Теоретические основы компьютерной безопасности

Литература по курсу

Специфика компьютерной формы информации:

возможность получения доступа к большим объемам информации в локальном физическом сосредоточении
возможность быстрого или мгновенного копирование огромных объемов информации и, как правило, без следов
возможность быстрого или мгновенного разрушения или искажения огромных объемов информации

провоцирует на посягательство

в результате – КС и ИБ – неотделимые понятия

Защита
(обеспечение) безопасности информации
– не просто вспомогательная, но одна из главных
(основных) функций КС при их создании
и эксплуатации

1. История развития теории и практики обеспечения компьютерной безопасности

2. Содержание и структура понятия компьютерной безопасности

Иерархия понятий:

Безопасность

Информационная Безопасность

Компьютерная Безопасность

Информационная безопасность РФ - состояние защищенности ее (РФ) национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства (Доктрина ИБ РФ)

Компьютерная безопасность – состояние защищенности (безопасность) информации в компьютерных системах и безотказность (надежность) функционирования компьютерных систем

Безопасность компьютерной информации

Обеспече-ние конфи-денци-ально-сти информа-ции

Компьютерная безопасность

Обеспече-ние
целост-ности информа-ции

Обеспече-ние
доступ-ности информа-ции

Обеспечение аутентично-сти реализации функций

Обеспечение безотказно-сти реализации функций

Обеспе-чение безотказности оборудования

Обеспе-чение безотказно сти ПО

Обеспе-чение цело-стно-сти ПО

Обеспе-чение цело-стно-сти параметров ПО

- свойство информации, субъективно устанавливаемое ее собственником, когда ему может быть причинен ущерб от ознакомления с информацией неуполномоченных на то лиц, при условии того, что собственник принимает меры по организации доступа к информации только уполномоченных лиц

- неискаженность, достоверность, полнота, адекватность и т.д., т.е. такое свойство информации, при котором ее содержание и структура (данных) определены уполномоченными лицами и процессами

- такое свойство информации, при котором отсутствуют препятствия доступа к информации и закономерному ее использованию собственником или уполномоченными лицами

Нарушение конфиден-
денциальности, целост-
ности, доступности,
безотказности функций

Объект защиты-
компьютерная
информация,
функции КС

2. Содержание и структура понятия компьютерной безопасности

Безопасность информации
- состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Разумной достаточности

-внедрение в архитектуру, в алгоритмы и технологии функционирования КС защитных механизмов, функций и процедур объективно вызывает дополнительные затраты, издержки при создании и эксплуатации КС, ограничивает, снижает функциональные возможности КС и параметры ее эффективности (быстродействие, задействуемые ресурсы), вызывает неудобства в работе пользователям КС, налагает на них дополнительные нагрузки и требования — поэтому защита должна быть разумно достаточной (на минимально необходимом уровне)

Целенаправленности

-устранение, нейтрализация (либо обеспечение снижения потенциального ущерба) конкретного перечня угроз (опасностей), характерных для конкретной КС в конкретных условиях ее создания и эксплуатации

Системности

-выбор защитных механизмов с учетом системной сути КС, как органи-зационно-технологической человеко-машинной системы, состоящей из взаимосвязанных, составляющих единое целое функциональных, программных, технических, организационно-технологических подсистем

Комплексности

-выбор защитных механизмов различной и наиболее целесообразной в конкретных условиях природы – программно-алгоритмических, процедурно-технологических, нормативно-организационных, и на всех стадиях жизненного цикла – на этапах создания, эксплуатации и вывода из строя

Управляемость

-система защиты КС строится как система управления – объект управления (угрозы безопасности и процедуры функционирования КС), субъект управления (средства и механизмы защиты), среда функционирования, обратная связь в цикле управления, целевая функция управления (снижение риска от угроз безопасности до требуемого (приемлемого) уровня), контроль эффективности (результативности) функционирования

Сочетания унификации и оригинальности

-с одной стороны с учетом опыта создания и применения КС, опыта обеспечения безопасности КС должны применяться максимально проверенные, стандартизированные и унифицированные архитектурные, программно-алгоритмические, организационно-технологические решения,
-с другой стороны, с учетом динамики развития ИТ, диалектики средств нападения и защиты должны разрабатываться и внедряться новые оригинальные архитектурные, программно-алгоритмические, организационно-технологические решения, обеспечивающие безопасность КС в новых условиях угроз, с минимизацией затрат и издержек, повышением эффективности и параметров функционирования КС, снижением требований к пользователям

Общие принципы обеспечения компьютерной безопасности

конфиденциальность

целостность

доступность

«Теоретические основы компьютерной безопасности»

.

Учебные вопросы:

1. Понятие и классификация угроз
2. Идентификация и таксонометрия (каталогизация) угроз
3. Оценивание угроз
4. Человеческий фактор в угрозах безопасности и модель нарушителя

Существенные параметры и характеристики называются основаниями, критериями классификации

Выделяется
таксономическая классификация (род-вид)
мереологическая классификация (часть-целое)
фасетная классификация (аналитико-синтетическая)

Систематизация – приведение в систему, т.е. в нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей; выстраивание в определенный порядок.
Частным случаем систематизации является классификация

Помехи на линиях связи от внешних воздействий
- правильность выбора места (маршрута) прокладки
- технических решений по помехозащищенности
- э/м обстановки

Схемные и системотехнические ошибки разработчиков
Структурные, алгоритмические и программные ошибки
- специальные методы проектирования и разработки
- специальные процедуры тестирования и отладки

Аварийные ситуации
- по выходу из строя электропитания - по стихийным бедствиям
- по выходу из строя систем жизнеобеспечения

Преднамеренные (субъективные)

А

Общий ландшафт инцидентов в IT-сфере РФ

Внутренняя зона КС

Зона контролируемой
территории

Зона помещений КС

Зона ресурсов КС

2. Идентификация и таксонометрия (каталогизация) угроз

раскрытие данных путем доступа к файлам БД средствами ОС

раскрытие данных путем анализа остаточной информации

ошибочное уничтожение данных пользователями КС

Угроза
актуальна?

Перечень угроз для КС

Угр.1. Раскрытие данных путем доступа к файлам БД средствами ОС

Угр.2. Раскрытие данных путем анализа остаточной информации

…

…

Bundesamt für Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de

РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты. http://www.fstec.ru

Каталоги (таксономические схемы классификации) угроз безопасности

Угрозы данным на носителях

Угрозы данным в телекоммуникационных линиях

Угрозы прикладным программам (приложениям)

Угрозы прикладным процессам и данным

Угрозы отображаемым данным

Угрозы вводимым данным

Угрозы данным, выводимым на печать

Угрозы данным пользователей 

Угрозы системным службам и данным

Угрозы информационному оборудованию

- источник угрозы (люди либо иные факторы)

Аспекты угрозы

- предполагаемый метод (способ, особенности) нападения/реализации

- уязвимости, которые м.б. использованы для нападения/реализации

- активы, подверженные нападению/реализации

данные на
носителях

данные раскрыты путем незаконного перемещения носителя

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом

данные раскрыты путем их выгрузки с носителя данных неуполномоченным лицом

использование остаточной информации на носителе

незаконное копирование данных

данные незаконно используются, или их использование затруднено из-за изменения атрибутов доступа к данным неуполномоченным лицом

данные получены незаконно путем фальсификации файла

данные повреждены из-за разрушения носителя

данные уничтожены или их использование затруднено из-за неисправности устройства ввода-вывода

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом путем использования соответствующей команды

зашифрованные данные не могут быть дешифрованы из-за потери секретного ключа

данные ошибочно удалены уполномоченным лицом

2. Идентификация и таксонометрия (каталогизация) угроз

данные в телекоммуникационных линиях

данные перехвачены или разрушены в телекоммуникационной линии

данные прослушиваются, незаконно умышленно изменены, искажены, похищены, удалены или дополнены в системе коммутации

данные незаконно используются в результате подмены их адресата, отправителя или изменения атрибутов доступа в системе коммутации

связь заблокирована из-за повреждения линии

связь заблокирована из-за аномалий в канале связи

несанкционированная повторная передача данных в неразрешенный адрес

прикладные программы (приложения)

выполнение приложения неуполномоченным лицом

обращение к данным в библиотеке программ, модификация или удаление данных в библиотеке программ неуполномоченным лицом

незаконное использование программы или затруднение ее использования путем изменения ее атрибутов доступа неуполномоченным лицом

аномалии в ходе выполнения программы из-за аппаратного отказа компьютера

2. Идентификация и таксонометрия (каталогизация) угроз

прикладные процессы и данные

несанкционированное использование прикладных процессов (например, запросов по Telnet и FTP)

блокировка прикладных процессов (атаки, направленные на переполнение трафика, например, запросы на обработку потока ненужных данных)

отрицание факта обмена данными или отрицание их содержания

отказ от авторства данных

несанкционированная передача данных

несанкционированное использование данных или программ путем использования оставшихся в программах отладочных функций

необоснованный отказ от предоставления услуги

незаконное умышленное изменение, искажение, похищение, удаление или разрушение данных

несанкционированное выполнение операций

нарушение конфиденциальности

отображаемые данные

просмотр данных неуполномоченным лицом

несанкционированное копирование или печать

вводимые данные

данные раскрыты во время ввода

введенные данные несанкционированно изъяты (или удалены)

2. Идентификация и таксонометрия (каталогизация) угроз

пользователь (человек, система, терминал) не может быть идентифицирован

маскировка путем использования раскрытой идентификационной информации пользователя (человека, системы, терминала)

пользователь не идентифицирован

маскировка путем использования незаконно раскрытой информации аутентификации

маскировка путем незаконного (логического) вывода аутентификационной информации

маскировка путем использования недействительной аутентификационной информации

использование недействительного права из-за сбоя журнала регистрации прав пользователей

действия пользователя несанкционированно раскрыты (нарушение конфиденциальности)

отрицание факта передачи данных

отрицание владения данными

отрицание факта приема данных

данные посланы несоответствующему получателю вследствие его маскировки под авторизованного пользователя или ошибки спецификации

маскировка путем подделки информации аутентификации

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

2. Идентификация и таксонометрия (каталогизация) угроз

система незаконно используется пользователем, который выдает себя за оператора во время отсутствия оператора

нарушение безопасности системы вследствие несанкционированного действия или ошибки уполномоченного пользователя

внедрение вирусов

несанкционированное проникновение в систему

проникновение в систему, используя известные дефекты протоколов (например, протокола IP)

нарушение безопасности системы вследствие несанкционированной замены системной программы

обслуживание прекращено из-за разрушения системной программы

несанкционированная системная операция

информационное оборудование

повреждение или изъятие

отключение питания

2. Идентификация и таксонометрия (каталогизация) угроз

Без десруктив-ных функций

РПС

Черные ходы, люки

Несамовоспроизводящиеся (Трояны)

Самовоспроизводящиеся (Вирусы)

Другие

Скрытые каналы

По памяти

По времени

Ошибки контроля допустимых значений параметров

Ошибки определения областей (доменов)

Ошибки последов-ти действий и использ-я имен

Ошибки идентификации, аутентификации

Ошибки проверки границ объектов

Другие ошибки в логике функционирования

2. Идентификация и таксонометрия (каталогизация) угроз

Управление выделением памяти

Управление устройствами

Средства идент-ии и аутентификации

Другие (неизвестные)

Сервисные програм-мы и ути-литы

Привилегированные утилиты

Непривилегированные утилиты

8

2

10

3

6

5

1

10

1

2

Опера-ционные системы

Прикладные программы

3

2. Идентификация и таксонометрия (каталогизация) угроз

Апостериорные, на основе гистограмм распределения событий проявления соотв. угроз по результатам эксплуатации КС

Экспертные, на основе экспертных оценок специалистов

Методики экспертных оценок

Отбор экспертов (формальные и неформальные требования, метод «снежного кома», 10-12 экспертов)
Выбор параметров, по которым оцениваются объекты (стоимость, важность, веса параметров)
Выбор шкал оценивания (методов экспертного шкалирования)

- носитель/источник угроз (как внутренних, так и внешних, как случайных, так и преднамеренных)

- средство, орудие осуществления угроз (всех преднамеренных и определенной части случайных угроз)

- предмет, объект, среда осуществления угроз (как элемента человеко-машинной КС)

Сторонние
эксперты, конс.

Родственники,
друзья

Бывшие
работники

Структура потенциальных нарушителей (злоумышленников)

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Неосознанные (не вполне, не до конца осознаваемые)
- Хулиганство
- Месть
- Зависть
- Недовольство
- Небрежность, недобросовестность

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Исходное основание для разработки
и синтеза системы защиты информации!!!

4. Человеческий фактор в угрозах безопасности и модель нарушителя

4-й (высший) уровень возможностей нарушителя
Весь объем
возможностей
лиц, осуществляю-
щих проектирование,
реализацию и
ремонт технических
средств АС,
вплоть до включения
в состав СВТ
собственных
технических средств
с новыми функциями
по обработке ин-
формации

3-й уровень
Возможность
управления
функционирова-
нием АС, т.е.
воздействием на
базовое програм-
мное обеспече-
ние системы и на
состав и
конфигурацию
оборудования

2-й уровень
Возможность
создания и
запуска
собственных
программ с
новыми
функциями
по обработке
информации

1-й уровень
Запуск задач
(программ) из фикси-
рованного набора,
реализующих заранее
предусмотренные
функции по обработке
информации

Модель нарушителя

Модель внутреннего нарушителя по РД ГосТехКомисии

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Тема 1. Исходные положения теории компьютерной безопасности

.

Учебные вопросы:

1.Понятие политики и моделей безопасности информации в компьютерных системах
2.Монитор (ядро) безопасности КС
3.Гарантирование выполнения политики безопасности. Изолированная программная среда

1.Понятие политики и моделей безопасности информации в КС

Политика безопасности КС
-интегральная (качественная) характеристика, описывающая свойства, принципы и правила защищенности информации в КС в заданном пространстве угроз

Модель безопасности
-формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности

Политика безопасности организации
-совокупность руководящих принципов, правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408)

1. Компьютерная система – система, функционирующая в дискретном времени: t0,t1,t2,…,tk,…
В каждый следующий момент времени tk КС переходит в новое состояние.
В результате функционирование КС представляет собой детерминированный или случайный процесс
- стационарность (временнόе поведение [количественных] параметров системы)
- эргодичность (поведение параметров системы по совокупность реализаций)
- марковость (память по параметрам системы)

2. Модели конечных состояний позволяют описать (спрогнозировать) состояние КС в момент времени tn,(n≥1), если известно состояние в момент t0 и установлены некоторые правила (алгоритмы, ограничения) на переходы системы из состояния tk в tk+1

1.Понятие политики и моделей безопасности информации в КС

3. В каждый момент времени tk КС представляется конечным множеством элементов, разделяемых на два подмножества:
-множество субъектов - S
-множество объектов – O

4. В каждый момент времени tk субъекты могут порождать процессы над объектами, называемыми доступами
Доступы субъектов к объектам порождают информационные потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. м. измениться декомпозиция КС на множество субъектов и множество объектов

1.Понятие политики и моделей безопасности информации в КС

Т.о. процесс функ-я КС нестационарный

Свойства субъектов:
-угрозы информации исходят от субъектов, изменяющих состояние объектов в КС
-субъекты-инициаторы могут порождать через объекты-источники новые объекты
-субъекты могут порождать потоки (передачу) информации от одних объектов к другим

1.Понятие политики и моделей безопасности информации в КС

- объекты-источники;
- объекты-данные

Create(Sj , Oi)→ Sm

Функционирование КС – нестационарный процесс, но в субъектно-объектной модели КС действует дискретное время ti. В любой момент времени ti множество субъектов, объектов-источников, объектов-данных фиксировано!!!

Определение 2.Объект в момент времени tk ассоциирован с субъектом , если состояние объекта Oi повлияло на состояние субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm использует информацию, содержащуюся в объекте Oi).
Можно выделить: - множество функционально-ассоциированных объектов
- множество ассоциированных объектов-данных с субъектом Sm в момент времени tk

Следствие 2.1. В момент порождения объект-источник является ассоциированным с порожденным субъектом

Субъектно-объектная модель Щербакова

1.Понятие политики и моделей безопасности информации в КС

– потоки информации м.б. только между объектами (а не между субъектом и объектом)
– объекты м.б. как ассоциированы, так и не ассоциированы с субъектом Sm
– операция порождения потока локализована в субъекте и сопровождается изменением состояния ассоциированных (отображающих субъект) объектов
– операция Stream может осуществляться в виде "чтения", "записи", "уничтожения", "создания" объекта

Определение 4.Доступом субъекта к объекту Oj называется порождение субъектом Sm потока информации между объектом Oj и некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi ассоциирован с субъектом Sm)

Будем считать, что все множество потоков информации P (объединение всех потоков во все tk) разбито на два подмножества
- множество потоков PL , характеризующих легальный доступ
- множество потоков PN, характеризующих несанкционированный доступ

Определение 5.Правила разграничения доступа, задаваемые политикой безопасности, есть формально описанные потоки, принадлежащие множеству PL .

1.Понятие политики и моделей безопасности информации в КС

Аксиома 5. Субъекты в КС могут быть порождены только ак- тивной компонентой (субъектами же) из объектов

1.Понятие политики и моделей безопасности информации в КС

- множество PL задается неявным образом через предоставление субъектам неких полномочий (допуска, мандата) порождать определенные потоки над объектами с определенными характеристиками конфиденциальности (метками, грифами секретности)

- множество PL задается через введение в системе дополнительных абстрактных сущностей – ролей, с которыми ассоциируются конкретные пользователи, и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы

1.Понятие политики и моделей безопасности информации в КС

Компонент представления (файловая система в ОС)

Компонент доступа (система ввода-вывода в ОС)

Изолированность - монитор д.б. защищен от отслеживания и перехвата своей работы

Верифицируемость - монитор д.б. проверяемым на выполнение своих функций, т.е. быть тестируемым (самотестируемым)

Непрерывность - монитор должен функционировать при любых штатных и нештатных (в т.ч. и в аварийных) ситуациях

Монитор безопасности реализует политику безопасности на основе той или иной модели безопасности

2. Монитор (ядро) безопасности КС

- монитор безопасности объектов (МБО)
- монитор безопасности субъектов (МБС)

2. Монитор (ядро) безопасности КС

Определение 6.Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемым любым субъектом, и разрешающий только те потоки, которые принадлежат множеству PL

Определение 7.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и объектов-источников

Защищенная компьютерная система

2. Монитор (ядро) безопасности КС

Определение 9.Субъекты Si и Sj тождественны в момент времени tk , если попарно тождественны все соответствующие ассоциированные с ними объекты

Следствие 9.1. Порожденные субъекты тождественны, если тождественны порождающие их субъекты и объекты-источники

Определение 10.Субъекты Si и Sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами Oi и Oj , ассоциированными соответственно с субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не ассоциирован с Si

(Изменение состояние объекта – не тождественность в соотв. моменты времени)

Исх. тезис -
при изменении объектов, функционально
ассоциированных с субъектом монитора безопасности
могут измениться свойства самого МБО и МБС,
что м. привести к нарушению ПБ

Утверждение 1.ПБ гарантированно выполняется в КС, если:
- МБО разрешает порождение потоков только из PL;
- все существующие в КС субъекты абсолютно корректны относительно МБО и друг друга

Достаточное условие гарантированного выполнения ПБ

МБО
субъект

На практике только корректность относительно МБО

Док-во:

∅

∅

∅

3. Гарантирование выполнения политики безопасности. ИПС.

Достаточное условие гарантированного выполнения ПБ

∅

На практике легче, чем полная корректность субъектов относительно друг друга

∅

∅

∅

∅

∅

Док-во:

3. Гарантирование выполнения политики безопасности. ИПС.

Определение 13.Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС

Следствие 13.1. Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБО и МБС, также составляет изолированную (абсолютно изолированную) программную среду

Называют "Изолированной программной средой (ИПС)"

Следствие 13.2. Дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в ИПС субъектов, оставляет КС изолированной (абсолютно изолированной)

3. Гарантирование выполнения политики безопасности. ИПС.

Утверждение 3.Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки между объектами через субъекты, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени КС также остается изолированной (абсолютно изолированной).

Базовая теорема ИПС

Док-во: 1.Из условия абс. корр. м.б. только такие потоки, которые изменяют состояние объектов, не ассоциированных в соотв. моменты времени с каким-либо субъектом. Отсюда не м.б. изменены объекты-источники.
2.Т.к. объекты-источники остаются неизменными, то мощность множества порождаемых субъектов нерасширяемо, и тем самым множество субъектов КС остается изолированным

Следствие 16.1. При порождении с контролем неизменности объектов субъекты, порожденные в различные моменты времени, тождественны Sm[t1]= Sm[t2]. При t1= t2 порождается один и тот же субъект.

3. Гарантирование выполнения политики безопасности. ИПС.

3. Гарантирование выполнения политики безопасности. ИПС.

Учебные вопросы:

1.Общая характеристика политики дискреционного доступа
2.Пятимерное пространство Хартсона
3.Модели на основе матрицы доступа
4.Модели распространения прав доступа

Литература:

Методы доступы

-виды действий (операций) субъектов над объектами КС (чтение/просмотр, запись/модификация/добавление, удаление, создание, запуск и т.п.)

Права доступа

-методы доступа (действия, операции), которыми обладают (наделяются, способны выполнять) субъекты над объектами КС

Политика (правила) разграничения доступа

-совокупность руководящих принципов и правил наделения субъектов КС правами доступа к объектам, а также правил и механизмов осуществления самих доступов и реализации информационных потоков

Разграничение доступа к информации (данным) КС

-разделение информации АИС на объекты (части, элементы, компоненты и т. д.), и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части информации (к тем данным), которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений
-создание такой системы организации данных, а также правил и механизмов обработки, хранения, циркуляции данных, которые обеспечивают функциональность КС и безопасность информации (ее конфиденциальность, целостность и доступность)

1. Общая характеристика политики дискреционного доступа

Виды политик (правил, механизмов) разграничения доступа

Политика мандатного разграничения доступа

-предоставление прав доступа субъектов к объектам неявным образом посредством присвоения уровней (меток) безопасности объектам (гриф конфиденциальности, уровень целостности), субъектам (уровень допуска/полномочий) и организация доступа на основе соотношения «уровень безопасности субъекта-операция-уровень безопасности объекта»

Политика тематического разграничения доступа

-предоставление прав доступа субъектам к объектам неявным образом посредством присвоения тематических категорий объектам (тематические индексы) и субъектам (тематические полномочия) и организация доступа на основе соотношения «тематическая категория субъекта-операция-тематическая категория объекта»

Политика ролевого разграничения доступа

Политика временнόго разграничения доступа

-предоставление пользователям прав работы в КС по определенному временному регламенту (по времени и длительность доступа)

Политика маршрутного доступа

-предоставление пользователям прав работы в КС при доступе по определенному маршруту (с определенных рабочих станций)

1. Общая характеристика политики дискреционного доступа

-агрегирование прав доступа к объектам в именованные совокупности (роли), имеющие определенный функционально-технологический смысл в предметной области КС, и наделение пользователей правом работы в КС в соответствующих ролях

Модели и механизмы реализации дискреционного разграничения доступа

Различаются:
-в зависимости от принципов и механизмов программно-информационной структуры объекта(объектов), ассоциированных с монитором безопасности, в которых хранятся «прописанные» права доступа (тройки доступа)
-в зависимости от принципа управления правами доступа, т.е. в зависимости от того – кто и как заполняет/изменяет ячейки матрицы доступа (принудительный и добровольный принцип управления доступом)
Выделяют:
-теоретико-множественные (реляционные) модели разграничения доступа (пятимерное пространство Хартсона, модели на основе матрицы доступа)
-модели распространения прав доступа (модель Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, теоретико-графовая модель TAKE-GRANT)

1. Общая характеристика политики дискреционного доступа

- ресурсы
- вхождение пользователей в группы;
разрешенные операции для групп по отношению к ресурсам;

Элементы множества A - aijkl специфицируют:

Декартово произведение A×U×E×R×S - область безопасного доступа

Запрос пользователя на доступ представляет собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый набор ресурсов

Процесс организации доступа по запросу осуществляется по следующему алгоритму:

1.Вызвать все вспомогательные программы для предварительного принятия решения

2.Определить те группы пользователей, в которые входит u, и выбрать из A те спецификации полномочий P=F(u), которым соответствуют выделенные группы пользователей. Набор полномочий P=F(u) определяет т.н.привилегию пользователя

2. Пятимерное пространство Хартсона

На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен полномочий запроса:
D(q)= F(u)∩F(e)∩P=F(R')

2. Пятимерное пространство Хартсона

6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.
В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e.
В результате формируется новый набор полномочий на каж-дую единицу ресурса, указанного в D(q) - F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по отношению к запросу q.

авторизация

2. Пятимерное пространство Хартсона

8.Оценить EAC и принять решение о доступе:
- разрешить доступ, если R'' и R' полностью перекрываются;
- отказать в доступе в противном случае.

9.Произвести запись необходимых событий

10.Вызвать все программы, необходимые для организации доступа после "принятия решения".

11.Выполнить все вспомогательные программы, вытекающие для каждого случая по п.8.

12.При положительном решении о доступе завершить физическую обработку.

Но!!! Безопасность системы в строгом смысле не доказана

2. Пятимерное пространство Хартсона

A[si,oj]= aij - право r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

системы с принудительным управлением доступа;
системы с добровольным управлением доступом.

Принудительное управление доступом

- вводится т.н.доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)

Жесткость, но и более четкий контроль

Добровольное управление доступом

- вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)

Гибкость, но и сложность контроля

- в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

- в таких системах заполнять и изменять ячейки матрицы доступа может только администратор

3. Модели на основе матрицы доступа

СУБД

системная таблица с назначениями доступа

3. Модели на основе матрицы доступа

Объект 1

Объект 2

…

Структура списков доступа на примере NTFS

C каждым объектом NTFS связан т.н. дескриптор защиты, состоящий из:

ID влад.

ID перв. гр. влад.

DACL

SACL

DACL – последовательность произв. кол-ва элементов контроля доступа – АСЕ, вида:

SACL – данные для генерации сообщений аудита

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объекты д.б. зарегистрированы в системе

Д.б. обеспечен контроль целостности ACL

3. Модели на основе матрицы доступа

В модели Харрисона-Руззо-Ульмана помимо элементарных опе-раций доступа Read, Write и т.д., вводятся также т.н. прими-тивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

Состояние системы Q изменяется при выполнении команд C(α1, α2, …), изменяющих состояние матрицы доступа A. Команды инициируются пользователями-субъектами

Структура команды

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

Команды с одной операцией – монооперационные, с одним условием - моноусловные

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Примеры команд -

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

Формулировка проблемы безопасности для модели Харрисона-Руззо-Ульмана:
Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к конкретному объекту? (т.е. всегда ли возможно построить такую последовательность запросов при некоторой исходной конфигурации когда изначально субъект этим правом не обладает?)

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Теорема 2. Проблема безопасности неразрешима в общем случае

Выводы по модели Харрисона-Руззо-Ульмана:
-данная модель в ее полном виде позволяет реализовать множество политик безопасности, но при этом проблема безопасности становится неразрешимой
-разрешимость проблемы безопасности только для монооперационных систем приводит к слабости такой модели для реализации большинства политик безопасности (т.к. нет операции автоматического наделения своими правами дочерних объектов, ввиду чего по правам доступа они изначально не различимы)

Харрисон, Руззо и Ульман показали :

Док-во
на основе
моделирования
системы
машиной
Тьюринга

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Command “запустить файл"(s1, f ):
if execute ∈ [s1, f ] ;
then
Create subject f ' ;
Enter "read“ into [f ',o1];
Enter "read" into [f ',o3];
if write ∈ [s1,o2] ;
then
Enter “write“ into [f',o2];
end

Command “скопировать файл o3 программой f ' в o2“ (f ',o3, o2):
if read ∈ [f ', o3] and
write ∈ [f ', o2]
then
Create object o';
Write (f ', o3 , o');
if read ∈ [s2, o2] ;
then
Enter "read" into [s2,o'];
end

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Определение 1. Тип τk является дочерним типом в команде созда- ния α(x1:τ1, x2:τ2,…, xk:τk), если и только если имеет место один из следующих элементарных операторов: "Create subject xk of type τk" или "Create object xk of type τk". В противном случае тип τk является родительским типом.

Анализ проблем безопасности в модели ТАМ
основывается на понятии родительских и дочерних типов

Вводится
Граф отношений
наследственности

Command α(x1:τ1, x2:τ2,…, xk: τk)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

2-й шаг. α(s3:u, o1:v):
Create subject s3 of type u ;
Inter r'' into [s3, o1] ;
end

1-й шаг. α(s1:u, s2:w, o1:v):
Create object o1 of type v ;
Inter r into [s1, o1] ;
Create subject s2 of type w ;
Inter r' into [s2, o1] ;
end

v – дочерний тип в команде α, в теле которой имеются еще типы u, w. Т.о. в Графе отношений наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v)

w – дочерний тип в команде α, в теле которой имеются еще типы u, v. Т.о. в Графе отношений наследственности возникают дуги (u,w), (v,w) и в т.ч. (w,w)

u – дочерний тип в команде α, в теле которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. (u,u)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Также, как и в модели HRU, используется понятие монотонной (МTAM) системы, которая не содержит примитивных операторов Delete и Destroy.

Теорема 3. Проблема безопасности разрешима для ацикличных реализаций МTAM

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Джонс, Липтон, Шнайдер, 1976г.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Команда «Давать" – grant(α, x, y, z)

субъект x берет права доступа α ⊆ β на объект z у объекта y (обозначения: ├с – переход графа Г в новое состояние Г' по команде c ; x∈ S; y, z∈ O)

субъект x дает объекту y право α ⊆ β на доступ к объекту z

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Команда «Изъять" – remove(α, x, y)

субъект x удаляет права доступа α ⊆ β на объект y

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

3.1. Санкционированное получение прав доступа

Определение 3. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа α ⊆ R предикат "возможен доступ(α,  x,  y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что:
Г0 (O0, S0, E0) ├с1 Г1 (O1, S1, E1) ├с2…├сN ГN (ON, SN, EN) и (x, y,α)∈ EN
где c1,  c2, …, cN – команды переходов

Определение 4. Вершины графа доступов являются tg-связными (соединены tg-путем), если в графе между ними существует такой путь, что каждая дуга этого пути выражает право t или g (без учета направления дуг)

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

получение прав α доступа субъектом x у субъекта s на объект y при различных вариантах непосредственной tg-связности

Доказательство

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT