Файл: Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 523
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2. Потоки между локальными субъектами и удаленными объектами.
3 Потоки между удаленными субъектами и локальными объектами.
4. Потоки между удаленными субъектами и удаленными объектами.
Понимание, как сконструированы и как работают эти группы КС, очень важно, для того чтобы точно знать, как аналитик может получать информацию из «чужих» отдаленных компьютерных систем, как он может обмениваться данными внутри своей замкнутой локальной системы, не имеющей выхода во внешние КС, как к его (может быть, абсолютно секретным) данным может получить доступ удаленный субъект, в том числе злоумышленник, как можно обмениваться (и в каком масштабе) данными с дружественными локальными системами или с внешними КС. Скажем, для аналитика, работающего на фондовой бирже, компьютер которого подключен к внешним КС, очень важно непрерывно получать и обрабатывать информацию о состоянии котировок ценных бумаг на других фондовых биржах в том случае, конечно, если они открыты для доступа. Но в то же время ему важно, чтобы данные, находящиеся в его личных файлах, не стали известны третьим лицам Это поясняет, почему так важна только что приведенная классификация.
Потоки между локальными субъектами и локальными объектами
(первая конструкция) описывают работу аналитика внутри своего рабочего места или внутри корпоративной сети. Аналитик запускает программы и обрабатывает данные из своего
ЛС КС Потоки между локальными субъектами и удаленными объектами означают работу аналитика с внешним ресурсом при помощи своих собственных программ, размещенных на ЛС КС. Потоки между удаленными субъектами и локальными объектами означают, что удаленные субъекты пользуются вашими внутренними ресурсами.
Это может быть санкционированное действие, а может быть и злоумышленное. Еще одно вероятное событие в этом случае - что в ваш ЛС КС внедряют постороннее программное обеспечение, которое будет «красть» информацию по некоторому событию или сигналу извне.
Потоки между удаленными субъектами и удаленными объектами описывают «работу сторонних организаций».
Эти потоки тоже могут представлять интерес для аналитика. Например, по активности обращений к ресурсам можно делать прогнозы, о чем подробно написано во второй части книги.
Введем еще одно понятие порождения субъекта
Create(S ,O)—>S
k
- из объекта <Э порожден субъект S
fc при активизирующем воздействии субъекта S. Create назовем операцией порождения субъектов (см. также рис. 21).
Операция порождения субъектов описывает запуск
программ в рамках локального или внешнего сегмента
КС. Если мы вспомним, как пользуемся различными программами (например, в операционной среде Windows
мы «щелкаем мышкой» по изображению программы на рабочем столе), то обратим внимание на то, что первично программа существует в виде объекта, который называется исполняемым модулем. Этот объект мы подвергаем «запуску», при этом находящиеся в нем инструкции для процессора начинают исполняться, и объект становится субъектом. Но важно понимать еще, что новый субъект в КС не может образоваться сам, его запускает другой, уже активный субъект. В примере с
Windows это управляющая программа Explorer. У субъекта-программы обязательно есть связанные с ним объекты, которые называются ассоциированными с ним.
Это некоторые переменные и поля программы, содержание окон на экране и, наконец, сама последовательность действий программы, которая размещена в памяти компьютера. Ассоциированные объекты отражают состояние субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом Хи локальным субъектом S. В данном случае i-й субъект - просто одна из программ нашего компьютера, взаимодействующая
344 345
u
I
с сетью. Целью данного взаимодействия является реализация потока между локальным объектом О и ассоциированным объектом О
х
субъекта X, причем данный поток проходит через ассоциированные объекты локального субъекта S. На практике это означает, что мы обращаемся во внешний сегмент КС через свою программу S, которая связывается с внешней программой X, причем это взаимодействие происходит всегда - и в случае «добросовестного» сетевого общения, и в случае атак злоумышленника. Хорошо знакомый всем пример, это Internet Explorer, который чаще называю браузером. С другой стороны, мы видим внешний сегмент КС, внешнюю сеть только тогда, когда нам «отвечает» на наши запросы со стороны внешнего мира некоторый субъект X. Кроме того, вполне существует возможность того, что из сети нам будет передан внешний объект Ov, который может быть запущен в рамках нашего ЛС КС и породит новый субъект в нашем «локальном мире». Порождение нового субъекта может произойти из объекта, находящегося как в локальном, так и во внешнем сегменте КС.
Рис. 20. К понятию внешнего сегмента КС
346
На рис.
20 схематически представим рассматриваемое взаимодействие субъектов S
t и X.
Введем следующие обозначения: X - субъект внешнего сегмента КС, который инициирует поток через S
t
- субъект, принадлежащий подмножеству субъектов локального сегмента КС, О - объект локального сегмента
КС, S* - субъект локального сегмента, порожденный субъектом S. О
к
- ассоциированный объект субъекта S.
Объекты ОиО
к на рис. 20 входят в множество объектов
ЛС КС.
Рассмотрим следующую упрощенную модель работы
«распределенной» компьютерной системы, которая состоит из двух компьютеров. На рассматриваемых компьютерах обязательно будет установлено телекоммуникационное программное обеспечение, обеспечивающее совместную работу прикладных программ и аппаратуры передачи данных для обмена информацией по каналу связи. Отметим, что передаваемая и принимаемая информация представляется в различных частях КС на различных уровнях (файлы, части файлов, пакеты). Злоумышленника полагаем в данном случае лицом, которое имеет доступ к каналу связи и располагает идентичным по отношению к нашему компьютеру комплексом программных и аппаратных средств. Работу как злоумышленника, так и легального пользователя можно представить как работу передающего либо принимающего компьютера или как посылку (или прием) на наш компьютер некоторой информации. Если речь идет о злоумышленнике, то на нашем атакуемом компьютере работает некий субъект, который традиционно называется телекоммуникационным субъектом и либо входит в состав телекоммуникационного программного обеспечения на нашем компьютере, либо был прислан нам извне. Злоумышленные действия в рассматриваемом случае возможны двух основных видов:
• пассивное воздействие, связанное с чтением дан ных с атакуемого компьютера и их транспортировкой на компьютер злоумышленника;
• активное воздействие, связанное с присылкой на наш компьютер новых данных (например, новых фай-
347
лов) и модификацией уже существующих файлов, в том числе и исполняемых.
Обобщим сказанное и сформулируем его на языке потоков. Обозначим потоки от ассоциированного объекта О
х
субъекта X к ассоциированному объекту О
к
субъекта
S и наоборот: Stream(X,O
x
)-*O
k
и Stream(X,O
k
)—
*O
x
. Пред положим также, что свойства субъекта S
r таковы, что возможно существование потоков вида
Stream(S
i
,O)-*O
k
и Stream(S
i
,O
k
)-^O
j
.
Существует весьма важное отношение транзитивности, которое является основой для передачи информации и контроля информационных потоков. В общем виде оно звучит так: «Если А относится к В, а В относится к С, то и А относится к С».
Например, если «10 больше 5, а 5 больше 1, то и 10 больше
1».
На языке потоков отношение транзитивности выражается так: «Если существует поток от А к В и поток от В к С, то существует и поток от А к С». Поток, проходящий через несколько объектов, называется составным потоком, в приведенном примере составным будет поток от А к С.
Верно также и то, что если на каком-то участке поток прерван, то и общий составной поток не существует, т.е., «если существует поток от А к В, но не существует потока от В к С, то не существует потока от А к С».
Свойство транзитивности потоков является основой для построения систем безопасности.
По свойству транзитивности потоков имеет место доступ субъекта X к объекту О
}
через субъект S
(
. В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:
• доступ к объекту <Э со стороны субъекта S
t при управляющем воздействии субъекта X;
• дорождение субъектом S
f из локального объек та нового субъекта S*, для которого существует поток
Stream(X,S*).
Первая ситуация связана с тем, что субъект X может получить доступ к объектам нашего локального сегмен- та непосредственно через наш телекоммуникационный субъект, через который мы «видим» внешний сегмент
КС. Вторая - с порождением нового субъекта и доступом через него.
Наличие канала связи между удаленным субъектом и локальными объектами позволяют говорить о задаче семантической защиты передаваемых данных, которую изучает криптография.
Подводя итоги, можно сформулировать несколько принципов работы КС, важных для аналитика.
Первый
- аналитик является пользователем компьютерной системы, он взаимодействует с активными компонентами
КС
- субъектами
(программами), а информацию черпает из пассивного компонента - объектов. Второй принцип состоит в том, что аналитик работает во внутреннем сегменте КС, общаясь с различными субъектами и пользователями внешнего сегмента КС и получая информацию также от объектов внешнего субъекта КС. Третий принцип - получение информации есть реализация различных потоков, многие из которых имеют сложную структуру, практически все потоки являются составными.
Четвертый принцип - внешний сегмент КС не управляем и потенциально враждебен аналитику, он содержит массу источников информации с различными свойствами которые (в первую очередь достоверность) необходимо тщательно проверять. Из внешнего сегмента могут прийти угрозы для данных, размещенных в локальном сегменте КС. Угрозы возможны и при передаче информации от одного локального сегмента к другому. Пятый принцип - для результативной работы аналитика его компьютерная система должна быть наполнена субъектами, реализующими все необходимые ему функции, иными словами, перечень используемых программ должен быть функционально полным, но не избыточным, поскольку через «лишние» субъекты возможна утечка информации, появление в системе «вирусов» и посторонних программ.
348 349
Обобщим сказанное и сформулируем его на языке потоков. Обозначим потоки от ассоциированного объекта О
х
субъекта X к ассоциированному объекту О
к
субъекта
S и наоборот: Stream(X,O
x
)-*O
k
и Stream(X,O
k
)—
*O
x
. Пред положим также, что свойства субъекта S
r таковы, что возможно существование потоков вида
Stream(S
i
,O)-*O
k
и Stream(S
i
,O
k
)-^O
j
.
Существует весьма важное отношение транзитивности, которое является основой для передачи информации и контроля информационных потоков. В общем виде оно звучит так: «Если А относится к В, а В относится к С, то и А относится к С».
Например, если «10 больше 5, а 5 больше 1, то и 10 больше
1».
На языке потоков отношение транзитивности выражается так: «Если существует поток от А к В и поток от В к С, то существует и поток от А к С». Поток, проходящий через несколько объектов, называется составным потоком, в приведенном примере составным будет поток от А к С.
Верно также и то, что если на каком-то участке поток прерван, то и общий составной поток не существует, т.е., «если существует поток от А к В, но не существует потока от В к С, то не существует потока от А к С».
Свойство транзитивности потоков является основой для построения систем безопасности.
По свойству транзитивности потоков имеет место доступ субъекта X к объекту О
}
через субъект S
(
. В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:
• доступ к объекту <Э со стороны субъекта S
t при управляющем воздействии субъекта X;
• дорождение субъектом S
f из локального объек та нового субъекта S*, для которого существует поток
Stream(X,S*).
Первая ситуация связана с тем, что субъект X может получить доступ к объектам нашего локального сегмен- та непосредственно через наш телекоммуникационный субъект, через который мы «видим» внешний сегмент
КС. Вторая - с порождением нового субъекта и доступом через него.
Наличие канала связи между удаленным субъектом и локальными объектами позволяют говорить о задаче семантической защиты передаваемых данных, которую изучает криптография.
Подводя итоги, можно сформулировать несколько принципов работы КС, важных для аналитика.
Первый
- аналитик является пользователем компьютерной системы, он взаимодействует с активными компонентами
КС
- субъектами
(программами), а информацию черпает из пассивного компонента - объектов. Второй принцип состоит в том, что аналитик работает во внутреннем сегменте КС, общаясь с различными субъектами и пользователями внешнего сегмента КС и получая информацию также от объектов внешнего субъекта КС. Третий принцип - получение информации есть реализация различных потоков, многие из которых имеют сложную структуру, практически все потоки являются составными.
Четвертый принцип - внешний сегмент КС не управляем и потенциально враждебен аналитику, он содержит массу источников информации с различными свойствами которые (в первую очередь достоверность) необходимо тщательно проверять. Из внешнего сегмента могут прийти угрозы для данных, размещенных в локальном сегменте КС. Угрозы возможны и при передаче информации от одного локального сегмента к другому. Пятый принцип - для результативной работы аналитика его компьютерная система должна быть наполнена субъектами, реализующими все необходимые ему функции, иными словами, перечень используемых программ должен быть функционально полным, но не избыточным, поскольку через «лишние» субъекты возможна утечка информации, появление в системе «вирусов» и посторонних программ.
348 349
1 ... 14 15 16 17 18 19 20 21 ... 25
Глава 11 БЕЗОПАСНОСТЬ
ИНФОРМАЦИОННЫХ СИСТЕМ
11.1. Основные понятия безопасности
информационных систем
Рассматривая вопросы безопасности информации в компьютерных системах
88
, можно говорить о наличии некоторых «желательных» состояний данных систем. Эти желательные состояния субъектно-объектной модели
89 описывают «защищенность» системы. «Защищенность» принципиально не отличается от любых других свойств технической системы, например, «надежной работы», и является для системы внешней, априорно заданной характеристикой.
Особенностью понятия
«защищенность» является его тесная связь с понятиями
«злоумышленник» (как обозначение внешней причины для вывода системы из состояния «защищенности») или
«угроза» (понятие, обезличивающее причину вывода системы из защищенного состояния).
При рассмотрении понятия «злоумышленник» практически всегда выделяется объект его воздействия -часть системы, связанная с теми или иными действиями злоумышленника («объект атаки»).
Следовательно, можно выделить три сущности, связанные с нарушением безопасности системы:
«злоумышленник» - внешний по отношению к системе источник нарушения свойства «безопасность», «объект атаки» - часть, принадлежащая системе, на которую злоумышленник воздействует, «канал воздействия» - среда переноса злоумышленного воздействия.
Интегральной характеристикой, описывающей свойства защищенной компьютерной системы, является
политика безопасности (ПБ) - качественное (или
качественно-
88. Обсуждая компьютерные системы, будем далее использовать термин
•компьютерная система» для обозначения объекта исследования, поскольку термин .автоматизированные системы», принятый в нормативных документах и научных работах по компьютерной безопасности, на сегодняшний день практически всегда описывает системы, содержащие компьютерную технику.
89 Они достаточно подробно рассмотрены в предыдущей главе.
количественное) описание свойств защищенности,
выраженное в терминах, описывающих систему.
Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки.
Наиболее часто рассматривается политика безопасности, связанная с понятием «доступ». Доступ - категория субъектно-объектной модели