Информационная безопасность. Учебное пособие вострецова елена владимировна

110 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа копирования, адаптированные к конкретной системе. В послед- нем случае можно применять собственные методы «разностно- го» архивирования, когда на вспомогательный носитель запи- сывается, а только та часть информации, которая была введена с момента последнего сохранения.
В качестве вспомогательных носителей для хранения архив- ных данных выбирают, как правило, те, которые оптимальны по цене единицы хранимой информации.
При ведении резервных копий необходимо регулярно прове- рять сохранность и целостность находящейся в них информации.
Обеспечение правильных условий хранения и эксплуатации
Обеспечение правильных условий хранения и эксплуатации определяется конкретным типом носителя.
Регистрация и учет носителей производятся независимо от того, есть ли на них конфиденциальная информация или нет. Служебные носители должны иметь ясную, хорошо види- мую этикетку, на которой проставлены гриф, номер, дата реги- страции. Гриф секретности носителя может изменяться только в большую сторону, т. к. информация не может быть гаранти- рованно удалена. Учет носителей по журналу ведется в течение всей «жизни» носителя. В помещении не должно быть личных носителей. Не допускается работа с непроверенными носителя- ми. Должна проводиться систематическая комиссионная про- верка наличия носителей и информации.
Хранение электронных носителей такое же, как обычных документов такого же уровня конфиденциальности. Основное требование при хранении — исключение НСД. Передача между подразделениями должна осуществляться под расписку и учи- тываться в журнале. Вынос за пределы помещения возможен только с разрешения уполномоченных лиц.
Жесткий диск регистрируется с грифом, соответствующим категории компьютера, независимо от целей его использова- ния. На корпусе жесткого диска должна быть соответствующая

111 6.1. Защита целостности информации при хранении этикетка. При передаче компьютера в ремонт необходимо либо изъять жесткий диск, либо гарантированно удалить с него ин- формацию, либо присутствовать при ремонте.
Копирование файлов с зарегистрированных электронных носителей допускается только на компьютерах, категория ко- торых не ниже грифа секретности носителя. Каждое копирова- ние должно учитываться в обычном или электронном журнале.
Следует уделять особое внимание удалению информации с носителей. Обычные способы удаления файлов не приводят к удалению области данных, происходит стирание только на ло- гическом уровне. Кроме того, при удалении следует учесть, что в современных средствах обработки информация существует в нескольких экземплярах, под разными именами.
Технологические меры
Рассмотрим теперь технологические меры контроля целост- ности битовых последовательностей, хранящихся на электрон- ных носителях. Целостность информации в областях данных проверяется с помощью контрольного кода, контрольные чис- ла которого записываются после соответствующих областей, причем в контролируемую область включаются соответствую- щие маркеры.
Для обеспечения контроля целостности информации чаще всего применяют циклический контрольный код. Этот метод, дающий хорошие результаты при защите от воздействия слу- чайных факторов (помех, сбоев и отказов), совсем не обладает имитостойкостью, т. е. не обеспечивает защиту от целенаправ- ленных воздействий нарушителя, приводящих к навязыванию ложных данных.
Для контроля целостности можно использовать методы ими- тозащиты, основанные на криптографических преобразовани- ях. Они обеспечивают надежный контроль данных, хранящих- ся в системе, но в то же время реализуются в виде объемных программ и требуют значительных вычислительных ресурсов.

112 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа
6.2. защита целостности информации при обработке
При рассмотрении вопроса целостности данных при об- работке используется интегрированный подход, основанный на ряде работ Д. Кларка и Д. Вилсона, а также их последовате- лей и оппонентов и включающий в себя девять теоретических принципов [3]:
· корректность транзакций;
· аутентификация пользователей;
· минимизация привилегий;
· разграничение функциональных обязанностей;
· аудит произошедших событий;
· объективный контроль;
· управление передачей привилегий;
· обеспечение непрерывной работоспособности;
· простота использования защитных механизмов.
Понятие корректности транзакций определяется следующим образом. Пользователь не должен модифицировать данные про- извольно, а только определенными способами, т. е. так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем корректных транзакций и нель- зя произвольными средствами. Кроме того, предполагается, что
«корректность» каждой из таких транзакций может быть неко- торым способом доказана.
Второй принцип гласит, что изменение данных может осу- ществляться только специально аутентифицированными для этой цели пользователями. Данный принцип работает совмест- но с последующими четырьмя, с которыми тесно связана его роль в общей схеме обеспечения целостности.
Идея минимизации привилегий появилась еще на ранних эта- пах развития информационной безопасности в форме огра- ничения, накладываемого на возможности выполняющихся в системе процессов и подразумевающего то, что процессы

113 6.2. Защита целостности информации при обработке должны быть наделены теми и только теми привилегиями, ко- торые естественно и минимально необходимы для выполнения процессов. Принцип минимизации привилегий распространя- ется и на программы, и на пользователей. Пользователи имеют, как правило, несколько больше привилегий, чем им необхо- димо для выполнения конкретного действия в данный момент времени. А это открывает возможности для злоупотреблений.
Разграничение функциональных обязанностей
подразумевает организацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важ- ный, с точки зрения целостности, процесс, необходимо участие различных пользователей. Это гарантирует невозможность вы- полнения одним пользователем всего процесса целиком (или даже двух его стадий) с тем, чтобы нарушить целостность дан- ных. В обычной жизни примером воплощения данного принци- па служит передача одной половины пароля для доступа к про- грамме управления ядерным реактором первому системному администратору, а другой — второму.
Аудит
произошедших событий, включая возможность восста- новления полной картины происшедшего, является превентив- ной мерой в отношении потенциальных нарушителей.
Принцип объективного контроля также является одним из краеугольных камней политики контроля целостности. Суть данного принципа заключается в том, что контроль целостно- сти данных имеет смысл лишь тогда, когда эти данные отража- ют реальное положение вещей. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, имеющих целью выявление возможных несоответствий между защища- емыми данными и объективной реальностью, которую они от- ражают.
Управление передачей привилегий
необходимо для эффектив- ной работы всей политики безопасности. Если схема назна- чения привилегий неадекватно отражает организационную структуру предприятия или не позволяет администраторам без-

114 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа опасности гибко манипулировать ею для обеспечения эффек- тивности производственной деятельности, защита становится обременительной и провоцирует попытки обойти ее.
Принцип обеспечения непрерывной работы включает защи- ту от сбоев, стихийных бедствий и других форс-мажорных об- стоятельств.
Простота использования защитных механизмов
необходи- ма, в том числе для того, чтобы пользователи не стремились обойти их как мешающих «нормальной» работе. Кроме того, как правило, простые схемы являются более надежными. Про- стота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет так- же наиболее простым, и наоборот, самый простой — наибо- лее защищенным.
6.3. защита целостности информации при транспортировке
Средства контроля целостности должны обеспечивать защи- ту от несанкционированного изменения информации наруши- телем при ее передаче по каналам связи.
При транспортировке информации следует защищать как целостность, так и подлинность информации.
Схема контроля целостности данных подразумевает выпол- нение двумя сторонами — источником и приемником — некото- рых (возможно, разных) криптографических преобразований данных. Источник преобразует исходные данные и передает их приемнику вместе с некоторым приложением, обеспечива- ющим избыточность шифрограммы.
Приемник обрабатывает полученное сообщение, отделяет приложение от основного текста и проверяет их взаимное со- ответствие, осуществляя таким образом контроль целостности.

115 6.3. Защита целостности информации при транспортировке
Контроль целостности может выполняться с восстановлением или без восстановления исходных данных.
Целостность отдельного сообщения обеспечивается имитов- ставкой, ЭЦП или шифрованием, целостность потока сообще- ний — соответствующим механизмом целостности.
Имитовставка
Для обеспечения целостности в текст сообщения часто вво- дится некоторая дополнительная информация, которая легко вычисляется, если секретный ключ известен, и является труд- новычислимой в противном случае. Если такая информация вырабатывается и проверяется с помощью одного и того же се- кретного ключа, то ее называют имитовставкой (в зарубежных источниках используется термин код аутентификации сообще-
ний
— Message Authentication Code (MAC) — поскольку помимо целостности может обеспечиваться еще и аутентификация объ- екта). Имитовставкой может служить значение хэш-функции, зависящей от секретного ключа, или выходные данные алгорит- ма шифрования в режиме сцепления блоков шифра.
Шифрование
Целостность данных можно обеспечить и с помощью их шифрования симметричным криптографическим алгоритмом при условии, что подлежащий защите текст обладает некоторой избыточностью. Последняя необходима для того, чтобы нару- шитель, не зная ключа шифрования, не смог бы создать шиф- рограмму, которая после расшифрования успешно прошла бы проверку целостности.
Избыточности можно достигнуть многими способами. В од- них случаях текст может обладать достаточной естественной из- быточностью (например, в тексте, написанном на любом языке, разные буквы и буквосочетания встречаются с разной частотой).
В других можно присоединить к тексту до шифрования некото- рое контрольное значение, которое, в отличие от имитовставки

116 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа и цифровой подписи, не обязательно должно вырабатываться криптографическими алгоритмами, а может представлять собой просто последовательность заранее определенных символов.
Контроль целостности потока сообщений
Контроль целостности потока сообщений помогает обнаружить их повтор, задержку, переупорядочение или утрату. Предполага- ется, что целостность каждого отдельного сообщения обеспечи- вается шифрованием, имитовставкой или цифровой подписью.
Для контроля целостности потока сообщений можно, например:
· присвоить сообщению порядковый номер целостности;
· использовать в алгоритмах шифрования сцепление с пре- дыдущим сообщением.
При использовании порядкового номера целостности, кото- рый может включать в себя порядковый номер сообщения и имя источника, приемник хранит последний номер принятого сооб- щения каждого источника. Для контроля целостности прием- ник проверяет, например, что порядковый номер целостности текущего сообщения от данного источника на единицу больше номера предыдущего сообщения. Если в качестве порядкового номера целостности используется время отправки сообщения, то проверяется, действительно ли время отправки и время при- ема близки друг к другу с точностью до задержки сообщения в канале связи и разности хода часов источника и приемника.
Электронная подпись
Термин «электронная подпись» (ЭЦП) используется для мето- дов, позволяющих устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообще- ния. ЭЦП применяется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, си- стемы контроля за соблюдением международных договоров и др.).
Концепцию цифровой подписи для аутентификации инфор- мации предложили Диффи и Хеллман в 1976 г. Она заключа-

117 6.4. Защита от угрозы нарушения целостности информации на уровне содержания ется в том, что каждый абонент сети имеет личный секретный ключ, на котором он формирует подпись и известную всем дру- гим абонентам сети проверочную комбинацию, необходимую для проверки подписи (эту проверочную комбинацию иногда называют открытым ключом). Цифровая подпись вычисляет- ся на основе сообщения и секретного ключа отправителя. Лю- бой получатель, имеющий соответствующую проверочную ком- бинацию, может аутентифицировать сообщение по подписи.
ЭЦП в цифровых документах играет ту же роль, что и под- пись, поставленная от руки в документах, которые напечатаны на бумаге: это данные, присоединяемые к передаваемому со- общению и подтверждающие, что отправитель (владелец под- писи) составил или заверил данное сообщение. Получатель сообщения или третья сторона с помощью цифровой подпи- си может проверить, что автором сообщения является именно владелец подписи (т. е. аутентифицировать источник данных) и что в процессе передачи не была нарушена целостность по- лученных данных.
Если пользователь ведет себя грамотно, с точки зрения со- блюдения норм секретности (хранение секретных ключей под- писи, работа с «чистым» программным продуктом, осуществля- ющим функции подписи), и тем самым исключает возможность похищения ключей или несанкционированного изменения дан- ных и программ, то стойкость системы подписи определяется исключительно криптографическими качествами.
6.4. защита от угрозы нарушения целостности информации на уровне содержания
Защита от угрозы нарушения целостности информации на уровне содержания в обычной практике рассматривается как защита от дезинформации. Пусть у злоумышленника нет возмож-

118 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа ности воздействовать на отдельные компоненты системы, нахо- дящиеся в пределах контролируемой зоны, но, если источники поступающей в нее информации находятся вне системы, всег- да остается возможность взять их под контроль. При намерен- ной дезинформации применяют как заведомую ложь, так и по- луправду, создающие искаженное представление о событиях.
Наиболее распространенные приемы дезинформации
[3]:
· прямое сокрытие фактов;
· тенденциозный подбор данных;
· нарушение логических и временных связей между собы- тиями;
· подача правды в таком контексте (добавлением ложного факта или намека), чтобы она воспринималась как ложь;
· изложение важнейших данных на ярком фоне отвлекаю- щих внимание сведений;
· смешивание разнородных мнений и фактов;
· изложение данных словами, которые можно истолковы- вать по-разному;
· отсутствие упоминания ключевых деталей факта.
В процессе сбора и получения информации могут возник- нуть искажения.
Основные причины искажений информации:
· передача только части сообщения;
· интерпретация услышанного в соответствии со своими знаниями и представлениями;
· пропуск фактуры через призму субъективно-личностных отношений.
Для успешности борьбы с вероятной дезинформацией следует:
· различать факты и мнения;
· применять дублирующие каналы информации;
· исключать все лишние промежуточные звенья и т. п.

119 6.5. Построение систем защиты от угрозы отказа доступа к информации
В информационных системах необходимо предусматривать наличие подсистем, проводящих первичный смысловой ана- лиз и в определенной степени контролирующих работу опе- ратора. Наличие подобных подсистем позволяет защитить ин- формацию не только от случайных, но и от преднамеренных ошибок.
6.5. построение систем защиты от угрозы отказа доступа к информации
Поскольку одной из основных задач информационной си- стемы является своевременное обеспечение пользователей системы необходимой информацией (сведениями, данными, управляющими воздействиями и т. п.), то угроза отказа досту- па к информации может еще рассматриваться как угроза отка- за в обслуживании или угроза отказа функционирования. Угро- за отказа функционирования информационной системы может быть вызвана:
· целенаправленными действиями злоумышленников;
· ошибками в программном обеспечении;
· отказом аппаратуры.
Часто невозможно бывает разделить причины отказа. В свя- зи с этим вводят понятие надежности.
Надежность
— свойство объекта сохранять во времени зна- чения всех параметров, характеризующих способность вы- полнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, ремонта, хранения и транспортировки.
Для оценки надежности функционирования информацион- ной системы не важно, вызваны ли отказы действиями злоу- мышленника или связаны с ошибками разработки, важно, как и в каком объеме произойдет их парирование.

120 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа
Целесообразно проводить отдельно оценку надежности ап- паратуры и программного обеспечения, так как подход к опре- делению надежности здесь различен.
Оценка надежности оборудования основана на следующем подходе.
Элементная надежность любого устройства или системы в целом оценивается как произведение вероятности безотказ- ной работы Р ў(t)на коэффициент готовности К
r
:
P
0
(t) = P ў(t)K
r
.
Если надежность выступает в качестве одной из мер эффек- тивности системы, то оптимальным ее значением является та- кое, при котором стоимость эксплуатации является минималь- ной. Оптимальное значение показателя надежности может быть оценено графически (рис. 6.1).
S
P
Рис. 6.1. Зависимость затрат от надежности:
S
э
— эксплуатационные затраты; S
р
— затраты на разработку
В некоторых случаях решается задача достижения макси- мальной надежности при фиксированных затратах или других закрепленных условиях.
Для определения надежности существуют как теоретиче- ские методы расчета, так и рабочие методики. Именно на осно- ве таких расчетов вырабатываются практические мероприятия

121 6.5. Построение систем защиты от угрозы отказа доступа к информации по повышению надежности работы как отдельных элементов, так и систем в целом.
На начальной стадии проектирования чаще всего исполь- зуются рабочие методики, основанные на простых моделях, или элементарные методики расчета надежности, исходящие из предположения о самостоятельности отдельных элементов.
В теоретических методах расчета надежности наиболее широ- кое распространение получили методики расчета по элемен- там. При этом функциональные зависимости и параметры, ха- рактеризующие надежность работы отдельного элемента, могут быть выражены следующими формулами:
частота отказов
f
(t) = dq(t)/dt = — dP(t)/dt;
интенсивность отказов l( )
( )
( )
( )
( )
;
t
P t
dq t
dt
P t
dP t
dt
=
= -
1 1
среднее время безотказной работы
t
t f t dt
cp
= Ч
Ґ
т
( )
0
,
где Р —вероятность безотказной работы элемента; q —вероят- ность отказа элемента.
Эти формулы применимы к системам с любым числом эле- ментов и произвольным их отношением.
Вероятность безотказной работы системы является функци- ей вероятностей безотказной работы входящих в систему эле- ментов
P
с
= f
1
[P
1
(t), P
2
(t), … , P
n
(t)].
Взаимосвязь функций для отдельных элементов может быть разной. В частности, вероятность безотказной работы или функ- ция надежности системы, состоящей из п произвольно соеди- ненных элементов, может быть выражена в виде полинома

122 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа
P
a P
i i
i
k
c
=
=
е
1
В случае независимого влияния отдельных элементов на ра- ботоспособность установки, если отказ каждого из элементов приводит к отказу всей системы, схема структурных надежных отношений представляется в виде последовательного соедине- ния элементов. В этом случае вероятность безотказной работы системы определяется произведением вероятностей безотказ- ной работы элементов
P t
P t
i
i
n
c
( )
( )
=
=
Х
1
Если же элементы влияют друг на друга, то схема структур- ных надежных отношений будет параллельной или смешанной.
Если отказ элемента не приводит к отказу системы, то в схеме структурных надежных отношений этот элемент включается па- раллельно, а при вычислении надежности системы перемножа- ются вероятности отказов параллельных элементов и получен- ное произведение вычитается из единицы:
P t
P t
j
j
n
c
( )
(
( ))
= -
-
=
Х
1 1
1
Надежность работы элементов не всегда удобно характери- зовать вероятностью безотказной работы, так как для малых пе- риодов времени работы элементов значения Р
i
(t)будут близки- ми к единице. В этом случае лучше использовать интенсивность отказов, которая характеризует плотность вероятности появле- ния отказа отдельно взятого элемента. Она определяется ко- личеством отказов п
i
в единицу времени Dt, отнесенных к ко- личеству исправно работающих в данный момент однотипных элементов N, то есть l =
n
N t
i
D

123 6.5. Построение систем защиты от угрозы отказа доступа к информации
Вероятность безотказной работы связана с интенсивностью отказов следующим соотношением:
P t
t dt
( ) exp(
( ) ).
=
-
Ґ
т l
0
Функция l(t) имеет вид, изображенный на рис. 6.2.
t
λ
Рис. 6.2. Изменение интенсивности отказов системы в течение срока службы
Первый участок повышенной интенсивности отказов ха- рактеризует период, отказы в котором возникают главным об- разом в результате скрытых неисправностей, допущенных при проектировании, нарушении технологии изготовления систе- мы или связанных с трудностями освоения эксплуатации. Наи- более длительное время система эксплуатируется в нормаль- ных условиях (участок II). Именно этот период работы системы принимается во внимание при расчете надежности в процес- се проектирования. Участок III характеризует период увели- чения интенсивности отказов вследствие износа оборудова- ния и его старения.
Анализ работы многочисленных технических устройств по- казал: чем они проще, тем более надежны.
При обеспечении защиты информационной системы от угро- зы отказа функционирования обычно считается, что надежность аппаратных компонентов достаточно высока и данной состав-

124 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа ляющей в общей надежности можно пренебречь. Это связано с тем, что темпы морального старения вычислительной техники значительно опережают темпы ее физического старения и за- мена вычислительной техники, как правило, происходит до ее выхода из строя.
Таким образом, на надежность функционирования инфор- мационной системы во многом влияет надежность функциони-
рования программного обеспечения,
входящего в ее состав.
Несмотря на явное сходство в определениях надежности для аппаратных средств и программного обеспечения, фактически последнее имеет принципиальные отличия:
· программа в большинстве случаев не может отказать слу- чайно;
· ошибки в программном обеспечении, допущенные при его создании, зависят от технологии разработки, органи- зации работ и квалификации исполнителей;
· ошибки не являются функцией времени;
· причиной отказов является набор входных данных, сло- жившихся к моменту отказа.
Существует два основных подхода к обеспечению защиты программного обеспечения от угрозы отказа функционирова- ния [3]:
· обеспечение отказоустойчивости программного обе- спечения;
· предотвращение неисправностей.
Отказоустойчивость предусматривает, что оставшиеся ошиб- ки программного обеспечения обнаруживаются во время вы- полнения программы и парируются за счет использования программной, информационной и временной избыточности.
Предотвращение неисправностей связано с анализом природы ошибок, возникающих на разных фазах создания программно- го обеспечения, и причин их возникновения.

125 6.6. Защита семантического анализа и актуальности информации
6.6. защита семантического анализа и актуальности информации
На уровне представления информации защиту от угрозы от- каза доступа к информации (защиту семантического уровня) можно рассматривать как противодействие сопоставлению ис- пользуемым синтаксическим конструкциям (словам некоторо- го алфавита, символам и т. п.) определенного смыслового со- держания. В большей степени эта задача относится к области лингвистики, рассматривающей изменение значения слов с те- чением времени, переводу с иностранного языка и другим ана- логичным научным и прикладным областям знаний.
Применительно к информационным системам защита со- держания информации от угрозы блокировки доступа (отказа функционирования) означает юридическую обоснованность обработки и использования информации.
ВыВОды
·
Эффективность методов контроля целостности определя- ется в основном xapaктеристиками используемых крип- тографических средств шифрования — цифровой подпи- си, хэш-функций.
·
Вопросы обеспечения своевременного беспрепятствен- ного доступа к информации приобретают все большее значение с развитием распределенных систем обработки.
Усложнение топологии систем, применяемого оборудова- ния и используемого программного обеспечения, а также задача сопряжения всех элементов требуют повышенно- го внимания к обеспечению работоспособности системы и доступности циркулирующей в ней информации.
·
Отдельное направление защиты — обеспечение секрет- ности параметров информационной системы, в которой циркулирует конфиденциальная информация. Методы

126 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа защиты параметров такой системы аналогичны общим методам, применяемым для защиты конфиденциально- сти информации.
Вопросы для самоконтроля
1. Каковы способы контроля целостности потока сообщений?
2. Какие существуют способы контроля целостности сооб- щений при взаимном доверии сторон?
3. Как контролировать целостность сообщений при высо- ком уровне помех в каналах связи?
4. Как организован обмен документами, заверенными циф- ровой подписью?
5. В чем отличие и сходство обычной и цифровой подписей?
6. Какими принципами нужно руководствоваться для со- хранения целостности данных при их обработке?
7. Почему проблемы контроля целостности данных отно- сятся к проблемам информационной безопасности?
8. Что означает контроль целостности данных на уровне содержания? Приведите примеры.
9. Как обеспечить целостность данных при их хранении?
10. Что такое надежность и чем отличается надежность ап- паратуры от надежности программного обеспечения?
11. Следует ли различать защиту от случайных угроз и от дей- ствий злоумышленника при обеспечении беспрепятствен- ного доступа к информации? Обоснуйте свой ответ.
12. Как защитить программное обеспечение от изучения ло- гики его работы?
13. Предложите меры по обеспечению более надежной ра- боты ЛВС университета.
14. Как изменяется надежность аппаратуры с течением вре- мени?
15. Каковы способы повышения надежности аппаратуры и линий связи?

127 7. политика и модели безопасности

Политика безопасности  Субъектно-объектные модели разграни- чения доступа  Аксиомы политики безопасности  Политика и мо- дели дискреционного доступа  Парольные системы разграничения доступа  Политика и модели мандатного доступа  Теоретико-ин- формационные модели  Политика и модели тематического разгра- ничения доступа Ролевая модель безопасности 
7.1. политика безопасности
Т
ехнология защиты информационных систем начала развиваться относительно недавно, но уже сегодня существует значительное число теоретических моде- лей, позволяющих описывать различные аспекты безопасно- сти и обеспечивать средства защиты с формальной стороны.
Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопас- ности системы. Формальное выражение политики безопасно- сти называют моделью безопасности.
Основная цель создания политики безопасности — это опре- деление условий, которым должно подчиняться поведение си- стемы, выработка критерия безопасности и проведение фор- мального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.
Кроме того, модели безопасности позволяют решить еще це- лый ряд задач, возникающих в ходе проектирования, разработ- ки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и дру- гие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем.

128 7. Политика и модели безопасности
Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач [7]:
· выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реали- зации средств и методов защиты информации;
· подтверждение свойства защищенности разрабатывае- мых систем путем формального доказательства соблюде- ния политики безопасности;
· составление формальной спецификации политики без- опасности как важнейшей составной части организаци- онного и документационного обеспечения разрабатыва- емых защищенных систем.
Производители защищенных информационных систем ис- пользуют модели безопасности в следующих случаях:
· при составлении формальной спецификации политики безопасности разрабатываемой системы;
· при выборе и обосновании базовых принципов архитек- туры защищенной системы, определяющих механизмы реализации средств защиты;
· в процессе анализа безопасности системы, при этом мо- дель используется в качестве эталонной модели;
· при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения полити- ки безопасности.
Потребители путем составления формальных моделей без- опасности получают возможность довести до сведения произ- водителей свои требования, а также оценить соответствие за- щищенных систем своим потребностям.
Эксперты в ходе анализа адекватности реализации полити- ки безопасности в защищенных системах используют модели безопасности в качестве эталонов.
По сути, модели безопасности являются связующим эле- ментом между производителями, потребителями и экспертами.

129 7.2. Субъектно-объектные модели разграничения доступа
7.2. субъектно-объектные модели разграничения доступа
Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одно- го из наиболее известных отечественных исследователей те- оретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концепту- ального подхода к информационной безопасности. В. А. Гера- сименко представил общую модель процессов защиты инфор- мации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения до- ступа к ресурсам.
Разграничение доступа к информации
— разделение инфор- мации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользовате- лей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей.
Разграничение доступа непосредственно обеспечивает кон- фиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграниче- ние доступа можно рассматривать среди других методов обе- спечения информационной безопасности как комплексный программно-технический метод защиты информации. Раз- граничение доступа является также необходимым условием обеспечения информационной безопасности.
Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объ- ектов доступа.
Рассмотрим основные положения наиболее распространен- ных политик безопасности, основанных на контроле досту- па субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются

130 7. Политика и модели безопасности безопасными, а другие — нет [7]. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:
1. В системе действует дискретное время.
2. В каждый фиксированный момент времени система пред- ставляет собой конечное множество элементов, разделяемых на два подмножества:
·
подмножество субъектов доступа S;
·
подмножество объектов доступа О.
Субъект доступа
— активная сущность, которая может изме- нять состояние системы через порождение процессов над объ- ектами, в том числе порождать новые объекты и инициализи- ровать порождение новых субъектов.
Объект доступа
— пассивная сущность, процессы над кото- рой могут в определенных случаях быть источником порожде- ния новых субъектов.
При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управле- ния доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют полити- ку безопасности. Общим подходом для всех моделей являет- ся именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами опре- деления понятий «объект» и «субъект» в разных моделях мо- гут различаться.
В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, пред- полагается также, что в любой момент времени t
k
, в том числе и в начальный, множество субъектов доступа не пусто.
3. Пользователи представлены одним или некоторой сово- купностью субъектов доступа, действующих от имени конкрет- ного пользователя.
Пользователь
— лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколь- кими субъектами, воспринимающий объекты и получающий

131 7.2. Субъектно-объектные модели разграничения доступа информацию о состоянии системы через субъекты, которыми он управляет.
Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Пред- полагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не со- ответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Од- нако подобная идеализация позволяет построить четкую схе- му процессов и механизмов доступа.
4. Субъекты могут быть порождены из объектов только ак- тивной сущностью (другим субъектом).
Объект о
i
называется источником для субъекта s
m
, если су- ществует субъект s
j
, в результате воздействия которого на объ- ект о
i
возникает субъект s
m
.
Cубъект s
j
является активизирую-
щим
для субъекта s
m
Для описания процессов порождения субъектов доступа вво- дится следующая команда:
Create
(s
j
, o
i
)® s
m
— из объекта о
i
порожден субъект s
m
, при активизирующем воздействии субъекта s
j
.
Create
называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздей- ствием активизирующего субъекта в момент времени t
k
новый субъект порождается в момент времени t
k+
1
Результат операции Create зависит как от свойств активизи- рующего субъекта, так и от свойств объекта-источника.
Активная сущность субъектов доступа заключается в их спо- собности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации.
5. Все взаимодействия в системе моделируются установле- нием отношений определенного типа между субъектами и объ- ектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

132 7. Политика и модели безопасности
6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации.
Потоком информации
между объектом о
i
и объектом о
j
на- зывается произвольная операция над объектом о
j
, реализуемая в субъекте s
m
и зависящая от объекта о
i
Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д.
Объекты, участвующие в потоке, могут быть как источника- ми, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объ- ектами, а не между субъектом и объектом.
Доступом субъекта s
m
к объекту о
j
называется порождение субъектом s
m
потока информации между объектом о
j
и некото- рым объектом о
i
Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосред- ственно к описанию процессов безопасности информации в за- щищенных системах. С этой целью вводится множество пото- ков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (мно- жество Р является объединением потоков по всем моментам времени функционирования системы).
Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р.
7. Политика безопасности задается в виде правил, в соответ- ствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с пра- вилами политики безопасности.

133 7.3. Аксиомы политики безопасности
9. Совокупность множеств субъектов, объектов и отноше- ний между ними (установившихся взаимодействий) опреде- ляет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предло- женным в модели критерием безопасности.
10. Основной элемент модели безопасности — это доказа- тельство утверждения (теоремы) о том, что система, находяща- яся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и огра- ничений.
7.3. аксиомы политики безопасности
Анализ опыта защиты информации, а также основных по- ложений субъектно-объектной модели позволяет сформулиро- вать несколько аксиом, касающихся построения политик без- опасности [10].