ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4250
Скачиваний: 25
• мотивы и цели нарушителя, которые он преследует при со
вершении НСД к информации;
• степень его воздействия на информационную среду;
• возможные места проникновения нарушителя;
• информационные ресурсы, доступные нарушителю;
• оценку последствий действий нарушителя.
Выделяют следующие задачи моделирования КСЗИ:
• оптимальное (или рациональное) распределение механизмов
безопасности между организационными мерами, инженерно-тех-
ническими средствами и программным обеспечением;
• проектирование структуры КСЗИ с различной степенью аб
стракции (проекты высокого/низкого уровней) с целью обеспече
ния полноты охвата процедурами безопасности всех потоков ин
формации, подлежащей защите;
• оптимизация процессов управления безопасностью;
• оценка технико-экономических показателей КСЗИ на раз
личных этапах жизненного цикла по мере уточнения требований
к организационным, инженерно-техническим и программным
мерам защиты, а также условий применения КСЗИ;
• оценка эффективности КСЗИ по результатам проведенных
испытаний;
• моделирование КСЗИ на этапе эксплуатации с целью учета
влияния новых угроз безопасности, изменения структуры пред
приятия.
Итак, моделирование КСЗИ заключается в решении задач ана
лиза функционирования, синтеза структуры и оптимизации про
цессов управления безопасностью в КСЗИ на всех этапах жиз
ненного цикла.
При моделировании задачи оптимального управления безопас
ностью исследуются следующие вопросы [43]:
• обоснование рациональных решений в критических ситуаци
ях нарушения безопасности информации:
а) необходимости (целесообразности) прекращения обработки
информации;
б) необходимости включения дополнительных (резервных)
средств защиты информации;
в) необходимости блокирования участка, на котором возникла
угрожаемая ситуация;
г) необходимости изменения режимов обработки информа
ции;
• обоснование оптимальных решений в процессе планирова
ния мероприятий по обеспечению безопасности информации:
а) обоснование множества дестабилизирующих факторов, про
явление которых возможно в планируемый период;
б) выбор задач обеспечения безопасности информации, подле
жащих решению в планируемый период;
в) выбор совокупности средств защиты, необходимых и доста
точных для эффективного решения задач обеспечения безопасно
сти информации;
г) распределение ресурсов КСЗИ между задачами;
д) обоснование графика использования средств защиты в про
цессе обработки информации в планируемый период;
•
оценка степени текущего выполнения плана обеспечения без
опасности информации.
Важной частью КСЗИ является система защиты информации в
автоматизированных системах (СЗИ АС). Для ее анализа разрабо
тано большое количество формальных моделей безопасности, ко
торые рассмотрены ниже.
11.2. Формальные модели безопасности
и их анализ
11.2.1. Классификация формальных моделей
безопасности
Формальные модели широко используются при построении
систем защиты, так как с их помощью можно доказать безопас
ность системы, опираясь на объективные доказуемые математи
ческие постулаты. Целью построения модели является получение
формального доказательства безопасности системы при соблюде
нии определенных условий, а также определение достаточного
критерия безопасности. Формальные модели позволяют решить
целый ряд задач, возникающих в ходе проектирования, разработ
ки и сертификации АС в защищенном исполнении.
Формальная модель отображает политику безопасности. По
литика безопасности (ПБ) — совокупность норм и правил, регла
ментирующих процесс обработки информации, выполнение ко
торых обеспечивает защиту от определенного множества угроз и
составляет необходимое условие безопасности системы. Полити
ка безопасности описывает множество условий, при соблюдении
которых пользователи системы могут получить доступ к ресурсам
вычислительной системы без потери ее информационной без
опасности. Политика безопасности АС может состоять из множе
ства частных политик, соответствующих конкретным механизмам
безопасности. Основу политики безопасности составляет способ
управления доступом субъектов системы к объектам.
При функционировании АС происходит взаимодействие меж
ду ее компонентами, порождаются информационные потоки. Ос
новная цель создания политики безопасности и описания ее в
виде формальной модели — это определение условий, которым
должны подчиняться поведение системы, выработка критерия
безопасности и проведение формального доказательства соответ
ствия системы этому критерию при установленных ограничениях.
Свойство безопасности системы является, как правило, качествен
ным и может быть булевой переменной: АС «безопасна-небез-
опасна».
Известно множество теоретических моделей, описывающих
различные аспекты безопасности. Данные модели можно разде
лить по предназначению на классы: модели обеспечения конфи
денциальности, контроля целостности, контроля информацион
ных потоков и ролевого доступа. Кроме того, важное значение
имеет субъектно-ориентированная модель изолированной про
граммной среды.
11.2.2. Модели обеспечения конфиденциальности
Наиболее изучены математические модели, формализующие
политики безопасности для обеспечения конфиденциальности,
основанные на разграничении доступа. Политика безопасности
подобных систем направлена на то, чтобы к информации не по
лучили доступа неавторизованные субъекты. Среди этих моделей
можно выделить три группы:
а) дискреционные модели (матрицы доступа Харрисона, Руззо
и Ульмана, модели Take-Grant, Белла—Лападула и др.);
б) мандатные модели (Белла—Лападула, Биба, систем воен
ных сообщений);
в) модели ролевого разграничения доступа, которые нельзя
отнести ни к дискреционным, ни к мандатным.
Модели данного типа широко используются в большинстве
реальных систем. Так, в наиболее ответственных АС требуется
обязательное сочетание дискреционного и мандатного доступа,
поэтому рассмотрим их подробнее.
Дискреционное управление доступом
есть разграничение дос
тупа между поименованными субъектами и поименованными
объектами. Права доступа субъектов к объектам определяются на
основе некоторого внешнего (по отношению к системе) правила.
Политика безопасности либо разрешает некоторое действие над
объектом защиты, либо запрещает его.
Для описания дискреционной модели используется матрица
доступа — таблица, отображающая правила доступа. Например, в
столбцах матрицы могут быть размещены S-субъекты, в строках —
О-объекты, а на пересечении столбцов и строк размещаются R-
права доступа. Права доступа могут быть типа: чтение, запись,
запуск процесса, управление доступом к файлу для других пользо
вателей и т. п. Матрицу доступа можно задавать по-разному: от
талкиваясь либо от субъектов, либо от объектов.
Примером дискреционной модели является модель Харрисо
на, Руззо и Ульмана. Элементы этой модели — субъекты, объек
ты, права доступа и матрица доступов. Рассматриваются следую
щие права доступа: чтение, запись, владение. Функционирование
системы рассматривается только с точки зрения изменений в мат
рице доступов. Изменения происходят за счет выполнения ко
манд, которые составляются из 6 примитивных операторов: вне
сти/удалить право, создать/уничтожить субъект/объект.
Авторы модели доказали, что в самом общем случае вопрос
определения безопасности компьютерной системы неразрешим,
т.е. не существует алгоритм, позволяющий определить, безопасна
система или нет. Вместе с тем если в системе отсутствуют коман
ды вида Create object, Create subject, то ее безопасность может
быть оценена полиномиальным алгоритмом. Конечно, такая си
стема является нереалистичной, поэтому было выполнено мно
жество исследований на тему «Какие самые слабые ограничения
можно наложить на систему, чтобы вопрос безопасности оставал
ся разрешимым?». Эти исследования привели, в частности, к раз
работке системы Take-Grant, в которой вопрос безопасности раз
решим, причем за полиномиальное время.
К достоинствам моделей дискреционного доступа можно от
нести их гибкость.
Основным фундаментальным недостатком данных моделей яв
ляется так называемая проблема троянских программ, заключаю
щаяся в том, что нарушитель может навязать пользователю вы
полнение программы, которая бы считывала данные из недоступ
ного для нарушителя объекта и записывала их в разделяемый между
пользователем и нарушителем объект.
Другой недостаток — огромный размер матриц, необходимый
для использования в реальных системах. При дискреционном до
ступе необходимо описать правила доступа для каждого объекта и
субъекта, что для больших систем практически нереализуемо. На
практике применяется автоматическое присвоение прав каждой
новой сущности, внедряемой в систему, что может приводить к
появлению ситуаций наличия некоторых прав по умолчанию, ко
торые могут быть использованы нарушителем (заводские пароли
на BIOS, бюджеты по умолчанию в устанавливаемых ОС).
Мандатное управление доступом
есть разграничение доступа
субъектов к объектам, основанное на характеризуемой меткой
конфиденциальности информации, содержащейся в объектах, и
допуска субъектов к информации соответствующего уровня кон
фиденциальности. В отличие от моделей дискреционного доступа
модели мандатного доступа накладывают ограничение на переда
чу информации от одного пользователя другому, контролируют
информационные потоки. Именно поэтому в подобных системах
проблемы троянских программ не существует.
Классическим примером модели мандатного доступа является
модель Белла—Лападула. В ней анализируются условия, при ко
торых невозможно возникновение информационных потоков от
объектов с большим уровнем конфиденциальности к объектам с
меньшим уровнем конфиденциальности. Типы доступа, исполь
зуемые в модели: чтение, запись, добавление в конец объекта,
выполнение.
В краткой форме данная модель может быть описана следую
щими тремя правилами:
1) допускается чтение и запись информации между объектами
одного уровня конфиденциальности;
2) не допускается запись информации «вниз», т.е. от объектов
с большим уровнем конфиденциальности к объектам с меньшим
уровнем;
3) не допускается чтение «вверх», т.е. от объектов с меньшим
уровнем конфиденциальности к объектам с большим уровнем.
Второе правило разрешает проблему троянских коней, так как
запись информации на более низкий уровень запрещена.
Система состоит из множеств субъектов, объектов, видов и прав
доступа, возможных текущих доступов в системе, решетки уров
ней безопасности, матрицы доступов и тройки функций, опреде
ляющих уровень доступа субъекта, уровень конфиденциальности
объекта и текущий уровень доступа субъекта.
Ясно, что в «чистом» виде модель Белла—Лападула нереалис
тична. В самом деле, у субъекта, находящегося на высоком уровне
конфиденциальности, может возникнуть потребность создания
несекретного документа, однако он вынужден будет присвоить
ему высокий гриф.
Другим недостатком является то, что субъект, выполнивший
запись в объект более высокого уровня, не может проверить ре
зультат этой операции.
В реальных АС всегда есть администраторы, управляющие со
стоянием системы: они добавляют и удаляют субъекты, объекты,
изменяют права доступа. Подобные действия администраторов не
могут контролироваться правилами модели Белла—Лападула. Ад
министраторами могут быть не только физические лица, но и
процессы и драйверы, обеспечивающие критические функции.
Модель Белла—Лападула не устанавливает никаких специальных
правил поведения доверенных субъектов.
Фундаментальным недостатком мандатных систем является
проблема существования в них скрытых каналов утечки инфор
мации. Особенно это актуально для распределенных систем. На
пример, субъект высокого уровня конфиденциальности одного
сегмента АС посылает запрос на чтение объекта с меньшим уров
нем конфиденциальности другого сегмента. Этот запрос есть не
желательный информационный поток «сверху вниз», нарушаю-