Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

79 корректны механизмы, отвечающие за реализацию политики безопасности.
Концепция доверенной вычислительной базы является центральной
при оценке степени доверия безопасности.
Доверенная вычислительная база - это совокупность защитных
механизмов ИС (включая аппаратное и программное обеспечение),
отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.
Основное назначение доверенной вычислительной базы - выполнять
функции монитора обращений, то есть контролировать допустимость
выполнения субъектами (активными сущностями ИС, действующими от
имени пользователей) определенных операций над объектами (пассивными
сущностями).
Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.
Монитор обращений должен обладать тремя качествами:
- Изолированность.
Необходимо предупредить возможность отслеживания работы монитора.
- Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.
- Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности.
Ядро безопасности - это основа, на которой строятся все защитные
механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром
безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

80
6.1.2 Механизмы безопасности
Согласно «Оранжевой книге», политика безопасности должна
обязательно включать в себя следующие элементы:
- произвольное управление доступом;
- безопасность повторного использования объектов;
- метки безопасности;
- принудительное управление доступом.
Произвольное
управление
доступом
(называемое
иногда
дискреционным) - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо
(обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из
«мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Для реализации
принудительного
управления
доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации.
Согласно «Оранжевой книге», метки безопасности состоят из двух частей:
- уровня секретности;
- списка категорий.
Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные.
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности,
«конфиденциальный» субъект может записывать данные в секретные файлы,

81 но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Описанный способ управления доступом называется
принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
Если
понимать
политику
безопасности
узко,
как
правила
разграничения доступа, то механизм подотчетности является дополнением
подобной политики. Цель подотчетности - в каждый момент времени
знать, кто работает в системе и что делает. Средства подотчетности
делятся на три категории:
- идентификация и аутентификация;
- предоставление доверенного пути;
- анализ регистрационной информации.
Обычный способ идентификации - ввод имени пользователя при входе в систему.
Стандартное средство проверки подлинности
(аутентификации) пользователя - пароль.
Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути - дать пользователю возможность убедиться в подлинности обслуживающей его системы.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Переходя к пассивным аспектам защиты, укажем, что в «Оранжевой
книге» рассматривается два вида гарантированности:
1. Операционная гарантированность относится к архитектурным и
реализационным аспектам системы. Операционная гарантированность
- это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.
Операционная гарантированность включает в себя проверку следующих элементов:
- архитектура системы;
- целостность системы;
- проверка тайных каналов передачи информации;
- доверенное администрирование;
- доверенное восстановление после сбоев.
2. технологическая гарантированность - к методам построения и
сопровождения. Технологическая гарантированность охватывает весь жизненный цикл ИС, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия

82 должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».
6.1.3 Классы безопасности
В «Оранжевой книге» определяется четыре уровня доверия - D, C, B и
A. Уровень D предназначен для систем, признанных неудовлет- ворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1,
C2, B1, B2, B3) с постепенным возрастанием степени доверия.
Классификацию,
введенную
в
«Оранжевой
книге»
можно
сформулировать так:
- уровень C - произвольное управление доступом;
- уровень B - принудительное управление доступом;
- уровень A - верифицируемая безопасность.
6.2 Информационная безопасность распределенных систем.
Рекомендации X.800
6.2.1 Сетевые сервисы безопасности
Переходим к рассмотрению технической спецификации X.800, появившейся немногим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем. Рекомендации X.800 - документ довольно обширный. Мы остановимся на специфических сетевых функциях (сервисах) безопасности, а также на необходимых для их реализации защитных механизмах.
Выделяют следующие сервисы безопасности и исполняемые ими
роли.
Аутентификация.
Данный
сервис
обеспечивает
проверку
подлинности партнеров по общению и проверку подлинности источника
данных. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает:
- односторонней (обычно клиент доказывает свою подлинность серверу),
- двусторонней (взаимной).
Управление
доступом.
Обеспечивает
защиту
от
несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность
данных.
Обеспечивает
защиту
от
несанкционированного
получения
информации.
Отдельно упомянем
конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
Целостность данных подразделяется на подвиды в зависимости от
того, какой тип общения используют партнеры - с установлением

83
соединения или без него, защищаются ли все данные или только отдельные
поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость (невозможность отказаться от совершенных
действий) обеспечивает два вида услуг:
- неотказуемость с подтверждением подлинности источника
данных
- неотказуемость с подтверждением доставки.
В таблице 5.1 указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
Таблица 5.1 - Распределение функций безопасности по уровням эталонной семиуровневой модели OSI
Уровень
Функции безопасности
1 2 3 4 5 6 7
Аутентификация
- - + + - - +
Управление доступом
- - + + - - +
Конфиденциальность соединения
+ + + + - + +
Конфиденциальность вне соединения
- + + + - + +
Избирательная конфиденциальность
- - - - - + +
Конфиденциальность трафика
+ - + - - - +
Целостность с восстановлением
- - - + - - +
Целостность без восстановления
- - + + - - +
Избирательная целостность
- - - - - - +
Целостность вне соединения
- - + + - - +
Неотказуемость
- - - - - - +
6.2.2 Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться
следующие механизмы и их комбинации:
- шифрование;
- электронная цифровая подпись;
- механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
- механизмы контроля целостности данных. В рекомендациях
X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации.

84
- механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, , криптографических методов, устройств измерения и анализа биометрических характеристик;
- механизмы дополнения трафика;
- механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
- механизмы
нотаризации.
Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.
В таблице 5.2 сведены сервисы (функции) и механизмы безопасности.
Таблица 5.2 показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 5.2. Взаимосвязь функций и механизмов безопасности
Механизмы
Функции
Ш
и
ф
р
ован
и
е
Э
ле
к
т
р
он
н
ая
п
од
п
и
сь
У
п
р
авле
н
и
е
д
о
ст
уп
ом
Ц
елос
т
н
ос
т
ь
А
ут
ен
т
и
ф
и
к
ац
и
я
Д
оп
олн
ен
и
е
т
р
аф
и
к
а
У
п
р
авле
н
и
е
мар
ш
р
ут
и
зац
и
ей
Н
от
ар
и
зац
и
я
Аутентификация партнеров
+
+
-
-
+
-
-
-
Аутентификация источника
+
+
-
-
-
-
-
-
Управление доступом
-
-
+
-
-
-
-
-
Конфиденциальность
+
-
+
-
-
-
+
-
Избирательная конфиденциальность
+
-
-
-
-
-
-
-
Конфиденциальность трафика
+
-
-
-
-
+
+
-
Целостность соединения
+
-
-
+
-
-
-
-
Целостность вне соединения
+
+
-
+
-
-
-
-
Неотказуемость
-
+
-
+
-
-
-
+
«+» механизм пригоден для реализации данной функции безопасности;
«-» механизм не предназначен для реализации данной функции безопасности.

85
6.2.3 Администрирование средств безопасности
Администрирование средств безопасности включает в себя
распространение информации, необходимой для работы сервисов и
механизмов безопасности, а также сбор и анализ информации об их
функционировании. Концептуальной основой администрирования является
информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.
Согласно рекомендациям X.800, усилия администрирование средств
безопасности должны распределяться по трем направлениям:
- администрирование
информационной
системы
в
целом; обеспечение актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
- администрирование сервисов безопасности; включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности
(при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
- администрирование механизмов безопасности; определяются перечнем задействованных механизмов:
- управление ключами (генерация и распределение);
- управление шифрованием;
- администрирование управления доступом (распределение информации, необходимой для управления - паролей, списков доступа и т.п.);
- управление аутентификацией (распределение информации, необходимой для аутентификации - паролей, ключей и т.п.);
- управление маршрутизацией (выделение доверенных путей);
- управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).