Информационная безопасность. Учебное пособие вострецова елена владимировна
Скачать 3.44 Mb.
|
Организационные меры Организационные меры защиты направлены на предупреж- дение хищения или утраты носителей, а вместе с ними и инфор- мации. Организационные меры излагаются в документах, опи- сывающих режим хранения конфиденциальной информации. Организационные меры разделяются на две группы: · создание резервных копий информации, хранимой на электронных носителях; · обеспечение правильных условий хранения и эксплуата- ции носителей. Создание резервных копий Создание резервных копий информации, хранимой в ин- формационной системе, должно быть обязательной регуляр- ной процедурой, периодичность которой зависит от важности информации и технологии ее обработки, в частности от объе- ма вводимых данных, возможности повторного ввода и т. д. Для создания резервных копий могут использоваться как стандарт- ные утилиты, так и специализированные системы резервного 110 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа копирования, адаптированные к конкретной системе. В послед- нем случае можно применять собственные методы «разностно- го» архивирования, когда на вспомогательный носитель запи- сывается, а только та часть информации, которая была введена с момента последнего сохранения. В качестве вспомогательных носителей для хранения архив- ных данных выбирают, как правило, те, которые оптимальны по цене единицы хранимой информации. При ведении резервных копий необходимо регулярно прове- рять сохранность и целостность находящейся в них информации. Обеспечение правильных условий хранения и эксплуатации Обеспечение правильных условий хранения и эксплуатации определяется конкретным типом носителя. Регистрация и учет носителей производятся независимо от того, есть ли на них конфиденциальная информация или нет. Служебные носители должны иметь ясную, хорошо види- мую этикетку, на которой проставлены гриф, номер, дата реги- страции. Гриф секретности носителя может изменяться только в большую сторону, т. к. информация не может быть гаранти- рованно удалена. Учет носителей по журналу ведется в течение всей «жизни» носителя. В помещении не должно быть личных носителей. Не допускается работа с непроверенными носителя- ми. Должна проводиться систематическая комиссионная про- верка наличия носителей и информации. Хранение электронных носителей такое же, как обычных документов такого же уровня конфиденциальности. Основное требование при хранении — исключение НСД. Передача между подразделениями должна осуществляться под расписку и учи- тываться в журнале. Вынос за пределы помещения возможен только с разрешения уполномоченных лиц. Жесткий диск регистрируется с грифом, соответствующим категории компьютера, независимо от целей его использова- ния. На корпусе жесткого диска должна быть соответствующая 111 6.1. Защита целостности информации при хранении этикетка. При передаче компьютера в ремонт необходимо либо изъять жесткий диск, либо гарантированно удалить с него ин- формацию, либо присутствовать при ремонте. Копирование файлов с зарегистрированных электронных носителей допускается только на компьютерах, категория ко- торых не ниже грифа секретности носителя. Каждое копирова- ние должно учитываться в обычном или электронном журнале. Следует уделять особое внимание удалению информации с носителей. Обычные способы удаления файлов не приводят к удалению области данных, происходит стирание только на ло- гическом уровне. Кроме того, при удалении следует учесть, что в современных средствах обработки информация существует в нескольких экземплярах, под разными именами. Технологические меры Рассмотрим теперь технологические меры контроля целост- ности битовых последовательностей, хранящихся на электрон- ных носителях. Целостность информации в областях данных проверяется с помощью контрольного кода, контрольные чис- ла которого записываются после соответствующих областей, причем в контролируемую область включаются соответствую- щие маркеры. Для обеспечения контроля целостности информации чаще всего применяют циклический контрольный код. Этот метод, дающий хорошие результаты при защите от воздействия слу- чайных факторов (помех, сбоев и отказов), совсем не обладает имитостойкостью, т. е. не обеспечивает защиту от целенаправ- ленных воздействий нарушителя, приводящих к навязыванию ложных данных. Для контроля целостности можно использовать методы ими- тозащиты, основанные на криптографических преобразовани- ях. Они обеспечивают надежный контроль данных, хранящих- ся в системе, но в то же время реализуются в виде объемных программ и требуют значительных вычислительных ресурсов. 112 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа 6.2. защита целостности информации при обработке При рассмотрении вопроса целостности данных при об- работке используется интегрированный подход, основанный на ряде работ Д. Кларка и Д. Вилсона, а также их последовате- лей и оппонентов и включающий в себя девять теоретических принципов [3]: · корректность транзакций; · аутентификация пользователей; · минимизация привилегий; · разграничение функциональных обязанностей; · аудит произошедших событий; · объективный контроль; · управление передачей привилегий; · обеспечение непрерывной работоспособности; · простота использования защитных механизмов. Понятие корректности транзакций определяется следующим образом. Пользователь не должен модифицировать данные про- извольно, а только определенными способами, т. е. так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем корректных транзакций и нель- зя произвольными средствами. Кроме того, предполагается, что «корректность» каждой из таких транзакций может быть неко- торым способом доказана. Второй принцип гласит, что изменение данных может осу- ществляться только специально аутентифицированными для этой цели пользователями. Данный принцип работает совмест- но с последующими четырьмя, с которыми тесно связана его роль в общей схеме обеспечения целостности. Идея минимизации привилегий появилась еще на ранних эта- пах развития информационной безопасности в форме огра- ничения, накладываемого на возможности выполняющихся в системе процессов и подразумевающего то, что процессы 113 6.2. Защита целостности информации при обработке должны быть наделены теми и только теми привилегиями, ко- торые естественно и минимально необходимы для выполнения процессов. Принцип минимизации привилегий распространя- ется и на программы, и на пользователей. Пользователи имеют, как правило, несколько больше привилегий, чем им необхо- димо для выполнения конкретного действия в данный момент времени. А это открывает возможности для злоупотреблений. Разграничение функциональных обязанностей подразумевает организацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важ- ный, с точки зрения целостности, процесс, необходимо участие различных пользователей. Это гарантирует невозможность вы- полнения одним пользователем всего процесса целиком (или даже двух его стадий) с тем, чтобы нарушить целостность дан- ных. В обычной жизни примером воплощения данного принци- па служит передача одной половины пароля для доступа к про- грамме управления ядерным реактором первому системному администратору, а другой — второму. Аудит произошедших событий, включая возможность восста- новления полной картины происшедшего, является превентив- ной мерой в отношении потенциальных нарушителей. Принцип объективного контроля также является одним из краеугольных камней политики контроля целостности. Суть данного принципа заключается в том, что контроль целостно- сти данных имеет смысл лишь тогда, когда эти данные отража- ют реальное положение вещей. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, имеющих целью выявление возможных несоответствий между защища- емыми данными и объективной реальностью, которую они от- ражают. Управление передачей привилегий необходимо для эффектив- ной работы всей политики безопасности. Если схема назна- чения привилегий неадекватно отражает организационную структуру предприятия или не позволяет администраторам без- 114 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа опасности гибко манипулировать ею для обеспечения эффек- тивности производственной деятельности, защита становится обременительной и провоцирует попытки обойти ее. Принцип обеспечения непрерывной работы включает защи- ту от сбоев, стихийных бедствий и других форс-мажорных об- стоятельств. Простота использования защитных механизмов необходи- ма, в том числе для того, чтобы пользователи не стремились обойти их как мешающих «нормальной» работе. Кроме того, как правило, простые схемы являются более надежными. Про- стота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет так- же наиболее простым, и наоборот, самый простой — наибо- лее защищенным. 6.3. защита целостности информации при транспортировке Средства контроля целостности должны обеспечивать защи- ту от несанкционированного изменения информации наруши- телем при ее передаче по каналам связи. При транспортировке информации следует защищать как целостность, так и подлинность информации. Схема контроля целостности данных подразумевает выпол- нение двумя сторонами — источником и приемником — некото- рых (возможно, разных) криптографических преобразований данных. Источник преобразует исходные данные и передает их приемнику вместе с некоторым приложением, обеспечива- ющим избыточность шифрограммы. Приемник обрабатывает полученное сообщение, отделяет приложение от основного текста и проверяет их взаимное со- ответствие, осуществляя таким образом контроль целостности. 115 6.3. Защита целостности информации при транспортировке Контроль целостности может выполняться с восстановлением или без восстановления исходных данных. Целостность отдельного сообщения обеспечивается имитов- ставкой, ЭЦП или шифрованием, целостность потока сообще- ний — соответствующим механизмом целостности. Имитовставка Для обеспечения целостности в текст сообщения часто вво- дится некоторая дополнительная информация, которая легко вычисляется, если секретный ключ известен, и является труд- новычислимой в противном случае. Если такая информация вырабатывается и проверяется с помощью одного и того же се- кретного ключа, то ее называют имитовставкой (в зарубежных источниках используется термин код аутентификации сообще- ний — Message Authentication Code (MAC) — поскольку помимо целостности может обеспечиваться еще и аутентификация объ- екта). Имитовставкой может служить значение хэш-функции, зависящей от секретного ключа, или выходные данные алгорит- ма шифрования в режиме сцепления блоков шифра. Шифрование Целостность данных можно обеспечить и с помощью их шифрования симметричным криптографическим алгоритмом при условии, что подлежащий защите текст обладает некоторой избыточностью. Последняя необходима для того, чтобы нару- шитель, не зная ключа шифрования, не смог бы создать шиф- рограмму, которая после расшифрования успешно прошла бы проверку целостности. Избыточности можно достигнуть многими способами. В од- них случаях текст может обладать достаточной естественной из- быточностью (например, в тексте, написанном на любом языке, разные буквы и буквосочетания встречаются с разной частотой). В других можно присоединить к тексту до шифрования некото- рое контрольное значение, которое, в отличие от имитовставки 116 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа и цифровой подписи, не обязательно должно вырабатываться криптографическими алгоритмами, а может представлять собой просто последовательность заранее определенных символов. Контроль целостности потока сообщений Контроль целостности потока сообщений помогает обнаружить их повтор, задержку, переупорядочение или утрату. Предполага- ется, что целостность каждого отдельного сообщения обеспечи- вается шифрованием, имитовставкой или цифровой подписью. Для контроля целостности потока сообщений можно, например: · присвоить сообщению порядковый номер целостности; · использовать в алгоритмах шифрования сцепление с пре- дыдущим сообщением. При использовании порядкового номера целостности, кото- рый может включать в себя порядковый номер сообщения и имя источника, приемник хранит последний номер принятого сооб- щения каждого источника. Для контроля целостности прием- ник проверяет, например, что порядковый номер целостности текущего сообщения от данного источника на единицу больше номера предыдущего сообщения. Если в качестве порядкового номера целостности используется время отправки сообщения, то проверяется, действительно ли время отправки и время при- ема близки друг к другу с точностью до задержки сообщения в канале связи и разности хода часов источника и приемника. Электронная подпись Термин «электронная подпись» (ЭЦП) используется для мето- дов, позволяющих устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообще- ния. ЭЦП применяется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, си- стемы контроля за соблюдением международных договоров и др.). Концепцию цифровой подписи для аутентификации инфор- мации предложили Диффи и Хеллман в 1976 г. Она заключа- 117 6.4. Защита от угрозы нарушения целостности информации на уровне содержания ется в том, что каждый абонент сети имеет личный секретный ключ, на котором он формирует подпись и известную всем дру- гим абонентам сети проверочную комбинацию, необходимую для проверки подписи (эту проверочную комбинацию иногда называют открытым ключом). Цифровая подпись вычисляет- ся на основе сообщения и секретного ключа отправителя. Лю- бой получатель, имеющий соответствующую проверочную ком- бинацию, может аутентифицировать сообщение по подписи. ЭЦП в цифровых документах играет ту же роль, что и под- пись, поставленная от руки в документах, которые напечатаны на бумаге: это данные, присоединяемые к передаваемому со- общению и подтверждающие, что отправитель (владелец под- писи) составил или заверил данное сообщение. Получатель сообщения или третья сторона с помощью цифровой подпи- си может проверить, что автором сообщения является именно владелец подписи (т. е. аутентифицировать источник данных) и что в процессе передачи не была нарушена целостность по- лученных данных. Если пользователь ведет себя грамотно, с точки зрения со- блюдения норм секретности (хранение секретных ключей под- писи, работа с «чистым» программным продуктом, осуществля- ющим функции подписи), и тем самым исключает возможность похищения ключей или несанкционированного изменения дан- ных и программ, то стойкость системы подписи определяется исключительно криптографическими качествами. 6.4. защита от угрозы нарушения целостности информации на уровне содержания Защита от угрозы нарушения целостности информации на уровне содержания в обычной практике рассматривается как защита от дезинформации. Пусть у злоумышленника нет возмож- 118 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа ности воздействовать на отдельные компоненты системы, нахо- дящиеся в пределах контролируемой зоны, но, если источники поступающей в нее информации находятся вне системы, всег- да остается возможность взять их под контроль. При намерен- ной дезинформации применяют как заведомую ложь, так и по- луправду, создающие искаженное представление о событиях. Наиболее распространенные приемы дезинформации [3]: · прямое сокрытие фактов; · тенденциозный подбор данных; · нарушение логических и временных связей между собы- тиями; · подача правды в таком контексте (добавлением ложного факта или намека), чтобы она воспринималась как ложь; · изложение важнейших данных на ярком фоне отвлекаю- щих внимание сведений; · смешивание разнородных мнений и фактов; · изложение данных словами, которые можно истолковы- вать по-разному; · отсутствие упоминания ключевых деталей факта. В процессе сбора и получения информации могут возник- нуть искажения. Основные причины искажений информации: · передача только части сообщения; · интерпретация услышанного в соответствии со своими знаниями и представлениями; · пропуск фактуры через призму субъективно-личностных отношений. Для успешности борьбы с вероятной дезинформацией следует: · различать факты и мнения; · применять дублирующие каналы информации; · исключать все лишние промежуточные звенья и т. п. 119 6.5. Построение систем защиты от угрозы отказа доступа к информации В информационных системах необходимо предусматривать наличие подсистем, проводящих первичный смысловой ана- лиз и в определенной степени контролирующих работу опе- ратора. Наличие подобных подсистем позволяет защитить ин- формацию не только от случайных, но и от преднамеренных ошибок. 6.5. построение систем защиты от угрозы отказа доступа к информации Поскольку одной из основных задач информационной си- стемы является своевременное обеспечение пользователей системы необходимой информацией (сведениями, данными, управляющими воздействиями и т. п.), то угроза отказа досту- па к информации может еще рассматриваться как угроза отка- за в обслуживании или угроза отказа функционирования. Угро- за отказа функционирования информационной системы может быть вызвана: · целенаправленными действиями злоумышленников; · ошибками в программном обеспечении; · отказом аппаратуры. Часто невозможно бывает разделить причины отказа. В свя- зи с этим вводят понятие надежности. Надежность — свойство объекта сохранять во времени зна- чения всех параметров, характеризующих способность вы- полнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, ремонта, хранения и транспортировки. Для оценки надежности функционирования информацион- ной системы не важно, вызваны ли отказы действиями злоу- мышленника или связаны с ошибками разработки, важно, как и в каком объеме произойдет их парирование. 120 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа Целесообразно проводить отдельно оценку надежности ап- паратуры и программного обеспечения, так как подход к опре- делению надежности здесь различен. Оценка надежности оборудования основана на следующем подходе. Элементная надежность любого устройства или системы в целом оценивается как произведение вероятности безотказ- ной работы Р ў(t)на коэффициент готовности К r : P 0 (t) = P ў(t)K r . Если надежность выступает в качестве одной из мер эффек- тивности системы, то оптимальным ее значением является та- кое, при котором стоимость эксплуатации является минималь- ной. Оптимальное значение показателя надежности может быть оценено графически (рис. 6.1). S P Рис. 6.1. Зависимость затрат от надежности: S э — эксплуатационные затраты; S р — затраты на разработку В некоторых случаях решается задача достижения макси- мальной надежности при фиксированных затратах или других закрепленных условиях. Для определения надежности существуют как теоретиче- ские методы расчета, так и рабочие методики. Именно на осно- ве таких расчетов вырабатываются практические мероприятия 121 6.5. Построение систем защиты от угрозы отказа доступа к информации по повышению надежности работы как отдельных элементов, так и систем в целом. На начальной стадии проектирования чаще всего исполь- зуются рабочие методики, основанные на простых моделях, или элементарные методики расчета надежности, исходящие из предположения о самостоятельности отдельных элементов. В теоретических методах расчета надежности наиболее широ- кое распространение получили методики расчета по элемен- там. При этом функциональные зависимости и параметры, ха- рактеризующие надежность работы отдельного элемента, могут быть выражены следующими формулами: частота отказов f (t) = dq(t)/dt = — dP(t)/dt; интенсивность отказов l( ) ( ) ( ) ( ) ( ) ; t P t dq t dt P t dP t dt = = - 1 1 среднее время безотказной работы t t f t dt cp = Ч Ґ т ( ) 0 , где Р —вероятность безотказной работы элемента; q —вероят- ность отказа элемента. Эти формулы применимы к системам с любым числом эле- ментов и произвольным их отношением. Вероятность безотказной работы системы является функци- ей вероятностей безотказной работы входящих в систему эле- ментов P с = f 1 [P 1 (t), P 2 (t), … , P n (t)]. Взаимосвязь функций для отдельных элементов может быть разной. В частности, вероятность безотказной работы или функ- ция надежности системы, состоящей из п произвольно соеди- ненных элементов, может быть выражена в виде полинома 122 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа P a P i i i k c = = е 1 В случае независимого влияния отдельных элементов на ра- ботоспособность установки, если отказ каждого из элементов приводит к отказу всей системы, схема структурных надежных отношений представляется в виде последовательного соедине- ния элементов. В этом случае вероятность безотказной работы системы определяется произведением вероятностей безотказ- ной работы элементов P t P t i i n c ( ) ( ) = = Х 1 Если же элементы влияют друг на друга, то схема структур- ных надежных отношений будет параллельной или смешанной. Если отказ элемента не приводит к отказу системы, то в схеме структурных надежных отношений этот элемент включается па- раллельно, а при вычислении надежности системы перемножа- ются вероятности отказов параллельных элементов и получен- ное произведение вычитается из единицы: P t P t j j n c ( ) ( ( )) = - - = Х 1 1 1 Надежность работы элементов не всегда удобно характери- зовать вероятностью безотказной работы, так как для малых пе- риодов времени работы элементов значения Р i (t)будут близки- ми к единице. В этом случае лучше использовать интенсивность отказов, которая характеризует плотность вероятности появле- ния отказа отдельно взятого элемента. Она определяется ко- личеством отказов п i в единицу времени Dt, отнесенных к ко- личеству исправно работающих в данный момент однотипных элементов N, то есть l = n N t i D 123 6.5. Построение систем защиты от угрозы отказа доступа к информации Вероятность безотказной работы связана с интенсивностью отказов следующим соотношением: P t t dt ( ) exp( ( ) ). = - Ґ т l 0 Функция l(t) имеет вид, изображенный на рис. 6.2. t λ Рис. 6.2. Изменение интенсивности отказов системы в течение срока службы Первый участок повышенной интенсивности отказов ха- рактеризует период, отказы в котором возникают главным об- разом в результате скрытых неисправностей, допущенных при проектировании, нарушении технологии изготовления систе- мы или связанных с трудностями освоения эксплуатации. Наи- более длительное время система эксплуатируется в нормаль- ных условиях (участок II). Именно этот период работы системы принимается во внимание при расчете надежности в процес- се проектирования. Участок III характеризует период увели- чения интенсивности отказов вследствие износа оборудова- ния и его старения. Анализ работы многочисленных технических устройств по- казал: чем они проще, тем более надежны. При обеспечении защиты информационной системы от угро- зы отказа функционирования обычно считается, что надежность аппаратных компонентов достаточно высока и данной состав- 124 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа ляющей в общей надежности можно пренебречь. Это связано с тем, что темпы морального старения вычислительной техники значительно опережают темпы ее физического старения и за- мена вычислительной техники, как правило, происходит до ее выхода из строя. Таким образом, на надежность функционирования инфор- мационной системы во многом влияет надежность функциони- рования программного обеспечения, входящего в ее состав. Несмотря на явное сходство в определениях надежности для аппаратных средств и программного обеспечения, фактически последнее имеет принципиальные отличия: · программа в большинстве случаев не может отказать слу- чайно; · ошибки в программном обеспечении, допущенные при его создании, зависят от технологии разработки, органи- зации работ и квалификации исполнителей; · ошибки не являются функцией времени; · причиной отказов является набор входных данных, сло- жившихся к моменту отказа. Существует два основных подхода к обеспечению защиты программного обеспечения от угрозы отказа функционирова- ния [3]: · обеспечение отказоустойчивости программного обе- спечения; · предотвращение неисправностей. Отказоустойчивость предусматривает, что оставшиеся ошиб- ки программного обеспечения обнаруживаются во время вы- полнения программы и парируются за счет использования программной, информационной и временной избыточности. Предотвращение неисправностей связано с анализом природы ошибок, возникающих на разных фазах создания программно- го обеспечения, и причин их возникновения. 125 6.6. Защита семантического анализа и актуальности информации 6.6. защита семантического анализа и актуальности информации На уровне представления информации защиту от угрозы от- каза доступа к информации (защиту семантического уровня) можно рассматривать как противодействие сопоставлению ис- пользуемым синтаксическим конструкциям (словам некоторо- го алфавита, символам и т. п.) определенного смыслового со- держания. В большей степени эта задача относится к области лингвистики, рассматривающей изменение значения слов с те- чением времени, переводу с иностранного языка и другим ана- логичным научным и прикладным областям знаний. Применительно к информационным системам защита со- держания информации от угрозы блокировки доступа (отказа функционирования) означает юридическую обоснованность обработки и использования информации. ВыВОды · Эффективность методов контроля целостности определя- ется в основном xapaктеристиками используемых крип- тографических средств шифрования — цифровой подпи- си, хэш-функций. · Вопросы обеспечения своевременного беспрепятствен- ного доступа к информации приобретают все большее значение с развитием распределенных систем обработки. Усложнение топологии систем, применяемого оборудова- ния и используемого программного обеспечения, а также задача сопряжения всех элементов требуют повышенно- го внимания к обеспечению работоспособности системы и доступности циркулирующей в ней информации. · Отдельное направление защиты — обеспечение секрет- ности параметров информационной системы, в которой циркулирует конфиденциальная информация. Методы 126 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа защиты параметров такой системы аналогичны общим методам, применяемым для защиты конфиденциально- сти информации. Вопросы для самоконтроля 1. Каковы способы контроля целостности потока сообщений? 2. Какие существуют способы контроля целостности сооб- щений при взаимном доверии сторон? 3. Как контролировать целостность сообщений при высо- ком уровне помех в каналах связи? 4. Как организован обмен документами, заверенными циф- ровой подписью? 5. В чем отличие и сходство обычной и цифровой подписей? 6. Какими принципами нужно руководствоваться для со- хранения целостности данных при их обработке? 7. Почему проблемы контроля целостности данных отно- сятся к проблемам информационной безопасности? 8. Что означает контроль целостности данных на уровне содержания? Приведите примеры. 9. Как обеспечить целостность данных при их хранении? 10. Что такое надежность и чем отличается надежность ап- паратуры от надежности программного обеспечения? 11. Следует ли различать защиту от случайных угроз и от дей- ствий злоумышленника при обеспечении беспрепятствен- ного доступа к информации? Обоснуйте свой ответ. 12. Как защитить программное обеспечение от изучения ло- гики его работы? 13. Предложите меры по обеспечению более надежной ра- боты ЛВС университета. 14. Как изменяется надежность аппаратуры с течением вре- мени? 15. Каковы способы повышения надежности аппаратуры и линий связи? 127 7. политика и модели безопасности Политика безопасности Субъектно-объектные модели разграни- чения доступа Аксиомы политики безопасности Политика и мо- дели дискреционного доступа Парольные системы разграничения доступа Политика и модели мандатного доступа Теоретико-ин- формационные модели Политика и модели тематического разгра- ничения доступа Ролевая модель безопасности 7.1. политика безопасности Т ехнология защиты информационных систем начала развиваться относительно недавно, но уже сегодня существует значительное число теоретических моде- лей, позволяющих описывать различные аспекты безопасно- сти и обеспечивать средства защиты с формальной стороны. Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопас- ности системы. Формальное выражение политики безопасно- сти называют моделью безопасности. Основная цель создания политики безопасности — это опре- деление условий, которым должно подчиняться поведение си- стемы, выработка критерия безопасности и проведение фор- мального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. Кроме того, модели безопасности позволяют решить еще це- лый ряд задач, возникающих в ходе проектирования, разработ- ки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и дру- гие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем. 128 7. Политика и модели безопасности Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач [7]: · выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реали- зации средств и методов защиты информации; · подтверждение свойства защищенности разрабатывае- мых систем путем формального доказательства соблюде- ния политики безопасности; · составление формальной спецификации политики без- опасности как важнейшей составной части организаци- онного и документационного обеспечения разрабатыва- емых защищенных систем. Производители защищенных информационных систем ис- пользуют модели безопасности в следующих случаях: · при составлении формальной спецификации политики безопасности разрабатываемой системы; · при выборе и обосновании базовых принципов архитек- туры защищенной системы, определяющих механизмы реализации средств защиты; · в процессе анализа безопасности системы, при этом мо- дель используется в качестве эталонной модели; · при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения полити- ки безопасности. Потребители путем составления формальных моделей без- опасности получают возможность довести до сведения произ- водителей свои требования, а также оценить соответствие за- щищенных систем своим потребностям. Эксперты в ходе анализа адекватности реализации полити- ки безопасности в защищенных системах используют модели безопасности в качестве эталонов. По сути, модели безопасности являются связующим эле- ментом между производителями, потребителями и экспертами. 129 7.2. Субъектно-объектные модели разграничения доступа 7.2. субъектно-объектные модели разграничения доступа Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одно- го из наиболее известных отечественных исследователей те- оретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концепту- ального подхода к информационной безопасности. В. А. Гера- сименко представил общую модель процессов защиты инфор- мации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения до- ступа к ресурсам. Разграничение доступа к информации — разделение инфор- мации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользовате- лей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей. Разграничение доступа непосредственно обеспечивает кон- фиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграниче- ние доступа можно рассматривать среди других методов обе- спечения информационной безопасности как комплексный программно-технический метод защиты информации. Раз- граничение доступа является также необходимым условием обеспечения информационной безопасности. Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объ- ектов доступа. Рассмотрим основные положения наиболее распространен- ных политик безопасности, основанных на контроле досту- па субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются 130 7. Политика и модели безопасности безопасными, а другие — нет [7]. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях: 1. В системе действует дискретное время. 2. В каждый фиксированный момент времени система пред- ставляет собой конечное множество элементов, разделяемых на два подмножества: · подмножество субъектов доступа S; · подмножество объектов доступа О. Субъект доступа — активная сущность, которая может изме- нять состояние системы через порождение процессов над объ- ектами, в том числе порождать новые объекты и инициализи- ровать порождение новых субъектов. Объект доступа — пассивная сущность, процессы над кото- рой могут в определенных случаях быть источником порожде- ния новых субъектов. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управле- ния доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют полити- ку безопасности. Общим подходом для всех моделей являет- ся именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами опре- деления понятий «объект» и «субъект» в разных моделях мо- гут различаться. В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, пред- полагается также, что в любой момент времени t k , в том числе и в начальный, множество субъектов доступа не пусто. 3. Пользователи представлены одним или некоторой сово- купностью субъектов доступа, действующих от имени конкрет- ного пользователя. Пользователь — лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколь- кими субъектами, воспринимающий объекты и получающий 131 7.2. Субъектно-объектные модели разграничения доступа информацию о состоянии системы через субъекты, которыми он управляет. Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Пред- полагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не со- ответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Од- нако подобная идеализация позволяет построить четкую схе- му процессов и механизмов доступа. 4. Субъекты могут быть порождены из объектов только ак- тивной сущностью (другим субъектом). Объект о i называется источником для субъекта s m , если су- ществует субъект s j , в результате воздействия которого на объ- ект о i возникает субъект s m . Cубъект s j является активизирую- щим для субъекта s m Для описания процессов порождения субъектов доступа вво- дится следующая команда: Create (s j , o i )® s m — из объекта о i порожден субъект s m , при активизирующем воздействии субъекта s j . Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздей- ствием активизирующего субъекта в момент времени t k новый субъект порождается в момент времени t k+ 1 Результат операции Create зависит как от свойств активизи- рующего субъекта, так и от свойств объекта-источника. Активная сущность субъектов доступа заключается в их спо- собности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации. 5. Все взаимодействия в системе моделируются установле- нием отношений определенного типа между субъектами и объ- ектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами. 132 7. Политика и модели безопасности 6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации. Потоком информации между объектом о i и объектом о j на- зывается произвольная операция над объектом о j , реализуемая в субъекте s m и зависящая от объекта о i Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д. Объекты, участвующие в потоке, могут быть как источника- ми, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объ- ектами, а не между субъектом и объектом. Доступом субъекта s m к объекту о j называется порождение субъектом s m потока информации между объектом о j и некото- рым объектом о i Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосред- ственно к описанию процессов безопасности информации в за- щищенных системах. С этой целью вводится множество пото- ков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (мно- жество Р является объединением потоков по всем моментам времени функционирования системы). Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р. 7. Политика безопасности задается в виде правил, в соответ- ствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены. 8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с пра- вилами политики безопасности. 133 7.3. Аксиомы политики безопасности 9. Совокупность множеств субъектов, объектов и отноше- ний между ними (установившихся взаимодействий) опреде- ляет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предло- женным в модели критерием безопасности. 10. Основной элемент модели безопасности — это доказа- тельство утверждения (теоремы) о том, что система, находяща- яся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и огра- ничений. 7.3. аксиомы политики безопасности Анализ опыта защиты информации, а также основных по- ложений субъектно-объектной модели позволяет сформулиро- вать несколько аксиом, касающихся построения политик без- опасности [10]. |