ОИБ. основы информ. безопасности. Учебное пособие Томск

65

при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности.
Потребители путем составления формальных моделей безопасности получают возможности довести до сведения производителей свои требования в четко определѐнной и непротиворечивой форме, а также оценить соответствие защищенных систем своим потребностям. Эксперты по квалификации в ходе анализа адекватности реализа ции политики безопасности в защищенных системах используют модели безопасности в качестве эталонов.
Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:
1.
Система является совокупностью взаимодействующих сущностей — субъектов и объектов. Безопасность обработки информации и обеспечивается путем решения задачи управления доступом субъектов к объектамвсоответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности.
2.
Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.
3.
-
Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.
4. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
5. Совокупность множеств субъектов, объектов и отношений между ними
(установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопаснымв соответствии с предложенным в модели критерием безопасности.
6. Основной элемент модели безопасности — это доказательство утверждения
(теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

66
4.1.
Классификация математических моделей информационной
безопасности по основным видам угроз
Рис. 4.1. – Классификация моделей информационной безопасности
1. Модель невыводимости
2.
Модель невмешательства
Защита от угрозы
Защита от угрозы раскрытия
Модели разграничения доступа по принципу предоставления прав
Вероятностные модели
Информационные модели
Модели дискреционного
(дискретного) доступа
Модели мандатного доступа
Ролевая модель доступа
Защита от угрозы целостности
Защита от угрозы отказа служб
1. Матрица доступов
2. Модель Харрисона – Руззо – Ульмана
3. Модель Take – Grant
4. Модель АДЕПТ – 50 5. Модель Харстона
1. Игровая модель
2. Модель с полным перекрытием
1. Модель Белла - ЛаПадула
1. Модель Биба
2.
Модель Кларка - Вилсона
1. Мандатная модель
2.
Модедь Миллена распределения ресурсов

67
4.2. Модели разграничения доступа (защита от угрозы раскрытия информации)
4.2.1. Описание системы защиты с помощью матрицы доступа
Пусть О - множество объектов, S - множество субъектов, S

O. Пусть U={U
1
,...,U
m
} - множество пользователей. Определим отображение: own: 0U.
В соответствии с этим отображением каждый объект объявляется собственностью соответствующего пользователя. Пользователь, являющийся собственником объекта, имеет все права доступа к нему, а иногда и право передавать часть или все права другим пользователям. Кроме того, собственник объекта определяет права доступа других субъектов к этому объекту, то есть политику безопасности в отношении этого объекта. Указанные права доступа записываются в виде матрицы доступа, элементы которой - суть подмножества множества R, определяющие доступы субъекта S, к объекту 0
i
(i = 1,
2,...,; j = 1, 2,... ).
Рис. 4.2. Матрица доступов
Существует несколько вариантов задания матрицы доступа.
1. Листы возможностей: Для каждого субъекта S
i создается лист (файл) всех объектов, к которому имеет доступ данный объект.
2. Листы контроля доступа: для каждого объекта создается список всех субъектов, имеющих право доступа к этому объекту.
Дискреционная политика связана с исходной моделью таким образом, что траектории процессов в вычислительной системе ограничиваются в каждом доступе. Причем вершины каждого графа разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий N для рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые в свою очередь определяются запретами на некоторые дуги. Дискреционная политика наиболее исследована. Существует множество разновидностей этой политики.
Однако многих проблем защиты эта политика решить не может. Одна из самых существенных слабостей этого класса политик - то, что они не выдерживают атак при помощи «троянского коня». Это означает, в частности, что система защиты, реализующая дискреционную политику, плохо защищает от проникновения вирусов в систему и других средств скрытого разрушающего воздействия. Покажем на примере принцип атаки "Троянским конем" в случае дискреционной политики.
Пример 1: Пусть U
1
- некоторый пользователь, а U
2
- пользователь-злоумышленник, О
1
- объект, содержащий ценную информацию, O
2
- программа с «троянским конем» Т, и М - матрица доступа, которая имеет вид:

68
Рис. 4.3.
Проникновение программы происходит следующим образом. Злоумышленник U
2
создает программу О
2
и, являясь ее собственником, дает U
1
запускать ее и писать в объект О
2
информацию. После этого он инициирует каким-то образом, чтобы U
1
запустил эту программу (например, О
2
- представляет интересную компьютерную игру, которую он предлагает U
1
для развлечения). U
1
запускает О
2
и тем самым запускает скрытую программу
Т, которая обладая правами U
1
(т.к.была запущена пользователем U
1
), списывает в себя информацию, содержащуюся в О
1
. После этого хозяин U
2
объекта О
2
, пользуясь всеми правами, имеет возможность считать из O
2
ценную информацию объекта О
1
Следующая проблема дискреционной политики -это автоматическое определение прав.
Так как объектов много, то задать заранее вручную перечень прав каждого субъекта на доступ к объекту невозможно. Поэтому матрица доступа различными способами агрегируется, например, оставляются в качестве субъектов только пользователи, а в соответствующую ячейку матрицы вставляются формулы функций, вычисление которых определяет права доступа субъекта, порожденного пользователем, к объекту О. Разумеется, эти функции могут изменяться во времени. В частности, возможно изъятие прав после выполнения некоторого события. Возможны модификации, зависящие от других параметров.
Одна из важнейших проблем при использовании дискреционной политики - это проблема контроля распространения прав доступа. Чаще всего бывает, что владелец файла передает содержание файла другому пользователю и тот, тем самым, приобретает права собственника на информацию. Таким образом, права могут распространяться, и даже, если исходный владелец не хотел передавать доступ некоторому субъекту S к своей информации в
О, то после нескольких шагов передача прав может состояться независимо от его воли.
Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ. Эта задача исследовалась в модели "take-grant", когда форма передачи или взятия прав определяются в виде специального права доступа (вместо own).
4.2.2. Дискреционная модель «Хиррисона–Руззо-Ульмана»
Модель безопасности
Харрисона-Руззо-Ульмана, являющаяся классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.
В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей — субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей — объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R = {г
1р
.... г п
}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).
Поведение системы моделируется с помощью понятия состояния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав — OxSxR. Текущее состояние системы Q в этом пространстве

69 определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа М, описывающей текущие права доступа субъектов к объектам, — Q=(S,O,M).
Строки матрицы соответствуют субъектам, а столбцы — объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы М[s,о] содержит набор прав субъекта s к объекту о, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу М с помощью команд.
В классической модели допустимы только следующие элементарные операции: enter г into M[s,o] (добавление субъекту s права г для объекта о) delete г from M[s,o] (удаление у субъекта s права г для объекта о) create subject s (создание нового субъекта s) create object о (создание нового объекта о) destroy subject s (удаление существующего субъекта S) destroy object о (удаление существующего объекта о)
Применение любой элементарной операции ор в системе, находящейся в состоянии
Q=(S,O,M) влечет за собой переход в другое состояние Q'=(S',O',M
I
), которое отличается от предыдущего состояния Q по крайней мере одним компонентом.
Операция enter вводит право г в существующую ячейку матрицы доступа.
Содержимое каждой ячейки рассматривается как множество, т.е. если это право уже имеется, то ячейка не изменяется. Операция называется enter монотонной, поскольку она только добавляет права в матрицу доступа и ничего не удаляет. Действие операции delete
противоположно действию операции enter. Она удаляет право из ячейки матрицы доступа, если оно там присутствует. Поскольку содержимое каждой ячейки рассматривается как множество, delete не делает ничего, если удаляемое право отсутствует в указанной ячейке.
Поскольку delete удаляет информацию из матрицы доступа, она назьшается немонотонной операцией. Операции create subject и destroy subject представляют собой аналогичную пару монотонной и немонотонной операции.
Заметим, что для каждой операции существует еще и предусловие ее выполнения: для того чтобы изменить ячейку матрицы доступа с помощью операций enter пли delete
необходимо, чтобы эта ячейка существовала, т. е. чтобы существовали соответствующие субъект и объект. Предусловиями операций создания create subject/object, является отсутствие создаваемого субъекта/объекта, операций удаления destroy subject/object — наличие субъекта/объекта. Если предусловие любой операции не выполнено, то ее выполнение безрезультатно.
Формальное описание системы

(Q,R,C) состоит из следующих элементов:

конечный набор прав доступа R = {r
1
, ..., r n
};

конечные наборы исходных субъектов So
=
{s
1
, .... s i
} и объектов О
0
={o
1
, ..., о m
}, где So

О
0
;

исходная матрица доступа, содержащая права доступа субъектов к объектам —
М
о
;

конечный набор команд O{aj(x
1
, x k
)}, каждая из которых состоит из условий выполнения и интерпретации в терминах перечисленных элементарных операций.
Поведение системы во времени моделируется с помощью последовательности состояний {Qj}, в которой каждое последующее состояние является результатом применения некоторой команды из множества С к предыдущему Q
n+1
= С
n
(Q
n
).Каждое состояние определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа, для заданного начального

70 состояния системы должна существовать возможность определить множество состояний, в которые она сможет из него попасть. Это позволит задавать такие начальные условия
(интерпретацию команд С, множества объектов Оо, субъектов So и матрицу доступа М
о
), при которых система никогда не сможет попасть в состояния, не желательные с точки зрения безопасности. Следовательно, для построения системы с предсказуемым поведением необходимо для заданных начальных условий получить ответ на вопрос: сможет ли некоторый субъект s когда-либо приобрести право доступа r для некоторого объекта о?
Критерий безопасности модели
Харрисона–Руззо-Ульмана формулируется следующим образом:
Для заданной системы начальное состояние Qo = (So,Oo,Mo) является безопасным
относительно права r, если не существует применимой к Qo последовательности команд,
в результате которой право r будет занесено в ячейку матрицы М, в которой оно
отсутствовало в состоянии Q
0
.
Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект никогда не получит право г доступа к объекту, если он не имел его изначально.
Из критерия безопасности следует, что для данной модели ключевую роль играет выбор значений прав доступа и их использование в условиях команд. Хотя модель не налагает никаких ограничений на смысл прав и считает их равнозначными, те из них, которые участвуют в условиях выполнения команд, фактически представляют собой не права доступа к объектам (как, например, чтение и запись), а права управления доступом, или права на осуществление модификации ячеек матрицы доступа. Таким образом, по сути дела данная модель описывает не только доступ субъектов к объектам, а распространение прав доступа от субъекта к субъекту, поскольку именно изменение содержания ячеек матрицы доступа определяет возможность выполнения команд, в том числе команд, мо- дифицирующих саму матрицу доступа, которые потенциально могут привести к нарушению критерия безопасности.
Необходимо отметить, что с точки зрения практики построения защищенных систем модель Харрисона – Руззо - Ульмана является наиболее простой в реализаций и эффективной в управлении, поскольку не требует никаких сложных алгоритмов, и позволяет управлять полномочиями пользователей с точностью до операции над объектом, чем и объясняется ее распространенность среди современных систем. Кроме того, предложенный в данной модели критерий безопасности является весьма сильным в практическом плане, поскольку позволяет гарантировать недоступность определенной информации для пользователей, которым изначально не выданы соответствующие полномочия.
Однако, Харрисон, Руззо и Ульман доказали, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния Qo =
(So,0 0,
M
0
) и общего права r решить, является ли данная конфигурация безопасной.
Доказательство опирается на свойства машины Тьюринга, с помощью которой моделируется последовательность переходов системы из состояния в состояние.
Как уже было сказано, все дискреционные модели уязвимы по отношению к атаке с помощью «троянского коня», поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому, когда "троянская" программа, которую нарушитель подсунул некоторому пользователю, переносит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, то формально никакое правило дискреционной политики безопасности не нарушается, но утечка информации происходит.
Таким образом, дискреционная модель Харрисона – Руззо - Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распространением прав во всех современных системах.

71