ОИБ. основы информ. безопасности. Учебное пособие Томск

85
Введение подобных ограничений упрощает администрирование системы в тех случаях, когда полномочия должны предоставляться определенным набором, или когда назначение ролей должно производится в определенной последовательности. Например, предоставлять доступ к некоторым объектам (скажем личным каталогам) имеет смысл только сразу и по чтению и по записи. Типичным примером группирования ролей является ситуация, когда некоторый пользователь, осуществляющий руководство работой других пользователей, должен обладать полномочиями, равными совокупности полномочий всех своих подчиненных, т.е. роль руководителя образует одну группу с ролями исполнителей. Следует отметить, что иерархия ролей является частным случаем группирования ролей и полномочий.
Поскольку все перечисленные варианты ограничений, а также любые другие могут использоваться в различных комбинациях, ролевая модель очень легко адаптируется для каждого конкретного случая, что является ее основным преимуществом перед другими моделями. Ролевая политика предоставляет широкий простор для разработчиков систем управления доступом, - с одной стороны, использование матрицы прав доступа может превратить ее в разновидность дискреционной модели, но, с другой с троны, применение жестких правил распределения ролей между сеансами и пользователями, а также полномочий между ролями, позволяет построить на ее основе полноценную нормативную политику.
Следовательно, свойства системы, построенной в соответствии с ролевой моделью, определяются исключительно характером используемых ограничений и могут находиться в очень широком диапазоне, что не позволяет провести формальное доказательство безопасности модели для общего случая.
Подводя итоги свойств ролевой политики управления доступом, следует констатировать, что в отличие от других политик она практически не гарантирует безопасность с помощью формального доказательства, а только определяет характер ограничений, соблюдение которых и служит критерием безопасности системы. Такой подход позволяет получать простые и понятные правила контроля доступа, которые легко могут быть применены на практике, но лишает систему доказательной теоретической базы. В некоторых ситуациях это обстоятельство затрудняет использование ролевой политики, однако, в любом случае, оперировать ролями гораздо удобнее, чем субъектами, поскольку это более соответствует распространенным технологиям обработки информации, предусматривающим разделение обязанностей и сфер ответственности между пользователями. Кроме того, ролевая политика может использоваться одновременно с другими политиками безопасности, когда полномочия ролей, назначаемых пользователям, контролируются дискреционной или мандатной политикой, что позволяет строить многоуровневые схемы контроля доступа.
4.2.15. Вероятностные модели
Модели этого типа исследуют вероятность преодоления системы защиты за определенное время. Достоинство моделей – числовая оценка стойкости системы защиты, недостаток – изначальное допущение того, что система может быть вскрыта.
Задача модели – минимизация преодоления системы защиты.
Игровая модель
Модель строится по следующему принципу. Разработчик создает первоначальный вариант системы защиты. После это злоумышленник начинает его преодолевать. Если к моменту времени Т, в который злоумышленник преодолел систему защиты, у разработчика не будет нового варианта система защиты – преодолена. Если нет, то процесс продолжается. Т. е.
Модель описывает процесс эволюции системы защиты в течении времени.

86
Модель системы безопасности с полным перекрытием
В данной модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности, их эффективность и вклад в обеспечение безопасности во всей вычислительной системе. С каждым объектом О, требующим защиты, связывается некоторое множество действий, к которым может прибегать злоумышленник для получения несанкционированного доступа к объекту. Основной характеристикой набора угроз Т является вероятность появления каждого из злоумышленных действий. В реальной системе эти вероятности можно вычислить с ограниченной степенью точности.
Рис. 4.7. Множество отношений объект-угроза
Множество отношений объект-угроза образуют двухдольный граф, в котором ребро существует тогда и только тогда, когда ti (

ti

T) является средством получения доступа к объекту oi (

oi

O). Связь между объектами и угрозами типа "один ко многим", т.е. одна угроза может распространяться на любое число объектов и объект может быть уязвим со стороны более чем одной угрозы. Цель защиты состоит в том, чтобы перекрыть каждое ребро графа и воздвигнуть барьер для доступа по этому пути.
Завершает модель третий набор, включающий средства безопасности М, которые используются для защиты информации в вычислительной системе. Идеально каждое mk
(

mk

M) должно устранять некоторое ребро из графа на рисунке. Набор Μ средств обеспечения безопасности преобразует двухдольный граф в трехдольный граф. В защищенной системе все ребра представляются в виде и . Любое ребро в форме определяет незащищенный объект. Одно и то же средство обеспечения безопасности может перекрывать более одной угрозы и (или) защищать более одного объекта.
Отсутствие ребра не гарантирует полного обеспечения безопасности (хотя наличие такого ребра дает потенциальную возможность несанкционированного доступа за исключением случая, когда вероятность появления ti равна нулю).
Понятие системы с полным перекрытием
Система с полным перекрытием – система в которой имеются средства защиты на каждый путь проникновения [1].
Пусть:
Т – набор угроз;
О – набор защищаемых объектов;
M – набор средств обеспечения безопасности;
V – набор уязвимых мест – отображение Т

О на набор упорядоченных пар V = {t i
,O}
i
, представляющих собой пути проникновения в систему;
В – набор барьеров – отображение Т

О

М или V

M на набор упорядоченных троек {t i
o j
m k
}, представляющих собой точки, в которых требуется осуществить защиту.
Если {t
i
o
j
}

V предусматривает {t
i
o
j
m
k
}

B , то j
ий
объект защищен.
Основное преимущество данного типа моделей состоит в возможности численного получения оценки степени надежности системы защиты информации. Данный метод не

87 специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами моделей систем защиты информации.
4.2.16. Информационные модели
Потоковые модели определяют ограничения на отношение ввода/вывода системы, которые достаточны для реализации системы. Данные модели являются результатом применения шенноновской теории информации к проблеме безопасности систем. К данным моделям относятся модели невмешательства и невыводимости.
Модель невмешательства
Невмешательство – ограничение, при котором ввод высокоуровнего пользователя не может смешиваться с выходом низкоуровнего пользователя. Модель невмешательства рассматривает систему, как состоящую из четырех объектов: высокий ввод, низкий ввод, высокий вывод, низкий вывод.
Рассмотрим систему, вывод которой пользователю u определен функцией out(u, hist.read(u)), где hist.read(u) – история ввода системы (traces), чей последний ввод был read(u) - команда чтения, исполненная пользователем u. Безопасность определена в терминах очищения (purge) историй ввода, где purge удаляет команды, исполненные пользователем, чей уровень безопасности не доминирует над уровнем безопасности u.
Для определенных систем, модель невмешательства особенно хороша в том, что если последовательность входа X не смешивается с последовательностью вывода У, и X независима от ввода других пользователей, то I(X, У)=0, где I(X, У) — взаимная для X и У информация.
Модель невыводимости
Модель невыводимости выражается в терминах пользователей и информации, связанных с одним из двух возможных уровней секретности (высокий и низкий).
Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности. Т.е. утечка информации не может произойти в результате посылки высокоуровневыми пользователями низкоуровневым пользователям высокоуровневой информации.
Такое определение предусматривает неспособность низкоуровневых пользователей к использованию доступной им информации для получения высокоуровневой информации, но не защищает высокоуровневых пользователей от просмотра низкоуровневыми пользователями. Оно просто требует, чтобы низкоуровневые пользователи не были способны использовать доступную им информацию для получения высокоуровневой информации.
4.3 Модели контроля целостности
4.3.1. Модель Биба
Мандатная модель целостности Биба
Данную модель часто называют инверсией модели Бела – Лападула и следовательно основные правила этой модели просто переворачивают правила модели Бела – Лападула:
NRU

«нет чтения снизу(NRD)» и NRD

«нет записи наверх(NWU)».

88
Правило NRD определяется как запрет субъектами на чтение информации из объекта с более низким уровнем целостности. Правило NWUопределяется как запрет субъектам на запись информации в объект с более высоким уровнем целостности.
Одним из преимуществ этой модели является то, что она унаследовала многие важные характеристики БЛМ, включая ее простоту и интуитивность. Это значит, что проектировщики реальных систем могут легко понять суть этих правил и использовать их для принятия решений при проектировании. Кроме того, поскольку мандатная модель целостности Биба, подобно БЛМ, основана на простой иерархии, ее легко объяснить и изобразить пользователям системы.
С другой стороны, модель представляет собой очевидное противоречие с правилами
NRU и NWD. Это значит, что если необходимо построить систему, которая предотвращает угрозы, как секретности, так и целостности, то одновременное использование правил моделей
БЛМ и Биба может привести к ситуации, в которой уровни безопасности и целостности будут использоваться противоположными способами.
Модель понижения уровня субъекта
Вторая модель Биба заключается в небольшом ослаблении правила чтения снизу.
Здесь субъекту разрешается осуществлять чтение снизу, но в результате такого чтения уровень целостности субъекта понижается до уровня целостности объекта. В этой модели, не накладывается ни каких ограничений на то, что может прочитать субъект, и она подразумевает монотонное изменение уровней целостности.
Модель понижения уровня объекта
Последняя модель Биба реализуется в ослаблении правила записи наверх. Модель разрешает совершать запись наверх, но в результате, уровень целостности объекта понижается до уровня целостности субъекта, осуществляющего запись. В этой модели также, не накладывается ни каких ограничений на то, что может прочитать или записать субъект, она также подразумевает монотонное изменение уровней целостности и не содержит ни каких механизмов для повышения уровня целостности объекта.
В практическом применении модель Биба слишком сильно полагается на понятие доверенных процессов. То есть, проблема необходимости создания доверенных процессов для повышения или понижения целостности субъектов или объектов является весьма существенной. Следует отметить тот факт, что данная модель не предусматривает механизмов повышения целостности, что ведет к монотонному снижению целостности системы.
4.3.2. Модель Кларка–Вилсона
Эта модель была создана в 1987г Кларком и Вилсоном. Ее созданию способствовал анализ методов управления коммерческими организациями целостностью своих бумажных ресурсов в неавтоматизированном офисе.
Введем некоторые обозначения:
D – конечное множество данных;
CDI – ограниченные элементы данных;
UDI – неограниченные элементы данных,
Причем: D = CDI

UDI, CDI

UDI=

Субъекты включены в модель как множество компонент, инициирующие процедуры преобразования (ПП) – любые ненулевые последовательности элементарных действий
(элементарное действие - переход состояния, вызывающий изменения некоторых элементов

89 данных). ПП могут быть представлены в виде функции, ставящих в соответствие субъект и элемент данных с новым элементом данных следующим образом: ПП: субъекты xD

D.
ПП – действия, которые выполняют субъекты (способные изменить определенные данные) над данными.
У данной модели, как и у других моделей, существуют свои правила. Рассмотрим их.
Правило1: в системе должны иметься процедуры утверждения целостности ( IVP
(Пример-проверка контрольной суммы) – утверждают, что данный CDI имеет надлежащий уровень целостности, утверждающие любой CDI.
Правило2: применение любого ПП к любому CDI должно сохранять целостность CDI.
Правило3: только ПП может вносить изменения в CDI.
Правило4: субъекты могут инициировать только определенные ПП над определенными CDI.
Правило5: соответствующаяполитика в отношении разделения обязанностей субъектов. Т.е. компьютерная система определяет такую политику, чтобы не позволить субъектам изменять CDI без соответствующего вовлечения других субъектов.
Правило 6: некоторые специальные ТР могут превращать UDI в CDI.
Это правило позволяет определенным ПП получать на вход UDI и после соответствующего повышения целостности выдавать на выходе CDI.
Правило 7: каждое применение CDI должно регистрироваться в специальном CDI, в который может производиться только добавление информации, достаточной для восстановления картины о процессе работы этого CDI. Т.е. применение специального регистрационного журнала.
Правило 8: система должна распознавать субъекты, пытающая инициализировать ПП.
Это правило определяет механизмы предотвращения атак, при которых один субъект пытается выдать себя за другого.
Правило 9: система должна разрешать производить изменения в списках авторизации только специальным субъектам.
Данные правила определяют как может быть проверена целостность как и кем могут изменятся CDI, и как UDI могут быть превращены вCDI. Т.е. здесь происходит отслеживание всех изменений и тех, кто пытается внести эти изменения.
Преимущество модели в том, что она основана на проверенных временем бизнес – методов обращении с бумажными ресурсами. Недостатком является трудность реализации
VIP и методов предотвращения CDI от искажения целостности.
Основным преимуществом данной модели является то, что она основана на проверенных временем бизнес методах обращения с бумажными ресурсами. Поэтому ее не следует рассматривать как академическое исследование, а скорее как комплекс существующих методов. Модель Кларка–Вилсонатакже предоставляет исследователям методы работы с целостностью, отличные от традиционных уровне - ориентированных подходов, таких как модели Белла–Лападула и Биба.
Основным недостатком модели является то, что IVP и методы предотвращения CDI от искажения целостности нелегко реализовать в реальных компьютерных системах.