Информационная безопасность. Учебное пособие вострецова елена владимировна

148 7. Политика и модели безопасности свойство является избыточным и противоречит основным по- ложениям мандатной политики, а именно — неопасности и до- пустимости потоков «снизу вверх» от низкоуровневых сущно- стей к сущностям с более высокими уровнями безопасности.
Другой подход основывается на идее информационного невме-
шательства.
Понятие опасных потоков имеет здесь следующий смысл: в системе присутствует информационный поток от вы- сокоуровневых объектов к низкоуровневым, если информация
(состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов. Это значит, что на состояние вы- сокоуровневых объектов в текущий момент времени не влия- ет состояние низкоуровневых объектов в предшествующий мо- мент времени и наоборот. Разноуровневые объекты не имеют возможности влиять на последующие состояния объектов дру- гого уровня. Анализ процессов функционирования информа- ционной системы показывает, что такие требования являются чрезвычайно жесткими, фактически совпадающими с требова- ниями полной изоляции разноуровневых сущностей.
Несмотря на то, что понятия информационной невыводи- мости и информационного невмешательства непосредствен- но не применимы для разграничения доступа, они послужили основой широко применяемых в современных информацион- ных системах технологий представлений и разрешенных проце-
дур
. Эти технологии исторически возникли как политика раз- граничения доступа в СУБД.
Представлением информации в
информационной системе называется процедура формирования и представления пользо- вателю (после его входа в систему и аутентификации) необхо- димого подмножества информационных объектов, в том числе с возможным их количественным и структурным видоизмене- нием исходя из задач разграничения доступа к информации.
В технологиях представлений пользователи, входя и работая в системе, оперируют не с реальной, а с виртуальной системой, формируемой индивидуально для каждого. В результате зада-

149 7.8. Политика и модели тематического разграничения доступа ча разграничения доступа решается автоматически. Проблемы безопасности при этом сводятся к скрытым каналам утечки ин- формации, рассмотрение и нейтрализация которых осущест- вляется на основе анализа условий и процедур, обеспечиваю- щих выполнение критериев безопасности.
Технология представлений решает проблему скрытых каналов утечки первого вида. Часть каналов второго и третьего вида пере- крывается техникой разрешенных процедур. Системой разрешен- ных процедур называется разновидность интерфейса системы, когда при входе в систему аутентифицированным пользователям предоставляется только возможность запуска и исполнения ко- нечного набора логико-технологических процедур обработки ин- формации без возможности применения элементарных методов доступа (read, write, create и т. п.) к информационным объектам системы. Следовательно, в системах с интерфейсом разрешен- ных процедур пользователи не видят информационные объекты, а выполняют операции на уровне логических процедур. Автома- тизированная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдаю- щий обработанную информацию на выходе.
Впервые подобный подход к представлению информацион- ной системы был рассмотрен Гогеном (J. Goguen) и Мезигером
(J. Meseguer), предложившими автоматную модель информаци-
онного невлияния
(невмешательства) — GM-модель.
7.8. политика и модели тематического разграничения доступа
Политика тематического разграничения доступа близка к по- литике мандатного доступа [7].
Общей основой является введение специальной процедуры классификации сущностей системы (субъектов и объектов до-

150 7. Политика и модели безопасности ступа) по какому-либо критерию. Выше рассматривалось, что основой классификации сущностей АС в моделях мандатного доступа является линейная решетка на упорядоченном множе- стве уровней безопасности. При этом использование аппарата решеток является принципиальным, так как посредством ме- ханизмов наименьшей верхней и наибольшей нижней границ обеспечивается возможность анализа опасности/неопасности потоков между любой парой сущностей системы.
В ряде случаев основанием для классификации информа- ции и субъектов доступа к ней выступают не конфиденциаль- ность данных и доверие к субъектам доступа, как в мандатных моделях, а тематическая структура предметной области инфор- мационной системы. Стремление расширить мандатную мо- дель для отражения тематического принципа разграничения доступа, применяемого в государственных организациях мно- гих стран, привело к использованию более сложных структур, чем линейная решетка уровней безопасности, именуемых MLS- решетками. MLS-решетка является произведением линейной решетки уровней безопасности и решетки подмножеств мно- жества категорий (тематик).
Еще одним фактором, обусловливающим необходимость по- строения специальных моделей тематического разграничения доступа, является то, что в большинстве случаев на классифи- кационном множестве в документальных информационных си- стемах устанавливается не линейный порядок (как на множе- стве уровней безопасности в мандатных моделях), а частичный порядок, задаваемый определенного вида корневыми деревья- ми (иерархические и фасетные рубрикаторы).
Важным аспектом, присутствующим в практике разграни- чения доступа к «бумажным» ресурсам, является тематическая
«окрашенность» информационных ресурсов предприятий, уч- реждений по организационно-технологическим процессам и профилям деятельности. Организация доступа сотрудников к информационным ресурсам (в библиотеках, архивах, доку-

151 7.9. Ролевая модель безопасности ментальных хранилищах) осуществляется на основе тематиче-
ских классификаторов.
Все документы информационного хра- нилища тематически индексируются, т. е. соотносятся с теми или иными тематическими рубриками классификатора. Со- трудники предприятия согласно своим функциональным обя- занностям или по другим основаниям получают права работы с документами определенной тематики. Данный подход в соче- тании с дискреционным и мандатным доступом, обеспечива- ет более адекватную и гибкую настройку системы разграниче- ния доступа на конкретные функционально-технологические процессы, предоставляет дополнительные средства контроля и управления доступом.
7.9. ролевая модель безопасности
Ролевая модель безопасности представляет собой существен- но усовершенствованную модель Харрисона–Руззо–Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандат- ным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помо- щью правил, регламентирующих назначение ролей пользовате- лям и их активацию во время сеансов. Поэтому ролевая модель представляет собой совершенно особый тип политики, кото- рая основана на компромиссе между гибкостью управления до- ступом, характерной для дискреционных моделей, и жестко- стью правил контроля доступа, присущей мандатным моделям.
В ролевой модели классическое понятие «субъект» замещает- ся понятиями «пользователь» и «роль» [5, 7]. Пользователь — это человек, работающий с системой и выполняющий определен- ные служебные обязанности. Роль — это активно действую- щая в системе абстрактная сущность, с которой связан набор полномочий, необходимых для осуществления определенной

152 7. Политика и модели безопасности деятельности. Самым распространенным примером роли яв- ляется присутствующий почти в каждой системе администра- тивный бюджет (например, root для UNIX и Administrator для
Windows NT), который обладает специальными полномочиями и может использоваться несколькими пользователями.
Ролевая политика распространена очень широко, потому что она, в отличие от других более строгих и формальных поли- тик, очень близка к реальной жизни. Ведь на самом деле рабо- тающие в системе пользователи действуют не от своего лично- го имени, они всегда осуществляют определенные служебные обязанности, т. е. выполняют некоторые роли, которые никак не связаны с их личностью.
Поэтому вполне логично осуществлять управление досту- пом и назначать полномочия не реальным пользователям, а абстрактным (неперсонифицированным) ролям, представ- ляющим участников определенного процесса обработки ин- формации. Такой подход к политике безопасности позволяет учесть разделение обязанностей и полномочий между участ- никами прикладного информационного процесса, т. к. с точ- ки зрения ролевой политики имеет значение не личность поль- зователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.
В такой ситуации ролевая политика позволяет распределить полномочия между этими ролями в соответствии с их служеб- ными обязанностями: роли администратора назначаются спе- циальные полномочия, позволяющие ему контролировать ра- боту системы и управлять ее конфигурацией, роль менеджера баз данных позволяет осуществлять управление сервером баз данных, а права простых пользователей ограничиваются мини- мумом, необходимым для запуска прикладных программ. Кро- ме того, количество ролей в системе может не соответствовать количеству реальных пользователей: один пользователь, если на нем лежит множество обязанностей, требующих различных

153 7.9. Ролевая модель безопасности полномочий, может выполнять (одновременно или последо- вательно) несколько ролей, а несколько пользователей могут выполнять одну и ту же роль, если они производят одинако- вую работу.
При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли ука- зывается набор полномочий, представляющий набор прав до- ступа к объектам, во-вторых — каждому пользователю назна- чается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей рабо- ты набором полномочий.
В отличие от других политик, ролевая политика практиче- ски не гарантирует безопасность с помощью формального до- казательства, а только определяет характер ограничений, со- блюдение которых и служит критерием безопасности системы.
Такой подход позволяет получать простые и понятные прави- ла контроля доступа, которые легко могут быть применены на практике, но лишает систему теоретической доказательной базы. В некоторых ситуациях это обстоятельство затрудняет использование ролевой политики, однако в любом случае опе- рировать ролями гораздо удобнее, чем субъектами, поскольку это более соответствует распространенным технологиям обра- ботки информации, предусматривающим разделение обязан- ностей и сфер ответственности между пользователями. Кроме того, ролевая политика может использоваться одновременно с другими политиками безопасности, когда полномочия ролей, назначаемых пользователям, контролируются дискреционной или мандатной политикой, что позволяет строить многоуров- невые схемы контроля доступа.

154 7. Политика и модели безопасности
ВыВОды
Определение политики безопасности и модели этой полити- ки позволяют теоретически обосновать безопасность системы при корректном определении модели системы и ограничений в ее использовании. Обеспечение информационной безопас- ности предполагает повышение защищенности информации за счет разграничения доступа. В последнее десятилетие как в нашей стране, так и за рубежом активно проводятся исследо- вания по развитию моделей разграничения доступа. Дальней- шими направлениями исследований в этой сфере могут быть поиски решений разграничения доступа в гипертекстовых ин- формационно-поисковых системах, развитие концепции муль- тиролей в системах ролевого доступа, развитие моделей ком- плексной оценки защищенности системы.
Вопросы для самоконтроля
1. Что такое политика безопасности, кто ее разрабатывает и где она применяется?
2. Приведите классификацию моделей разграничения до- ступа. Какова их роль в теории информационной безо- пасности?
3. Каковы основные достоинства и недостатки дискреци- онных моделей?
4. Приведите примеры использования дискреционных мо- делей разграничения доступа.
5. Составьте матрицу доступа и граф доступа для органи- зации документооборота факультета (объекты доступа: экзаменационные ведомости, персональные данные сту- дентов, рабочие программы дисциплин; субъекты досту- па: студенты, преподаватели, декан).
6. Что такое монитор безопасности и какие требования к нему предъявляются?

155 7.9. Ролевая модель безопасности
7. Перечислите основные положения субъектно-объект- ного подхода к разграничению доступа? В чем достоин- ства и недостатки такого подхода?
8. В чем суть мандатной политики разграничения доступа?
9. Каковы основные достоинства и недостатки мандатной политики?
10. Что такое скрытые каналы утечки информации и как их обнаружить?
11. Почему ролевая политика получила большое распро- странение?
12. В чем суть моделей группового доступа?
13. Что такое информационная невыводимость и информа- ционное невмешательство?
14. Как и зачем строятся многоуровненвые схемы разграни- чения доступа. Приведите пример.

156 8. Обзор международных стандартов информационной безопасности

Роль стандартов информационной безопасности  Критерии безо- пасности компьютерных систем министерства обороны США (Оранже- вая книга), TCSEC  Европейские критерии безопасности информа- ционных технологий (ITSEC)  Федеральные критерии безопасности информационных технологий США  Единые критерии безопасно- сти информационных технологий  Группа международных стандар- тов 270000 
8.1. роль стандартов информационной безопасности
С развитием информационных технологий появилась необходимость стандартизации требований в области защиты информации. Главная задача стандартов ин- формационной безопасности — создать основу для взаимодей- ствия между производителями, потребителями и специалистам по сертификации. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Производители нуждаются в стандартах как средстве сравне- ния возможностей своих продуктов, и в применении процедуры сертификации как механизме оценки их свойств, а также в стан- дартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора.
Потребители заинтересованы в методике, позволяющей обо- снованно выбрать продукт, отвечающий их нуждам и решаю- щий их проблемы, для чего им необходима шкала оценки без- опасности и инструмент, с помощью которого они могли бы формулировать свои требования производителям.
Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопас-

157 8.2. Критерии безопасности компьютерных систем министерства обороны США
ности, обеспечиваемый системой, и предоставить потребите- лям возможность сделать обоснованный выбор. Специалисты по сертификации заинтересованы в четких и простых критери- ях, так как они должны дать обоснованный ответ пользовате- лям — удовлетворяет продукт их нужды, или нет. В конечном счете именно они принимают на себя ответственность за безо- пасность продукта, получившего квалификацию уровня безо- пасности и прошедшего сертификацию.
Таким образом, перед стандартами информационной безо- пасности стоит непростая задача создать эффективный меха- низм взаимодействия всех сторон.
8.2. Критерии безопасности компьютерных систем министерства обороны сШа
(Оранжевая книга), TCSEC
«Критерии безопасности компьютерных систем» (Trusted
Computer System Evaluation Criteria), получившие неформальное название Оранжевая книга, были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем, и выра- ботки соответствующей методологии и технологии анализа сте- пени поддержки политики безопасности в компьютерных си- стемах военного назначения.
В данном документе были впервые нормативно определены такие понятия, как «политика безопасности», «ядро безопасно- сти» (ТСВ) и т. д. [3, 4].
Предложенные в этом документе концепции защиты и на- бор функциональных требований послужили основой для фор- мирования всех появившихся впоследствии стандартов безо- пасности.

158 8. Обзор международных стандартов информационной безопасности
Классификация требований и критериев Оранжевой книги
В Оранжевой книге предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непо- средственно на обеспечение безопасности информации, а два последних — на качество самих средств защиты. Рассмотрим эти требования подробнее.
1. Политика безопасности.
·
Политика безопасности
Система должна поддерживать точно определённую полити- ку безопасности. Возможность осуществления субъектами досту- па к объектам должна определяться на основе их идентифика- ции и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления до- ступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отме- ченной грифом секретности: «секретно», «сов. секретно» и т. д.).
·
Метки
С объектами должны быть ассоциированы метки безопас- ности, используемые в качестве атрибутов контроля доступа.
Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объ- екту метку или набор атрибутов, определяющих степень кон- фиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту.
2. Аудит.
·
Идентификация и аутентификация
Все субъекты должны иметь уникальные идентификато- ры. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, под- тверждения подлинности их идентификаторов (аутентифика-

159 8.2. Критерии безопасности компьютерных систем министерства обороны США
ции) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защище- ны от несанкционированного доступа, модификации и унич- тожения и ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критич- но с точки зрения безопасности.
·
Регистрация и учет
Для определения степени ответственности пользователей за действия в системе все происходящие в ней события, имею- щие значение с точки зрения безопасности, должны отслежи- ваться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока собы- тий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективность его анализа. Протокол событий должен быть надежно защищен от несанкционированного до- ступа, модификации и уничтожения.
3. Корректность.
·
Контроль корректности функционирования средств за- щиты
Средства защиты должны содержать независимые аппарат- ные и/или программные компоненты, обеспечивающие рабо- тоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутен- тификацию, регистрацию и учёт, должны находиться под кон- тролем средств, проверяющих корректность их функциони- рования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью незави- симы от средств защиты.
·
Непрерывность защиты
Все средства защиты (в т. ч. и реализующие данное требова- ние) должны быть защищены от несанкционированного вме-

160 8. Обзор международных стандартов информационной безопасности шательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирова- ния системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компью- терной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопас- ности системы.
Приведенные базовые требования к безопасности служат ос- новой для критериев, образующих единую шкалу оценки без- опасности компьютерных систем, определяющую семь клас- сов безопасности.