетевому компоненту nc. То есть objcls'(nc)={scls}. Данная операция

применима, только в том случае, когда компонент не используется. Более того, только

Офицер Безопасности Сети (NSO) авторизован для проведения данной операции. Таким

образом, если данная операция произведена в состоянии s, следующее должно быть

истинным:

Если существует некоторое ncNC, такое что objcis (nс)≠objcls'(nc), тогда

— sbSubs (sb≠sub), nc≠subrefobj(sb) и (sb, nc)∉connlist

— NSOrole(sub) и currole(sub)=NSO

Присвоение степени доверия пользователю.

Операция assign-sclass-user(usr, scis) позволяет субъекту sub установить степень

доверия пользователю usr. Обычно, условия, требуемые для безопасности данной

oперации:

Если существует пользователь usrUsers, такой что subcls(usr)≠subcls'(usr), то

— NSOrole(sub) и currole(sub)=NSO

— если пользователь допущен к системе в состоянии s (т.е. usrUsers), то

subcls'(usr)≥curcls(usr)

Присвоение пользователю текущей степени доверия.

Операция assign-curclass-user(usr,scls) позволяет субъекту sub установить текущую

степень доверия к пользователю usr. То есть curcls'(usr)=scls. Условия, требуемые для

безопасности данной операции:

Если существует пользователь usrUsers, такой что curcls(usr)≠curcls'(usr), то

— NSOrole(sub) и currole(sub)=NSO или usr=sub

— subcls(usr)≥curcls'(usr)

— если пользователь получает доступ к системе через терминал в состоянии s, то

curcls'(usr)≥objcls(term(usr))

— если пользователь связан с компонентом сети в состоянии s, то если компонент

не является устройством вывода, т.е. (usr,nc)connlist и nc∉OD, то

curcls(sub)≥sup(oc1, oc2,…,ocj), где objcls(nc)={oc1, oc2,…,ocj}.

— Если пользователь связан с компонентом сети в состоянии s, то если компонент

является устройством вывода, т.е.(usr,nc)connlist и ncOD⇒

objcls(nc)≥subcls(sub).

Присвоение пользователою роли..

Операция assign-role-user(usr, rlset) позволяет субъекту sub установить пользователю

usr множество ролей. Т.е. role'(usr) = {rset}. Обычно, условия, требуемые для

безопасности данной операции:

Если существует пользователь usrUsers, такой что role(usr)≠role'(usr), то

— NSOrole(sub) и currole(sub)=NSO

— если пользователь допущен к системе в состоянии s (т.е. usrUsers), то

currole(usr)≥role(usr).

Присвоение пользователю текущей роли.

Операция assign-currole-user(usr,rl) позволяет субъекту sub изменить текущую роль

пользователя usr. To есть currole(usr)=rl. Условия, требуемые для безопасности данной

операции:

Если существует пользователь usr e Users, такой что currole(usr)≠currole'(usr), то

— NSOrole(sub) и currole(sub)=NSO или usr=sub

— новая роль гl должна быть в множестве ролей, для которых пользователь авторизован.

Т.е. currole'(usr)role(usr).

Установка списка доступа.

Операция setauthlist(al) позволяет субъекту установить список доступа. Список

доступа это множество пар (sub, nc), где sbSub , a ncNC. Эта операция может

производится только субъектом с ролью NSO (условия безопасности см. выше).

Функции системы.

Функции системы описывают переход системы из одного состояния в другое, поле

применения одиночной операции или их последовательности, так как это было описано

выше. То есть

A: Sub xx S→S

s'=A(sub, op, s) — результирующее состояние после применения операции оО,

примененной субъектом subSub в состоянии s S.

О функции А говорят, что переход безопасен, если он удовлетворяет условиям,

описанным в предыдущих пунктах.

Теперь необходимо проверить разработанную модель. Для этого необходимо

рассмотреть безопасность трех фаз, рассмотренных ранее.

Фаза доступа к системе.

На фазе доступа к системе пользователь получает доступ к одному из сетевых

компонентов. Для этой фазы может быть сформулирована теорема:

Теорема2.4.Модель безопасности сети M= <S,О,A,s

>, удовлетворяющая ограничениям

доступа к системе удовлетворяет критерию безопасности.

Фаза установления связи.

После доступа к системе пользователь может установить связи с другими сетевыми

компонентами. Для этой фазы может быть сформулирована теорема:

Теорема 2.5. Модель безопасности сети M= <S,О,А,s

>, удовлетворяющая ограничениям

связи к системе удовлетворяет критерию безопасности.

Фаза манипуляции информацией.

После установления связи с другими сетевыми компонентами, пользователь может

производить операции с информацией в системе. Для этой фазы может быть

сформулирована соответствующая теорема.

Определение. Модель <S,О,A,s

> функционально безопасна, если

1. функция безопасна относительно получения доступа к информации, перемещения

информации и установления доступа.

2. Любая последовательность функций, не имеет результатом небезопасное

состояние, после старта в безопасном состоянии.

Теорема 2.6. Модель безопасности сети M=<S,О,А,s

> функционально безопасна.

Основная теорема безопасности.

Определим состояния s и s'.

s= <Subs, Objs, authlist, conlist, accset, subcls, objcls, curcls, subrefobj, role, currole, term,

contents>

s'= <Subs', Objs', authlist', conlist', accset', subcls', objcls', curcls', subrefobj', role', currole',

term', contents'>

Определение: система, описанная выше моделью <S,O,A,s

> безопасна, если:

-начальное состояние s

безопасно.

-любые функции А, определенные как A(sub,op,s)=s' удовлетворяющие:

(а) Теореме 2.4

(b) Теореме 2.5

(с) Теореме 2.6

(d) x'IUs', "xlUs, z'(lODs'⋃ODs'), z(lODs⋃Ods)

если(x,contents(x))view(z) и (x',contents(x'))view(z'), то

objcls(z')≥objcls(x')

(e) для всех пользователей usrUsers, таких что role(usr)≠role'(usr), или

currole(usr)≠currole'(usr), то currole'(usr)role'(usr)

Теорема 2.7. Модель <S,0,A,s

> безопасна.

2.2.1.2. Вероятностные модели.

Модели этого типа исследуют вероятность преодоления системы защиты за

определенное время Т. К достоинствам моделей данного типа можно отнести числовую

оценку стойкости системы защиты. К недостаткам — изначальное допущение того, что

система защиты может быть вскрыта. Задача модели — минимизация вероятности

преодоления системы защиты.

Игровая модель.