Информационная безопасность. Учебное пособие вострецова елена владимировна

134 7. Политика и модели безопасности мы, реализующих функции защиты и обеспечения безопасно- сти (общепринятое сокращение — ТСВ — Trusted Computing
Base).
В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь раз- деляемое на компоненту представления информации (фай- ловая система ОС, модель данных СУБД), компоненту досту- па к данным (система ввода–вывода ОС, процессор запросов
СУБД) и надстройку (утилиты, сервис, интерфейсные компо- ненты) (рис. 7.1).
Субъекты
Ядро системы
Объекты
Процессы
Рис. 7.1. Незащищенная система
В защищенной системе появляется дополнительный ком- понент, обеспечивающий процессы защиты информации, пре- жде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безо- пасности (разграничения доступа) (рис. 7.2).
Субъекты
Ядро системы
Объекты
Процессы
Монитор безопасности
Рис. 7.2. Защищенная система
С учетом нормативных требований по сертификации защи- щенных систем к реализации монитора безопасности предъяв- ляются следующие обязательные требования:

135 7.3. Аксиомы политики безопасности
1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объ- екту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы.
3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешнетестируемым) на предмет вы- полнения своих функций.
4. Непрерывность. Монитор безопасности должен функ- ционировать при любых, в том числе и аварийных ситуациях.
Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие мо- дели безопасности.
Аксиома 3.
Для реализации принятой политики безопасно- сти, управления и контроля доступа субъектов к объектам необ- ходима информация и объект, ее содержащий.
Следствие 3.1. В защищенной системе существует особая категория активных сущностей, которые не инициализиру- ют и которыми не управляют пользователи системы, — си- стемные процессы (субъекты), присутствующие в системе изначально.
Следствие 3.2. Ассоциированный с монитором безопасно- сти объект, содержащий информацию о системе разграниче- ния доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной ин- формационной системе.
Следствие 3.3. В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором без- опасности объекту — данным для управления политикой раз- граничения доступа.
Принципы, способы представления и реализация ассоци- ированных с монитором безопасности объектов определяют-

136 7. Политика и модели безопасности ся типом политики безопасности и особенностями конкрет- ной системы.
К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколь- ко исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. пра- вило разделения информационных потоков, порождаемых до- ступом субъектов к объектам, на безопасные и небезопасные.
Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную в системе политику безопасности.
Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соот- ветственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопас- ности самого монитора безопасности.
7.4. политика и модели дискреционного доступа
Политика дискреционного (избирательного) доступа реализо- вана в большинстве защищенных систем и исторически является первой проработанной в теоретическом и практическом плане.
Первые описания моделей дискреционного доступа к ин- формации появились еще в 1960-х гг. и подробно представле- ны в литературе. Наиболее известны модель АДЕПТ-50 (ко- нец 1960-х гг.), пятимерное пространство Хартсона (начало
1970-х гг.), модель Хариссона — Руззо-Ульмана (середина
1970-х гг.), модель Take-Grant (1976 г.). Авторами и исследова- телями этих моделей был внесен значительный вклад в теорию безопасности информационных систем, а их работы заложили основу для последующего создания и развития защищенных информационных систем.

137 7.4. Политика и модели дискреционного доступа
Модели дискреционного доступа непосредственно основы- ваются на субъектно-объектной модели и развивают ее как сово- купность некоторых множеств взаимодействующих элементов
(субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дис- кретным набором троек «пользователь (субъект) — поток (опе- рация) — объект».
В модели, исходя из способа представления области безо- пасного доступа и механизма разрешений на доступ, анализи- руется и доказывается, что за конечное число переходов систе- ма останется в безопасном состоянии.
Модели на основе матрицы доступа
На практике наибольшее применение получили дискреци- онные модели, основанные на матрице доступа. В данных мо- делях область безопасного доступа строится как прямоугольная матрица (таблица), строки которой соответствуют субъектам доступа, столбцы — объектам доступа, а в ячейках записыва- ются разрешенные операции (права) субъекта над объектом
(рис. 7.3). В матрице используются следующие обозначения:
w
— «писать», r — «читать», e — «исполнять».
o
1
o
2
…
o
j
… o
n
1 2
r
r, w
e
r
i
w
e
r
m
w
w
О б ъ е к т ы д о с т у п а
Су б
ъ е
к т ы
д о с т у п а
Рис. 7.3. Матрица доступа

138 7. Политика и модели безопасности
Права доступа в ячейках матрицы в виде разрешенных опе- раций над объектами определяют виды безопасного доступа субъекта к объекту. Для выражения типов разрешенных опе- раций используются специальные обозначения, составляющие основу (алфавит) некоторого языка описания политики разгра- ничения доступа. Таким образом, в рамках дискреционной по- литики каждая ячейка содержит некоторое подмножество тро- ек «субъект — операция — объект».
Матрица доступа представляет собой ассоциированный с мо- нитором безопасности объект, содержащий информацию о по- литике разграничения доступа в конкретной системе. Структура матрицы, ее создание и изменение определяются конкретными моделями и конкретными программно-техническими решени- ями систем, в которых они реализуются.
Принцип организации матрицы доступа
в реальных системах определяет использование двух подходов — централизованно- го и распределенного.
При централизованном подходе матрица доступа создается как отдельный самостоятельный объект с особым порядком раз- мещения и доступа к нему. Количество объектов и субъектов до- ступа в реальных системах может быть велико. Для уменьшения количества столбцов матрицы объекты доступа могут делиться на две группы — группу объектов, доступ к которым не ограни- чен, и группу объектов дискреционного доступа. В матрице до- ступа представляются права пользователей только к объектам второй группы. Наиболее известным примером такого подхо- да являются «биты доступа» в UNIX-системах.
При распределенном подходе матрица доступа как отдельный объект не создается, а представляется или «списками доступа», распределенными по объектам системы, или «списками возмож-
ностей»,
распределенными по субъектам доступа [10]. В первом случае каждый объект системы, помимо идентифицирующих характеристик, наделяется еще своеобразным списком, непо- средственно связанным с самим объектом и представляющим,

139 7.4. Политика и модели дискреционного доступа по сути, соответствующий столбец матрицы доступа. Во вто- ром случае список с перечнем разрешенных для доступа объ- ектов (строку матрицы доступа) получает каждый субъект при своей инициализации.
И централизованный, и распределенный принципы органи- зации матрицы доступа имеют свои преимущества и недостат- ки, присущие в целом централизованному и децентрализован- ному принципам организации и управления.
Согласно принципу управления доступом выделяются два подхода:
· принудительное управление доступом;
· добровольное управление доступом.
В случае принудительного управления право создания и из- менения матрицы доступа имеют только субъекты администра- тора системы, который при регистрации для работы в системе нового пользователя создает с соответствующим заполнением новую строку матрицы доступа, а при возникновении нового объекта, подлежащего избирательному доступу, образует новый столбец матрицы доступа. Подобный подход наиболее широко представлен в базах данных.
Принцип добровольного управления доступом основывает- ся на принципе владения объектами. Владельцем объекта до- ступа называется пользователь, инициализировавший поток, в результате чего объект возник в системе, или определивший его иным образом. Права доступа к объекту определяют их вла- дельцы.
Заполнение и изменение ячеек матрицы доступа осущест- вляют субъекты пользователей-владельцев соответствующих объектов. Подобный подход обеспечивает управление досту- пом в тех системах, в которых количество объектов доступа яв- ляется значительным или неопределенным. Такая ситуация ти- пична для операционных систем.
Все дискреционные модели уязвимы для атак с помощью
«троянских» программ, поскольку в них контролируются только

140 7. Политика и модели безопасности операции доступа субъектов к объектам, а не потоки информа- ции между ними. Поэтому, когда «троянская» программа пере- носит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, то формально никакое пра- вило дискреционной политики безопасности не нарушается, но утечка информации происходит.
7.5. парольные системы разграничения доступа
В документальных информационных системах, в системах ав- томатизации документооборота широкое распространение полу- чили так называемые парольные системы разграничения доступа, представляющие отдельную разновидность механизмов реали- зации дискреционного принципа разграничения доступа [7].
Основные положения парольных систем можно сформули- ровать следующим образом.
1. Система представляется следующим набором сущностей:
· множеством информационных объектов (документов)
О
(о
1
, …, о
m
);
· множеством пользователей S(s
1
, …, s
n
);
· множеством паролей доступа к объектам К(k
1
, …, k
р
).
2. В системе устанавливается отображение множества О на множество К, задаваемое следующей функцией:
f
ko
: O → К.
Значением функции f
ko
(о) = k
o
является пароль k
o
доступа к документу о.
3. Область безопасного доступа задается множеством троек
(s, k, о), каждый элемент которого соответствует владению поль- зователем паролем доступа к объекту. В результате устанавли- вается отображение множества S на множество К:
f
ks
: S → К.

141 7.5. Парольные системы разграничения доступа
Значением f
ks
(s) = K
s
является набор паролей доступа к до- кументам системы, известных пользователю s.
4. Процессы доступа пользователей к объектам системы ор- ганизуются в две фазы:
· фаза открытия документа;
· фаза закрытия (сохранения) документа.
При открытии документа о пользователь s предъявляет (вво- дит, передает) монитору безопасности AС пароль k
s
0
доступа к данному документу.
Запрос в доступе удовлетворяется, если
k
s
0
= f
k
0
(о).
В случае успешного открытия пользователю предоставляют- ся права работы по фиксированному набору операций с объ- ектом.
Возможны два подхода, соответствующие добровольному и принудительному способам управления доступом.
При использовании принудительного способа назначение паролей доступа к документам, их изменение осуществляет только выделенный пользователь — администратор системы.
При необходимости шифрования измененного объекта или при появлении в системе нового объекта, подлежащего дис- креционному доступу к нему, администратор системы на ос- нове специальной процедуры генерирует пароль доступа к но- вому объекту, зашифровывает документ на ключе, созданном на основе пароля, и фиксирует новый документ в зашифро- ванном состоянии в системе. Администратор сообщает пароль доступа к данному документу тем пользователям, которым он необходим. Тем самым формируется подмножество троек до- ступа {(s
1
, k, о), (s
2,
k
, о), …}кдокументу o.
При добровольном управлении доступом описанную выше процедуру формирования подмножества троек доступа к ново- му документу производят владельцы объекта.

142 7. Политика и модели безопасности
Преимуществом парольных систем по сравнению с систе- мами дискреционного разграничения доступа, основанными на матрице доступа, является то, что в них отсутствует ассоци- ированный с монитором безопасности объект, хранящий ин- формацию о разграничении доступа к конкретным объектам.
Данный объект является наиболее критичным с точки зрения безопасности объектом системы.
Кроме того, в парольных системах обеспечивается безопас- ность и в том случае, когда не ограничен или технически воз- можен доступ посторонних лиц к носителям, на которых фик- сируются и хранятся зашифрованные объекты.
Эти преимущества парольных систем разграничения досту- па обусловливают их чрезвычайно широкое применение в до- кументальных информационных системах.
Несмотря на то, что дискреционные модели разработаны почти 40 лет назад, и то, что многочисленные исследования показали их ограниченные защитные свойства, данные моде- ли широко применяются на практике. Основные их достоин- ства — это простота и максимальная детальность в организа- ции доступа.
7.6. политика и модели мандатного доступа
Политика мандатного доступа является примером исполь- зования технологий, наработанных во внекомпьютерной сфе- ре, в частности принципов организации секретного делопроиз- водства и документооборота, применяемых в государственных структурах большинства стран.
Основным положением политики мандатного доступа яв- ляется назначение всем участникам процесса обработки защи- щаемой информации и документам, в которых она содержит-

143 7.6. Политика и модели мандатного доступа ся, специальной метки, например секретно, сов. секретно и т. д., получившей название уровня безопасности. Все уровни безо- пасности упорядочиваются с помощью установленного отно- шения доминирования, например, уровень сов. секретно счи- тается более высоким, чем уровень секретно. Контроль доступа осуществляется в зависимости от уровней безопасности взаи- модействующих сторон на основании двух правил:
1. No read up (NRU) — нет чтения вверх: субъект имеет пра- во читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
2. No write down (NWD) — нет записи вниз: субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безо- пасности.
Первое правило обеспечивает защиту информации, обра- батываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых).
Второе правило предотвращает утечку информации (сознатель- ную или несознательную) от высокоуровневых участников про- цесса обработки информации к низкоуровневым.
Формализация механизмов разграничения доступа в секрет- ном делопроизводстве применительно к субъектно-объектной модели показала необходимость решения следующих задач:
· разработки процедур формализации правила NRU, а в особенности правила NWD;
· построения формального математического объекта и про- цедур, адекватно отражающих систему уровней безопас- ности (систему допусков и грифов секретности).
При представлении служащих, работающих с секретными документами, в качестве субъектов доступа, а секретных доку- ментов в качестве объектов доступа буквальное следование пра- вилу NWD приводит к включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользо- вателя, который при внесении информации должен оценить

144 7. Политика и модели безопасности соответствие вносимой информации уровню безопасности до- кумента. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из ко- торых является полный запрет изменения субъектами объек- тов с уровнем безопасности более низким, чем уровень безо- пасности соответствующих субъектов. При этом существенно снижается функциональность системы.
Таким образом, если в дискреционных моделях управле- ние доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом — с помощью назначения всем сущностям системы уровней безопасности, которые опреде- ляют все допустимые взаимодействия между ними. Следова- тельно, мандатное управление доступом не различает сущно- стей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Любой объект определенного уровня безопасности доступен любо- му субъекту соответствующего уровня безопасности (с учетом правил NRU и NWD). Мандатный подход к разграничению доступа, основанный лишь на понятии уровня безопасности, без учета специфики других характеристик субъектов и объ- ектов приводит в большинстве случаев к избыточности прав доступа конкретных субъектов в пределах соответствующих классов безопасности. Для устранения данного недостатка мандатный принцип разграничения доступа дополняется дис- креционным внутри соответствующих классов безопасности.
В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня безопасности.

145 7.7. Теоретико-информационные модели
7.7. теоретико-информационные модели
Одной из самых труднорешаемых проблем безопасности в информационных системах, в том числе и основанных на мо- делях мандатного доступа, является проблема скрытых каналов утечки информации.
Скрытым каналом утечки информации
называется механизм, посредством которого в системе может осуществляться инфор- мационный поток (передача информации) между сущностями в обход политики разграничения доступа.
Например, к скрытым каналам утечки информации относят- ся рассмотренные ранее потоки, возникающие за счет «троян- ских» программ, и неявные информационные потоки в систе- мах на основе дискреционных моделей.
Скрытым каналом утечки информации в системах мандат- ного доступа является механизм, посредством которого может осуществляться передача информации от сущностей с высо- ким уровнем безопасности к сущностям с низким уровнем без- опасности без нарушения правил NRU и NWD. В определен- ных случаях информацию можно получить или передать и без непосредственного осуществления операций read/write к объ- ектам, в частности на основе анализа определенных процес- сов и параметров системы. Например, если по правилу NRU нельзя читать секретный файл, но можно «видеть» его объем, то высокоуровневый субъект, меняя по определенному правилу объем секретного файла, может таким кодированным образом передавать секретную информацию низкоуровневому объекту.
От высокоуровневых субъектов может передаваться информа- ция о количестве создаваемых или удаляемых секретных фай- лов, получить доступ по чтению к которым низкоуровневые субъекты не могут, но «видеть» их наличие и соответственно определять их количество могут.

146 7. Политика и модели безопасности
Другие возможности «тайной» передачи информации мо- гут основываться на анализе временных параметров протека- ния процессов.
Скрытые каналы утечки информации можно разделить на три вида:
· скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы);
· скрытые каналы по времени (на основе анализа времен- ных параметров протекания процессов системы);
· скрытые статистические каналы (на основе анализа ста- тистических параметров процессов системы).
Требования по перекрытию и исключению скрытых каналов впервые были включены в спецификацию уровней защиты автома- тизированных систем, предназначенных для обработки сведений, составляющих государственную тайну в США (Оранжевая книга).
Теоретические основы подходов к решению проблемы скры- тых каналов разработаны Д. Денингом, исследовавшим принци- пы анализа потоков данных в программном обеспечении и прин- ципы контроля совместно используемых ресурсов. Основываясь на идеях Денинга, Дж. Гоген и Дж. Мезигер предложили теоре- тико-информационный подход на основе понятий информаци-
онной невыводимости
и информационного невмешательства.
Сущность данного подхода [7, 8] заключается в отказе от рас- смотрения процесса функционирования информационной си- стемы как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, Белла —
ЛаПадулы) предполагалось, что функция перехода в зависимо- сти от запроса субъекта и текущего состояния системы одно- значно определяет следующее состояние системы. В системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы обусловлива- ются большим количеством самых разнообразных, в том числе и случайных, факторов, что предполагает использование аппа- рата теории вероятностей для описания системы.

147 7.7. Теоретико-информационные модели
При таком подходе политика безопасности требует опреде- ленной модификации и, в частности, теоретико-вероятност- ной трактовки процессов функционирования систем и опас- ных информационных потоков:
1. Информационная система рассматривается как совокуп- ность двух непересекающихся множеств сущностей:
· множества высокоуровневых объектов Н;
· множества низкоуровневых объектов L.
Информационная система представляется мандатной си- стемой с решеткой, состоящей всего из двух уровней безопас- ности