Теоретические основы компьютерной безопасности

Содержание

Слайд 2

Содержание

Лекция 1.1 Содержание и основные понятия компьютерной безопасности.
Лекция 1.2 Угрозы безопасности в

Содержание Лекция 1.1 Содержание и основные понятия компьютерной безопасности. Лекция 1.2 Угрозы
компьютерных системах.
Лекция 1.3 Политика и модели безопасности в компьютерных системах.
Лекция 2.1 Модели безопасности на основе дискреционной политики
Лекция 2.2 Модели безопасности на основе мандатной политики
Лекция 2.3 Модели безопасности на основе тематической политики
Лекция 2.4 Модели безопасности на основе ролевой политики
Лекция 2.5 Автоматные и теоретико-вероятностные модели невлияния и невыводимости
Лекция 2.6 МоделиМодели Модели и технологии обеспечения Модели и технологии обеспечения Модели и технологии обеспечения целостности данных
Лекция 2.7 Методы и технологии обеспечения доступности (сохранности) данных

Слайд 3

Содержание

Лекция 2.8 Политика и модели безопасности в распределенных КС
Лекция 3.1 Методы, критерии

Содержание Лекция 2.8 Политика и модели безопасности в распределенных КС Лекция 3.1
и шкалы оценки защищенности (безопасности)
Лекция 3.2 Теоретико-графовые модели комплексной оценки защищенности КС
Лекция 3.3 Методы анализа и оптимизации индивидуально-групповых систем разграничения доступа

Слайд 8

1. Хоффман Л. Современные методы защиты информации. М.:Сов.радио, 1980. – 264с.
2. Грушо

1. Хоффман Л. Современные методы защиты информации. М.:Сов.радио, 1980. – 264с. 2.
А.А.,Тимонина Е.Е. Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с.
3. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с
4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с.
5. Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с.
6. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин, О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - 192с.
8. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.
9.Гайдамакин Н.А. Разграничение доступа к информации в компью-терных системах. - Екатеринбург: изд-во Урал. Ун-та, 2003. – 328 с.
10. Корт С.С. Теоретические основы защиты информации: Учебное пособие. – М.: Гелиос АРВ, 2004. – 240 с.
11.Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», 2005. – 144 с.

Литература по курсу

Слайд 9

Лекция 1.1Лекция 1.1. Содержание и основные понятия компьютерной безопасности

Тема 1. Основы теории

Лекция 1.1Лекция 1.1. Содержание и основные понятия компьютерной безопасности Тема 1. Основы теории компьютерной безопасности
компьютерной безопасности

Слайд 10

Учебные вопросы:

1.История развития теории и практики обеспечения компьютерной безопасности
2.Содержание и структура понятия

Учебные вопросы: 1.История развития теории и практики обеспечения компьютерной безопасности 2.Содержание и
компьютерной безопасности
3.Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Слайд 11

Защита информации – проблема с древнейших времен

1. История развития теории и практики

Защита информации – проблема с древнейших времен 1. История развития теории и
обеспечения компьютерной безопасности

Специфика компьютерной формы информации:

возможность получения доступа к большим объемам информации в локальном физическом сосредоточении
возможность быстрого или мгновенного копирование огромных объемов информации и, как правило, без следов
возможность быстрого или мгновенного разрушения или искажения огромных объемов информации

провоцирует на посягательство

в результате – КС и ИБ – неотделимые понятия

Защита
(обеспечение) безопасности информации
– не просто вспомогательная, но одна из главных
(основных) функций КС при их создании
и эксплуатации

Слайд 12

Основные этапы развития теории и практики КБ:

1. История развития теории и практики

Основные этапы развития теории и практики КБ: 1. История развития теории и практики обеспечения компьютерной безопасности
обеспечения компьютерной безопасности

Слайд 13

Основные этапы развития теории и практики КБ:

1. История развития теории и практики

Основные этапы развития теории и практики КБ: 1. История развития теории и практики обеспечения компьютерной безопасности
обеспечения компьютерной безопасности

Слайд 14

Основные этапы развития теории и практики КБ:

Отечественная школа КБ

В.А.Герасименко - 1991г., модель

Основные этапы развития теории и практики КБ: Отечественная школа КБ В.А.Герасименко -
системно-концептуального подхода к безопасности
Грушо А.А., Тимонина Е.Е. – 1996г., гарантированность защи-щенности АС как математическое доказательство гаранти-рованного выполнения априорно заданной политики без-ти
Расторгуев С.П., начало 90-х г.г. - теория разрушающих программных воздействий, середина 90-х г.г. - теория информационного противоборства
Щербаков А.Ю. – 90-е г.г., субъектно-объектная модель изолированной программной среды
СПб школа Зегжды П.Д. – середина 90-х г.г., таксонометрия изъянов безопасности КС
Школа ИКСИ (Б.А.Погорелов, А.П.Коваленко) – конец 90-х г.г., государственные образовательные стандарты подготов-ки специалистов в сфере компьютерной безопасности

1. История развития теории и практики обеспечения компьютерной безопасности

Слайд 15

Методологическая база - понятие безопасности
(з-н "О безопасности", 1993г.)

- состояние защищенности жизненно

Методологическая база - понятие безопасности (з-н "О безопасности", 1993г.) - состояние защищенности
важных интересов личности, общества и государства от внутренних и внешних угроз

2. Содержание и структура понятия компьютерной безопасности

Иерархия понятий:

Безопасность

Информационная Безопасность

Компьютерная Безопасность

Информационная безопасность РФ - состояние защищенности ее (РФ) национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства (Доктрина ИБ РФ)

Компьютерная безопасность – состояние защищенности (безопасность) информации в компьютерных системах и безотказность (надежность) функционирования компьютерных систем

Безопасность компьютерной информации

Слайд 16

2. Содержание и структура понятия компьютерной безопасности

Безопасность информации в КС

Безотказность (надежность) функционирования

2. Содержание и структура понятия компьютерной безопасности Безопасность информации в КС Безотказность
КС

Обеспече-ние конфи-денци-ально-сти информа-ции

Компьютерная безопасность

Обеспече-ние
целост-ности информа-ции

Обеспече-ние
доступ-ности информа-ции

Обеспечение аутентично-сти реализации функций

Обеспечение безотказно-сти реализации функций

Обеспе-чение безотказности оборудования

Обеспе-чение безотказно сти ПО

Обеспе-чение цело-стно-сти ПО

Обеспе-чение цело-стно-сти параметров ПО

- свойство информации, субъективно устанавливаемое ее собственником, когда ему может быть причинен ущерб от ознакомления с информацией неуполномоченных на то лиц, при условии того, что собственник принимает меры по организации доступа к информации только уполномоченных лиц

- неискаженность, достоверность, полнота, адекватность и т.д., т.е. такое свойство информации, при котором ее содержание и структура (данных) определены уполномоченными лицами и процессами

- такое свойство информации, при котором отсутствуют препятствия доступа к информации и закономерному ее использованию собственником или уполномоченными лицами

Слайд 17


Методы и средства нейтрализации,
предотвращения угроз или снижения ущерба
Субъект защиты
Угрозы (формы, методы
осуществления)

Субъект
(источник)

Методы и средства нейтрализации, предотвращения угроз или снижения ущерба Субъект защиты Угрозы
угроз

Нарушение конфиден-
денциальности, целост-
ности, доступности,
безотказности функций

Объект защиты-
компьютерная
информация,
функции КС

2. Содержание и структура понятия компьютерной безопасности

Безопасность информации
- состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Слайд 18

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Общие принципы обеспечения

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности Общие принципы
компьютерной безопасности

Разумной достаточности

-внедрение в архитектуру, в алгоритмы и технологии функционирования КС защитных механизмов, функций и процедур объективно вызывает дополнительные затраты, издержки при создании и эксплуатации КС, ограничивает, снижает функциональные возможности КС и параметры ее эффективности (быстродействие, задействуемые ресурсы), вызывает неудобства в работе пользователям КС, налагает на них дополнительные нагрузки и требования — поэтому защита должна быть разумно достаточной (на минимально необходимом уровне)

Целенаправленности

-устранение, нейтрализация (либо обеспечение снижения потенциального ущерба) конкретного перечня угроз (опасностей), характерных для конкретной КС в конкретных условиях ее создания и эксплуатации

Системности

-выбор защитных механизмов с учетом системной сути КС, как органи-зационно-технологической человеко-машинной системы, состоящей из взаимосвязанных, составляющих единое целое функциональных, программных, технических, организационно-технологических подсистем

Комплексности

-выбор защитных механизмов различной и наиболее целесообразной в конкретных условиях природы – программно-алгоритмических, процедурно-технологических, нормативно-организационных, и на всех стадиях жизненного цикла – на этапах создания, эксплуатации и вывода из строя

Слайд 19

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Непрерывности

-защитные механизмы должны

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности Непрерывности -защитные
функционировать в любых ситуациях в т.ч. и внештатных, обеспечивая как конфиденциальность, целостность, так и сохранность (правомерную доступность)

Управляемость

-система защиты КС строится как система управления – объект управления (угрозы безопасности и процедуры функционирования КС), субъект управления (средства и механизмы защиты), среда функционирования, обратная связь в цикле управления, целевая функция управления (снижение риска от угроз безопасности до требуемого (приемлемого) уровня), контроль эффективности (результативности) функционирования

Сочетания унификации и оригинальности

-с одной стороны с учетом опыта создания и применения КС, опыта обеспечения безопасности КС должны применяться максимально проверенные, стандартизированные и унифицированные архитектурные, программно-алгоритмические, организационно-технологические решения,
-с другой стороны, с учетом динамики развития ИТ, диалектики средств нападения и защиты должны разрабатываться и внедряться новые оригинальные архитектурные, программно-алгоритмические, организационно-технологические решения, обеспечивающие безопасность КС в новых условиях угроз, с минимизацией затрат и издержек, повышением эффективности и параметров функционирования КС, снижением требований к пользователям

Общие принципы обеспечения компьютерной безопасности

Слайд 20

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Систематика методов и

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности Систематика методов
механизмов обеспечения КБ

конфиденциальность

целостность

доступность

Слайд 21

Лекция 1.2. Угрозы безопасности в компьютерных системах

Тема 1. Исходные положения теории компьютерной

Лекция 1.2. Угрозы безопасности в компьютерных системах Тема 1. Исходные положения теории
безопасности

«Теоретические основы компьютерной безопасности»

.

Слайд 22

Литература:
1. ГОСТ Р 51275-99. Защита информации. Объект информа- тизации. Факторы, воздействующие на

Литература: 1. ГОСТ Р 51275-99. Защита информации. Объект информа- тизации. Факторы, воздействующие
информацию
2. Bundesamt für Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de
3. РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты
4. ГОСТ Р ИСО 7498-2-99. Взаимосвязь открытых систем. Базовая эталонная модель. Ч.2. Архитектура защиты информации

Учебные вопросы:

1. Понятие и классификация угроз
2. Идентификация и таксонометрия (каталогизация) угроз
3. Оценивание угроз
4. Человеческий фактор в угрозах безопасности и модель нарушителя

Слайд 23

Угроза
безопасности

1. Понятие и классификация угроз

Угроза безопасности 1. Понятие и классификация угроз

Слайд 24

1. Понятие и классификация угроз

Классификация –
последовательное деление понятий, проводимое по характеристикам

1. Понятие и классификация угроз Классификация – последовательное деление понятий, проводимое по
и параметрам, существенным с точки зрения исследовательской задачи

Существенные параметры и характеристики называются основаниями, критериями классификации

Выделяется
таксономическая классификация (род-вид)
мереологическая классификация (часть-целое)
фасетная классификация (аналитико-синтетическая)

Систематизация – приведение в систему, т.е. в нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей; выстраивание в определенный порядок.
Частным случаем систематизации является классификация

Слайд 25

1. Понятие и классификация угроз

Угрозы

1. Понятие и классификация угроз Угрозы

Слайд 26

1. Понятие и классификация угроз

Угрозы по природе происхождения

А

Отказы и сбои аппаратуры
-

1. Понятие и классификация угроз Угрозы по природе происхождения А Отказы и
определяются качеством и надежностью аппаратуры
- техническими решениями и др. факторами

Помехи на линиях связи от внешних воздействий
- правильность выбора места (маршрута) прокладки
- технических решений по помехозащищенности
- э/м обстановки

Схемные и системотехнические ошибки разработчиков
Структурные, алгоритмические и программные ошибки
- специальные методы проектирования и разработки
- специальные процедуры тестирования и отладки

Аварийные ситуации
- по выходу из строя электропитания - по стихийным бедствиям
- по выходу из строя систем жизнеобеспечения

Слайд 27

1. Понятие и классификация угроз

Угрозы по природе происхождения

- вызванные человеком или связанные

1. Понятие и классификация угроз Угрозы по природе происхождения - вызванные человеком
с действиями человека, определяются т.н. человеческим фактором (мотивы, категории, возможности)

Преднамеренные (субъективные)

А

Общий ландшафт инцидентов в IT-сфере РФ

Слайд 28

1. Понятие и классификация угроз

Угрозы по направлению осуществления

B

Причины,
источники:
недружественное
(враждебное) окружение
дестабилизирующие
факторы внешней

1. Понятие и классификация угроз Угрозы по направлению осуществления B Причины, источники:

среды

Внутренняя зона КС

Зона контролируемой
территории

Зона помещений КС

Зона ресурсов КС

Слайд 29

1. Понятие и классификация угроз

Соотношение некоторых видов угроз

Соотношение внешних и внутренних (т.н.

1. Понятие и классификация угроз Соотношение некоторых видов угроз Соотношение внешних и внутренних (т.н. инсайдерских) угроз
инсайдерских) угроз

Слайд 30

2. Идентификация и таксонометрия (каталогизация) угроз

ГОСТ Р ИСО/МЭК 15408-2002,ч.1

Процесс создания КС

2. Идентификация и таксонометрия (каталогизация) угроз ГОСТ Р ИСО/МЭК 15408-2002,ч.1 Процесс создания
в аспекте обеспечения безопасности:
1.Идентификация и оценка защищаемых активов (конфиденциальность, целостность, доступность) и функций КС
2.Идентификация угроз безопасности (выявление и спецификация - источники/ природа; активы/функции, подвергаемые воздействию; методы/способы/ особенности реализации; используемые уязвимости) и их оценка
3.Выбор и обоснование функциональных требований к КС (архитектура и лежащие в ее основе модели обеспечения конфиденциальности/целостности/ доступности; функции обеспечения безопасности)
4.Реализация функциональных требований в процессе проектирования/создания
5.Оценка степени реализации функциональных требований (сертификация по требованиям безопасности), в т.ч. возможных уязвимостей, брешей безопасн-ти

Слайд 31

Идентификация угроз
-установление из всех возможных - тех угроз, которые имеют место быть

Идентификация угроз -установление из всех возможных - тех угроз, которые имеют место
(существуют, актуальны, воздействуют) для данной КС в процессах ее создания и эксплуатации;
-основывается на использовании таксономических классификационных перечней угроз (каталогов угроз), закрепляемых в стандартах и др. нормативно-методических документах и анализе актуальности тех или иных угроз в отношении активов (ресурсов КС) и их ценности

2. Идентификация и таксонометрия (каталогизация) угроз

раскрытие данных путем доступа к файлам БД средствами ОС

раскрытие данных путем анализа остаточной информации

ошибочное уничтожение данных пользователями КС

Угроза
актуальна?

Перечень угроз для КС

Угр.1. Раскрытие данных путем доступа к файлам БД средствами ОС

Угр.2. Раскрытие данных путем анализа остаточной информации



Слайд 32

2. Идентификация и таксонометрия (каталогизация) угроз

ГОСТ Р 51275-99. Защита информации. Объект

2. Идентификация и таксонометрия (каталогизация) угроз ГОСТ Р 51275-99. Защита информации. Объект
информа- тизации. Факторы, воздействующие на информацию. http://linux.nist.fss.ru

Bundesamt für Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de

РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты. http://www.fstec.ru

Каталоги (таксономические схемы классификации) угроз безопасности

Слайд 33

Факторы, воздействующие на информацию (ГОСТ Р 51275-99)

Класс

Подкласс

Группа

Под
группа

Вид

Подвид

2. Идентификация и таксонометрия (каталогизация) угроз

Факторы, воздействующие на информацию (ГОСТ Р 51275-99) Класс Подкласс Группа Под группа

Слайд 34

Классы, подклассы и группы факторов (ГОСТ Р 51275-99)

2. Идентификация и таксонометрия (каталогизация)

Классы, подклассы и группы факторов (ГОСТ Р 51275-99) 2. Идентификация и таксонометрия (каталогизация) угроз
угроз

Слайд 35

2. Идентификация и таксонометрия (каталогизация) угроз

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 36

2. Идентификация и таксонометрия (каталогизация) угроз

Методология объектов и угроз в продуктах

2. Идентификация и таксонометрия (каталогизация) угроз Методология объектов и угроз в продуктах
и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Угрозы данным на носителях

Угрозы данным в телекоммуникационных линиях

Угрозы прикладным программам (приложениям)

Угрозы прикладным процессам и данным

Угрозы отображаемым данным

Угрозы вводимым данным

Угрозы данным, выводимым на печать

Угрозы данным пользователей 

Угрозы системным службам и данным

Угрозы информационному оборудованию

- источник угрозы (люди либо иные факторы)

Аспекты угрозы

- предполагаемый метод (способ, особенности) нападения/реализации

- уязвимости, которые м.б. использованы для нападения/реализации

- активы, подверженные нападению/реализации

Слайд 37

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по
разработке ПЗ и ЗБ, 2003г., пример)

данные на
носителях

данные раскрыты путем незаконного перемещения носителя

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом

данные раскрыты путем их выгрузки с носителя данных неуполномоченным лицом

использование остаточной информации на носителе

незаконное копирование данных

данные незаконно используются, или их использование затруднено из-за изменения атрибутов доступа к данным неуполномоченным лицом

данные получены незаконно путем фальсификации файла

данные повреждены из-за разрушения носителя

данные уничтожены или их использование затруднено из-за неисправности устройства ввода-вывода

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом путем использования соответствующей команды

зашифрованные данные не могут быть дешифрованы из-за потери секретного ключа

данные ошибочно удалены уполномоченным лицом

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 38

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по
разработке ПЗ и ЗБ, 2003г., пример)

данные в телекоммуникационных линиях

данные перехвачены или разрушены в телекоммуникационной линии

данные прослушиваются, незаконно умышленно изменены, искажены, похищены, удалены или дополнены в системе коммутации

данные незаконно используются в результате подмены их адресата, отправителя или изменения атрибутов доступа в системе коммутации

связь заблокирована из-за повреждения линии

связь заблокирована из-за аномалий в канале связи

несанкционированная повторная передача данных в неразрешенный адрес

прикладные программы (приложения)

выполнение приложения неуполномоченным лицом

обращение к данным в библиотеке программ, модификация или удаление данных в библиотеке программ неуполномоченным лицом

незаконное использование программы или затруднение ее использования путем изменения ее атрибутов доступа неуполномоченным лицом

аномалии в ходе выполнения программы из-за аппаратного отказа компьютера

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 39

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по
разработке ПЗ и ЗБ, 2003г., пример)

прикладные процессы и данные

несанкционированное использование прикладных процессов (например, запросов по Telnet и FTP)

блокировка прикладных процессов (атаки, направленные на переполнение трафика, например, запросы на обработку потока ненужных данных)

отрицание факта обмена данными или отрицание их содержания

отказ от авторства данных

несанкционированная передача данных

несанкционированное использование данных или программ путем использования оставшихся в программах отладочных функций

необоснованный отказ от предоставления услуги

незаконное умышленное изменение, искажение, похищение, удаление или разрушение данных

несанкционированное выполнение операций

нарушение конфиденциальности

отображаемые данные

просмотр данных неуполномоченным лицом

несанкционированное копирование или печать

вводимые данные

данные раскрыты во время ввода

введенные данные несанкционированно изъяты (или удалены)

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 40

данные, выводимые на печать

ознакомление или изъятие данных неуполномоченным лицом

несанкционированное копирование

данные пользователей 

данные, выводимые на печать ознакомление или изъятие данных неуполномоченным лицом несанкционированное копирование

пользователь (человек, система, терминал) не может быть идентифицирован

маскировка путем использования раскрытой идентификационной информации пользователя (человека, системы, терминала)

пользователь не идентифицирован

маскировка путем использования незаконно раскрытой информации аутентификации

маскировка путем незаконного (логического) вывода аутентификационной информации

маскировка путем использования недействительной аутентификационной информации

использование недействительного права из-за сбоя журнала регистрации прав пользователей

действия пользователя несанкционированно раскрыты (нарушение конфиденциальности)

отрицание факта передачи данных

отрицание владения данными

отрицание факта приема данных

данные посланы несоответствующему получателю вследствие его маскировки под авторизованного пользователя или ошибки спецификации

маскировка путем подделки информации аутентификации

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 41

системные службы и данные

нарушение безопасности системы путем раскрытия секретного ключа шифрования

Угрозы

системные службы и данные нарушение безопасности системы путем раскрытия секретного ключа шифрования
защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

система незаконно используется пользователем, который выдает себя за оператора во время отсутствия оператора

нарушение безопасности системы вследствие несанкционированного действия или ошибки уполномоченного пользователя

внедрение вирусов

несанкционированное проникновение в систему

проникновение в систему, используя известные дефекты протоколов (например, протокола IP)

нарушение безопасности системы вследствие несанкционированной замены системной программы

обслуживание прекращено из-за разрушения системной программы

несанкционированная системная операция

информационное оборудование

повреждение или изъятие

отключение питания

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 42

Потенциальные бреши безопасности (по Зегжде)

Ошибки в системах защиты, служа-щие источ-ником ПББ

Предна-мерен-ные

Случай-ные

С деструктив-ными

Потенциальные бреши безопасности (по Зегжде) Ошибки в системах защиты, служа-щие источ-ником ПББ
функ-ми (активные)

Без десруктив-ных функций

РПС

Черные ходы, люки

Несамовоспроизводящиеся (Трояны)

Самовоспроизводящиеся (Вирусы)

Другие

Скрытые каналы

По памяти

По времени

Ошибки контроля допустимых значений параметров

Ошибки определения областей (доменов)

Ошибки последов-ти действий и использ-я имен

Ошибки идентификации, аутентификации

Ошибки проверки границ объектов

Другие ошибки в логике функционирования

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 43

Потенциальные бреши безопасности (Зегжда)

Програм-мное обеспе-чение

Инициализация ОС (загрузка)

Управление файловой системой

Управление процессами

Аппаратное обеспечение

ППБ по

Потенциальные бреши безопасности (Зегжда) Програм-мное обеспе-чение Инициализация ОС (загрузка) Управление файловой системой
месту размеще-ния в КС

Управление выделением памяти

Управление устройствами

Средства идент-ии и аутентификации

Другие (неизвестные)

Сервисные програм-мы и ути-литы

Привилегированные утилиты

Непривилегированные утилиты

8

2

10

3

6

5

1

10

1

2

Опера-ционные системы

Прикладные программы

3

2. Идентификация и таксонометрия (каталогизация) угроз

Слайд 44

Общая схема оценивания угроз

Ущ = Pуг * Сто

3. Оценивание угроз

Общая схема оценивания угроз Ущ = Pуг * Сто 3. Оценивание угроз

Слайд 45

3. Оценивание угроз

Методы оценивания вероятности угроз

Априорные, на основе моделей и статистических характеристик

3. Оценивание угроз Методы оценивания вероятности угроз Априорные, на основе моделей и
физических процессов, реализующих соотв. угрозы (z.b. на основе Пуассоновского распределения вероятности моторных ошибок человека-оператора при вводе информации с клавиатуры с α= - 2•10-2... 4•10-3 )

Апостериорные, на основе гистограмм распределения событий проявления соотв. угроз по результатам эксплуатации КС

Экспертные, на основе экспертных оценок специалистов

Методики экспертных оценок

Отбор экспертов (формальные и неформальные требования, метод «снежного кома», 10-12 экспертов)
Выбор параметров, по которым оцениваются объекты (стоимость, важность, веса параметров)
Выбор шкал оценивания (методов экспертного шкалирования)

Слайд 46

3. Оценивание угроз

Методы оценивания вероятности угроз

Методы экспертного шкалирования

Ранжированием

Процедуры опроса экспертов (метод «Дельфи»)
Агрегирование

3. Оценивание угроз Методы оценивания вероятности угроз Методы экспертного шкалирования Ранжированием Процедуры
оценок, анализ их устойчивости и согласованности

Слайд 47

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Человеческий фактор в угрозах

Роль

4. Человеческий фактор в угрозах безопасности и модель нарушителя Человеческий фактор в
человека в угрозах безопасности информации:

- носитель/источник угроз (как внутренних, так и внешних, как случайных, так и преднамеренных)

- средство, орудие осуществления угроз (всех преднамеренных и определенной части случайных угроз)

- предмет, объект, среда осуществления угроз (как элемента человеко-машинной КС)

Слайд 48

Иные сферы

•Персонал, непосредственно связанный с КС
••обслуживающий персонал
•••администраторы
••••системные
••••безопасности
•••инженеры-программисты

Иные сферы •Персонал, непосредственно связанный с КС ••обслуживающий персонал •••администраторы ••••системные ••••безопасности
••••системные
••••прикладные
•••руководители служб ИТ
••обслуживаемый персонал
••• пользователи
••••индивидуальные
••••члены раб. групп
••••руководители подр-й
•Персонал, не связанный непосредственно с КС
••руководители
••прочие работники

Сторонние
эксперты, конс.

Родственники,
друзья

Бывшие
работники

Структура потенциальных нарушителей (злоумышленников)

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Слайд 49

Мотивы
действий, поступков по осуществлению угроз

Осознанные
- Корысть, нажива
- Политика, власть, шпионаж
-

Мотивы действий, поступков по осуществлению угроз Осознанные - Корысть, нажива - Политика,
Исследовательский интерес

Неосознанные (не вполне, не до конца осознаваемые)
- Хулиганство
- Месть
- Зависть
- Недовольство
- Небрежность, недобросовестность

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Слайд 50

Модель нарушителя
-совокупность представлений по человечес-
кому фактору осуществления угроз
безопасности

-

Модель нарушителя -совокупность представлений по человечес- кому фактору осуществления угроз безопасности -
категории лиц, в числе которых может оказаться нарушитель
- его мотивационные основания и преследуемые цели
- его возможности по осуществлению тех или иных угроз (квалификация, техническая и иная инструментальная оснащенность)
- наиболее вероятные способы его действий

Исходное основание для разработки
и синтеза системы защиты информации!!!

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Слайд 51

!!! Концепция ориентируется на физически защищенную среду -
- нарушитель безопасности как "субъект,

!!! Концепция ориентируется на физически защищенную среду - - нарушитель безопасности как
имеющий доступ к работе со штатными средствами АС и СВТ как части АС"

4-й (высший) уровень возможностей нарушителя
Весь объем
возможностей
лиц, осуществляю-
щих проектирование,
реализацию и
ремонт технических
средств АС,
вплоть до включения
в состав СВТ
собственных
технических средств
с новыми функциями
по обработке ин-
формации

3-й уровень
Возможность
управления
функционирова-
нием АС, т.е.
воздействием на
базовое програм-
мное обеспече-
ние системы и на
состав и
конфигурацию
оборудования

2-й уровень
Возможность
создания и
запуска
собственных
программ с
новыми
функциями
по обработке
информации

1-й уровень
Запуск задач
(программ) из фикси-
рованного набора,
реализующих заранее
предусмотренные
функции по обработке
информации

Модель нарушителя

Модель внутреннего нарушителя по РД ГосТехКомисии

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Слайд 52

Лекция Лекция 1Лекция 1.Лекция 1.3Лекция 1.3. Политика и модели безопасности в компьютерных

Лекция Лекция 1Лекция 1.Лекция 1.3Лекция 1.3. Политика и модели безопасности в компьютерных
системах

Тема 1. Исходные положения теории компьютерной безопасности

.

Слайд 53

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен,

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен,
1996. - 302с
2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с
3. Баранов А.П., Борисенко Н.П., Зегжда П.Д, Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности. - Орел, ВИПС, 1997.- 354с.
4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с.
5. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.

Учебные вопросы:

1.Понятие политики и моделей безопасности информации в компьютерных системах
2.Монитор (ядро) безопасности КС
3.Гарантирование выполнения политики безопасности. Изолированная программная среда

Слайд 54

Модель безопасности служит для:
-выбора и обоснования базовых принципов архитектуры, определяющих механизмы реализации

Модель безопасности служит для: -выбора и обоснования базовых принципов архитектуры, определяющих механизмы
средств защиты информации
-подтверждения свойств (защищенности) разрабатываемой системы путем формального доказательства соблюдения политики (требований, условий, критериев) безопасности
-составления формальной спецификации политики безопасности разрабатываемой системы

1.Понятие политики и моделей безопасности информации в КС

Политика безопасности КС
-интегральная (качественная) характеристика, описывающая свойства, принципы и правила защищенности информации в КС в заданном пространстве угроз

Модель безопасности
-формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности

Политика безопасности организации
-совокупность руководящих принципов, правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408)

Слайд 55

Большинство моделей КС
относится к классу моделей конечных состояний

Модель безопасности включает:
-модель компьютерной системы
-критерии,

Большинство моделей КС относится к классу моделей конечных состояний Модель безопасности включает:
принципы или целевые функции защищенности и угроз
-формализованные правила, алгоритмы, механизмы безопасного функционирования КС

1. Компьютерная система – система, функционирующая в дискретном времени: t0,t1,t2,…,tk,…
В каждый следующий момент времени tk КС переходит в новое состояние.
В результате функционирование КС представляет собой детерминированный или случайный процесс
- стационарность (временнόе поведение [количественных] параметров системы)
- эргодичность (поведение параметров системы по совокупность реализаций)
- марковость (память по параметрам системы)

2. Модели конечных состояний позволяют описать (спрогнозировать) состояние КС в момент времени tn,(n≥1), если известно состояние в момент t0 и установлены некоторые правила (алгоритмы, ограничения) на переходы системы из состояния tk в tk+1

1.Понятие политики и моделей безопасности информации в КС

Слайд 56

Большинство моделей конечных состояний
представляет КС системой взаимодействующих
сущностей двух типов субъектов и субъектов
(т.н.

Большинство моделей конечных состояний представляет КС системой взаимодействующих сущностей двух типов субъектов
субъектно-объектные модели КС)

3. В каждый момент времени tk КС представляется конечным множеством элементов, разделяемых на два подмножества:
-множество субъектов - S
-множество объектов – O

4. В каждый момент времени tk субъекты могут порождать процессы над объектами, называемыми доступами
Доступы субъектов к объектам порождают информационные потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. м. измениться декомпозиция КС на множество субъектов и множество объектов

1.Понятие политики и моделей безопасности информации в КС

Т.о. процесс функ-я КС нестационарный

Слайд 57

Отличия пользователя от субъекта
Пользователь - лицо, внешний фактор, управляющий одним или

Отличия пользователя от субъекта Пользователь - лицо, внешний фактор, управляющий одним или
несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии КС через субъекты, которыми он управляет

Свойства субъектов:
-угрозы информации исходят от субъектов, изменяющих состояние объектов в КС
-субъекты-инициаторы могут порождать через объекты-источники новые объекты
-субъекты могут порождать потоки (передачу) информации от одних объектов к другим

1.Понятие политики и моделей безопасности информации в КС

Слайд 58

Множество объектов можно разделить на два непересекающихся подмножества

Определение 1.Объект Oi называется источником

Множество объектов можно разделить на два непересекающихся подмножества Определение 1.Объект Oi называется
для субъекта Sm если существует субъект Sj , в результате воздейст- вия которого на объект Oi возникает субъект Sm
Sj – активизирующий субъект для субъекта Sm
Sm – порожденный субъект

- объекты-источники;
- объекты-данные

Create(Sj , Oi)→ Sm

Функционирование КС – нестационарный процесс, но в субъектно-объектной модели КС действует дискретное время ti. В любой момент времени ti множество субъектов, объектов-источников, объектов-данных фиксировано!!!

Определение 2.Объект в момент времени tk ассоциирован с субъектом , если состояние объекта Oi повлияло на состояние субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm использует информацию, содержащуюся в объекте Oi).
Можно выделить: - множество функционально-ассоциированных объектов
- множество ассоциированных объектов-данных с субъектом Sm в момент времени tk

Следствие 2.1. В момент порождения объект-источник является ассоциированным с порожденным субъектом

Субъектно-объектная модель Щербакова

1.Понятие политики и моделей безопасности информации в КС

Слайд 59

Stream(Sm ,Oi)→ Oj

Определение 3.Потоком информации между объектом Oi и объектом Oj называется

Stream(Sm ,Oi)→ Oj Определение 3.Потоком информации между объектом Oi и объектом Oj
называется произвольная операция над объектом Oj, осуществляемая субъектом Sm , и зависящая от объекта Oi

– потоки информации м.б. только между объектами (а не между субъектом и объектом)
– объекты м.б. как ассоциированы, так и не ассоциированы с субъектом Sm
– операция порождения потока локализована в субъекте и сопровождается изменением состояния ассоциированных (отображающих субъект) объектов
– операция Stream может осуществляться в виде "чтения", "записи", "уничтожения", "создания" объекта

Определение 4.Доступом субъекта к объекту Oj называется порождение субъектом Sm потока информации между объектом Oj и некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi ассоциирован с субъектом Sm)

Будем считать, что все множество потоков информации P (объединение всех потоков во все tk) разбито на два подмножества
- множество потоков PL , характеризующих легальный доступ
- множество потоков PN, характеризующих несанкционированный доступ

Определение 5.Правила разграничения доступа, задаваемые политикой безопасности, есть формально описанные потоки, принадлежащие множеству PL .

1.Понятие политики и моделей безопасности информации в КС

Слайд 60

Аксиомы защищенности компьютерных систем

Аксиома 4. Все вопросы безопасности информации в КС описываются

Аксиомы защищенности компьютерных систем Аксиома 4. Все вопросы безопасности информации в КС
доступами субъектов к объектам

Аксиома 5. Субъекты в КС могут быть порождены только ак- тивной компонентой (субъектами же) из объектов

1.Понятие политики и моделей безопасности информации в КС

Слайд 61

Политики безопасности компьютерных систем

- множество PL задается явным образом внешним по отношению

Политики безопасности компьютерных систем - множество PL задается явным образом внешним по
к системе фактором в виде указания дискретного набора троек "субъект-поток(операция)-объект"

- множество PL задается неявным образом через предоставление субъектам неких полномочий (допуска, мандата) порождать определенные потоки над объектами с определенными характеристиками конфиденциальности (метками, грифами секретности)

- множество PL задается через введение в системе дополнительных абстрактных сущностей – ролей, с которыми ассоциируются конкретные пользователи, и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы

1.Понятие политики и моделей безопасности информации в КС

Слайд 62

Защищенная компьютерная система

2. Монитор (ядро) безопасности КС

Структура КС в программно-техническом аспекте

Компьютерная

Защищенная компьютерная система 2. Монитор (ядро) безопасности КС Структура КС в программно-техническом
система

Компонент представления (файловая система в ОС)

Компонент доступа (система ввода-вывода в ОС)

Слайд 63

Требования к монитору безопасности

Полнота - монитор должен вызываться при каждом обращении субъектов

Требования к монитору безопасности Полнота - монитор должен вызываться при каждом обращении
за сервисом к ядру системы и не д.б. никаких способов его обхода

Изолированность - монитор д.б. защищен от отслеживания и перехвата своей работы

Верифицируемость - монитор д.б. проверяемым на выполнение своих функций, т.е. быть тестируемым (самотестируемым)

Непрерывность - монитор должен функционировать при любых штатных и нештатных (в т.ч. и в аварийных) ситуациях

Монитор безопасности реализует политику безопасности на основе той или иной модели безопасности

2. Монитор (ядро) безопасности КС

Слайд 64

Особенности субъектно-объектной модели КС (определения 1, 2, 3 и 4) требуют структуризации

Особенности субъектно-объектной модели КС (определения 1, 2, 3 и 4) требуют структуризации
монитора безопасности на две компоненты:

- монитор безопасности объектов (МБО)
- монитор безопасности субъектов (МБС)

2. Монитор (ядро) безопасности КС

Определение 6.Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемым любым субъектом, и разрешающий только те потоки, которые принадлежат множеству PL

Определение 7.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и объектов-источников

Слайд 65

Гарантии выполнения
политики безопасности обеспечиваются определенными
требованиями к МБО и МБС, реализующими т.н.

Гарантии выполнения политики безопасности обеспечиваются определенными требованиями к МБО и МБС, реализующими

изолированную программную среду
(ИПС)

Защищенная компьютерная система

2. Монитор (ядро) безопасности КС

Слайд 66

3. Гарантирование выполнения политики безопасности. ИПС.

Определение 8.Объекты Oi и Oj тождественны в

3. Гарантирование выполнения политики безопасности. ИПС. Определение 8.Объекты Oi и Oj тождественны
момент времени tk, если они совпадают как слова, записанные на одном языке

Определение 9.Субъекты Si и Sj тождественны в момент времени tk , если попарно тождественны все соответствующие ассоциированные с ними объекты

Следствие 9.1. Порожденные субъекты тождественны, если тождественны порождающие их субъекты и объекты-источники

Определение 10.Субъекты Si и Sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами Oi и Oj , ассоциированными соответственно с субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не ассоциирован с Si

(Изменение состояние объекта – не тождественность в соотв. моменты времени)

Исх. тезис -
при изменении объектов, функционально
ассоциированных с субъектом монитора безопасности
могут измениться свойства самого МБО и МБС,
что м. привести к нарушению ПБ

Слайд 67

Определение 11.Субъекты Si и Sj называются абсолютно невлияю- щими друг на друга (или

Определение 11.Субъекты Si и Sj называются абсолютно невлияю- щими друг на друга
абсолютно корректными относительно друг друга), если дополнительно к условию определения 10 множества ассоциированных объектов указанных субъектов не имеют пересечений

Утверждение 1.ПБ гарантированно выполняется в КС, если:
- МБО разрешает порождение потоков только из PL;
- все существующие в КС субъекты абсолютно корректны относительно МБО и друг друга

Достаточное условие гарантированного выполнения ПБ

МБО
субъект

На практике только корректность относительно МБО

Док-во:




3. Гарантирование выполнения политики безопасности. ИПС.

Слайд 68

Утверждение 2.Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно

Утверждение 2.Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно
корректны относительно МБО, а также МБС абсолютно коррек- тен относительно МБО, то в КС реализуется доступ, описанный правилами разграничения доступа (ПБ)

Достаточное условие гарантированного выполнения ПБ


На практике легче, чем полная корректность субъектов относительно друг друга






Док-во:

3. Гарантирование выполнения политики безопасности. ИПС.

Слайд 69

Определение 12.КС называется замкнутой по порождению субъектов, если в ней действует МБС,

Определение 12.КС называется замкнутой по порождению субъектов, если в ней действует МБС,
разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов- источников при фиксированной декомпозиции КС на субъекты и объекты

Определение 13.Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС

Следствие 13.1. Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБО и МБС, также составляет изолированную (абсолютно изолированную) программную среду

Называют "Изолированной программной средой (ИПС)"

Следствие 13.2. Дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в ИПС субъектов, оставляет КС изолированной (абсолютно изолированной)

3. Гарантирование выполнения политики безопасности. ИПС.

Слайд 70

Определение 16.Операция порождения субъекта Create(Sj , Oi)→ Sm называется порождением с контролем

Определение 16.Операция порождения субъекта Create(Sj , Oi)→ Sm называется порождением с контролем
неизменнос- ти объекта, если для любого момента времени tk>t0 , в который активизирована операция Create, порождение субъекта Sm возможно только при тождественности объектов в соответствующие моменты времени –Oi[tk]= Oi[t0]

Утверждение 3.Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки между объектами через субъекты, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени КС также остается изолированной (абсолютно изолированной).

Базовая теорема ИПС

Док-во: 1.Из условия абс. корр. м.б. только такие потоки, которые изменяют состояние объектов, не ассоциированных в соотв. моменты времени с каким-либо субъектом. Отсюда не м.б. изменены объекты-источники.
2.Т.к. объекты-источники остаются неизменными, то мощность множества порождаемых субъектов нерасширяемо, и тем самым множество субъектов КС остается изолированным

Следствие 16.1. При порождении с контролем неизменности объектов субъекты, порожденные в различные моменты времени, тождественны Sm[t1]= Sm[t2]. При t1= t2 порождается один и тот же субъект.

3. Гарантирование выполнения политики безопасности. ИПС.

Слайд 71

Проблемы реализации
Изолированной программной среды

повышенные требования к вычислительным ресурсам – проблема производительности
нестационарность

Проблемы реализации Изолированной программной среды повышенные требования к вычислительным ресурсам – проблема
функционирования КС (особенно в нач. момент времени) из-за изменения уровня представления объектов (сектора-файлы) – проблема загрузки (начального инициирования) ИПС
сложность технической реализацией контроля неизменности объектов - проблема целостности объектов и проблема чтения реальных данных

3. Гарантирование выполнения политики безопасности. ИПС.

Слайд 72

Лекция 2.1. Модели безопасности на основе дискреционной политики

Тема 2. Модели безопасности компьютерных

Лекция 2.1. Модели безопасности на основе дискреционной политики Тема 2. Модели безопасности компьютерных систем
систем

Слайд 73

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен,

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен,
1996. - 302с
2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с
3.Баранов А.П.,Борисенко Н.П.,Зегжда П.Д, Корт С.С.,Ростовцев А.Г. Математические основы информационной безопасности. - Орел, ВИПС, 1997.- 354с.
4.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с.

Учебные вопросы:

1.Общая характеристика политики дискреционного доступа
2.Пятимерное пространство Хартсона
3.Модели на основе матрицы доступа
4.Модели распространения прав доступа

Литература:

Слайд 74

Исходные понятия

Доступ к информации (данным)

-действия субъектов на объектами КС, вызывающие одно- двунаправленные

Исходные понятия Доступ к информации (данным) -действия субъектов на объектами КС, вызывающие
информационные потоки

Методы доступы

-виды действий (операций) субъектов над объектами КС (чтение/просмотр, запись/модификация/добавление, удаление, создание, запуск и т.п.)

Права доступа

-методы доступа (действия, операции), которыми обладают (наделяются, способны выполнять) субъекты над объектами КС

Политика (правила) разграничения доступа

-совокупность руководящих принципов и правил наделения субъектов КС правами доступа к объектам, а также правил и механизмов осуществления самих доступов и реализации информационных потоков

Разграничение доступа к информации (данным) КС

-разделение информации АИС на объекты (части, элементы, компоненты и т. д.), и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части информации (к тем данным), которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений
-создание такой системы организации данных, а также правил и механизмов обработки, хранения, циркуляции данных, которые обеспечивают функциональность КС и безопасность информации (ее конфиденциальность, целостность и доступность)

1. Общая характеристика политики дискреционного доступа

Слайд 75

Политика дискреционного разграничения доступа

-разграничение доступа на основе непосредственного и явного предоставления субъектам

Политика дискреционного разграничения доступа -разграничение доступа на основе непосредственного и явного предоставления
прав доступа к объектам в виде троек «субъект-операция-объект»

Виды политик (правил, механизмов) разграничения доступа

Политика мандатного разграничения доступа

-предоставление прав доступа субъектов к объектам неявным образом посредством присвоения уровней (меток) безопасности объектам (гриф конфиденциальности, уровень целостности), субъектам (уровень допуска/полномочий) и организация доступа на основе соотношения «уровень безопасности субъекта-операция-уровень безопасности объекта»

Политика тематического разграничения доступа

-предоставление прав доступа субъектам к объектам неявным образом посредством присвоения тематических категорий объектам (тематические индексы) и субъектам (тематические полномочия) и организация доступа на основе соотношения «тематическая категория субъекта-операция-тематическая категория объекта»

Политика ролевого разграничения доступа

Политика временнόго разграничения доступа

-предоставление пользователям прав работы в КС по определенному временному регламенту (по времени и длительность доступа)

Политика маршрутного доступа

-предоставление пользователям прав работы в КС при доступе по определенному маршруту (с определенных рабочих станций)

1. Общая характеристика политики дискреционного доступа

-агрегирование прав доступа к объектам в именованные совокупности (роли), имеющие определенный функционально-технологический смысл в предметной области КС, и наделение пользователей правом работы в КС в соответствующих ролях

Слайд 76

Общая характеристика политики дискреционного доступа

множество легальных (неопасных) доступов PL задается явным образом

Общая характеристика политики дискреционного доступа множество легальных (неопасных) доступов PL задается явным
внешним по отношению к системе фактором в виде указания дискретного набора троек "субъект-поток(операция)-объект";
-права доступа предоставляются («прописываются» в специальных информационных объектах-стуктурах, ассоциированных с монитором безопасности), отдельно каждому пользователю к тем объектам, которые ему необходимы для работы в КС;
-при запросе субъекта на доступ к объекту монитор безопасности, обращаясь к ассоциированным с ним информационным объектам, в которых «прописана» политика разграничения доступа, определяет «легальность» запрашиваемого доступа и разрешает/отвергает доступ

Модели и механизмы реализации дискреционного разграничения доступа

Различаются:
-в зависимости от принципов и механизмов программно-информационной структуры объекта(объектов), ассоциированных с монитором безопасности, в которых хранятся «прописанные» права доступа (тройки доступа)
-в зависимости от принципа управления правами доступа, т.е. в зависимости от того – кто и как заполняет/изменяет ячейки матрицы доступа (принудительный и добровольный принцип управления доступом)
Выделяют:
-теоретико-множественные (реляционные) модели разграничения доступа (пятимерное пространство Хартсона, модели на основе матрицы доступа)
-модели распространения прав доступа (модель Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, теоретико-графовая модель TAKE-GRANT)

1. Общая характеристика политики дискреционного доступа

Слайд 77

2. Пятимерное пространство Хартсона

Система защиты -пятимерное пространство на основе следующих множеств:
U -

2. Пятимерное пространство Хартсона Система защиты -пятимерное пространство на основе следующих множеств:
множество пользователей;
R - множество ресурсов;
E - множество операций над ресурсами;
S - множество состояний системы;
A - множество установленных полномочий.

- ресурсы
- вхождение пользователей в группы;
разрешенные операции для групп по отношению к ресурсам;

Элементы множества A - aijkl специфицируют:

Декартово произведение A×U×E×R×S - область безопасного доступа

Запрос пользователя на доступ представляет собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый набор ресурсов

Процесс организации доступа по запросу осуществляется по следующему алгоритму:

1.Вызвать все вспомогательные программы для предварительного принятия решения

2.Определить те группы пользователей, в которые входит u, и выбрать из A те спецификации полномочий P=F(u), которым соответствуют выделенные группы пользователей. Набор полномочий P=F(u) определяет т.н.привилегию пользователя

Слайд 78

3.Определить из множества A набор полномочий P=F(e), которые устанавливают e, как основную

3.Определить из множества A набор полномочий P=F(e), которые устанавливают e, как основную
операцию. Набор полномочий P=F(e) определяет привилегию операции.

2. Пятимерное пространство Хартсона

Слайд 79

4.Определить из множества A набор полномочий P=F(R'), разрешающих доступ к набору ресурсов

4.Определить из множества A набор полномочий P=F(R'), разрешающих доступ к набору ресурсов
R'. Набор полномочий P=F(R') определяет привилегию ресурсов.

На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен полномочий запроса:
D(q)= F(u)∩F(e)∩P=F(R')

2. Пятимерное пространство Хартсона

Слайд 80

5.Убедиться, что запрашиваемый набор ресурсов R' полностью содержится в домене запроса D(q),

5.Убедиться, что запрашиваемый набор ресурсов R' полностью содержится в домене запроса D(q),
т.е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q).

6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.
В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e.
В результате формируется новый набор полномочий на каж-дую единицу ресурса, указанного в D(q) - F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по отношению к запросу q.

авторизация

2. Пятимерное пространство Хартсона

Слайд 81

7.Вычислить условие фактического доступа (EAC), соответствующее запросу q , через операции логического

7.Вычислить условие фактического доступа (EAC), соответствующее запросу q , через операции логического
ИЛИ по элементам полномочий F(u,q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' - набор фактически доступных по запросу ресурсов

8.Оценить EAC и принять решение о доступе:
- разрешить доступ, если R'' и R' полностью перекрываются;
- отказать в доступе в противном случае.

9.Произвести запись необходимых событий

10.Вызвать все программы, необходимые для организации доступа после "принятия решения".

11.Выполнить все вспомогательные программы, вытекающие для каждого случая по п.8.

12.При положительном решении о доступе завершить физическую обработку.

Но!!! Безопасность системы в строгом смысле не доказана

2. Пятимерное пространство Хартсона

Слайд 82

3. Модели на основе матрицы доступа

Система защиты -совокупность следующих множеств:
- множество исходных

3. Модели на основе матрицы доступа Система защиты -совокупность следующих множеств: -
объектов O (o1,o2,…,oM)
- множество исходных субъектов S (s1,s2,…,sN) , при этом S ⊆ O
- множество операций (действий) над объектами Op (Op1 ,Op2 ,…,OpL)
- множество прав, которые м.б. даны субъектам по отношению к объектам R (r1,r2,…,rK) – т.н. "общие права"
- NxM матрица доступа A, в которой каждому субъекту соответствует строка, а каждому объекту - столбец. В ячейках матрицы располагаются права r соотв.субъекта над соотв. объектом в виде набора разрешенных операций Opi

A[si,oj]= aij - право r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

Слайд 83

Две разновидности моделей в зависимости от того, каким образом заполняются ячейки матрицы

Две разновидности моделей в зависимости от того, каким образом заполняются ячейки матрицы
доступа A. Выделяют:

системы с принудительным управлением доступа;
системы с добровольным управлением доступом.

Принудительное управление доступом

- вводится т.н.доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)

Жесткость, но и более четкий контроль

Добровольное управление доступом

- вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)

Гибкость, но и сложность контроля

- в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

- в таких системах заполнять и изменять ячейки матрицы доступа может только администратор

3. Модели на основе матрицы доступа

Слайд 84

Биты защиты (UNIX)

Владелец

Группа

Остальные польз-ли

Способы организации информационной структуры матрицы доступа

Централизованная единая информационная структура

Децентрализованная

Биты защиты (UNIX) Владелец Группа Остальные польз-ли Способы организации информационной структуры матрицы
распределенная информационная структура

СУБД

системная таблица с назначениями доступа

3. Модели на основе матрицы доступа

Слайд 85

Два способа размещения ACL

Системный список
контроля доступа

Список дискр. контроля доступа

Списки доступа в

Два способа размещения ACL Системный список контроля доступа Список дискр. контроля доступа
файловой системе ОС Windows
(Access Control List – ACL)

Объект 1

Объект 2


Структура списков доступа на примере NTFS

C каждым объектом NTFS связан т.н. дескриптор защиты, состоящий из:

ID влад.

ID перв. гр. влад.

DACL

SACL

DACL – последовательность произв. кол-ва элементов контроля доступа – АСЕ, вида:

SACL – данные для генерации сообщений аудита

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объекты д.б. зарегистрированы в системе

Д.б. обеспечен контроль целостности ACL

3. Модели на основе матрицы доступа

Слайд 86

Наиболее типичный представитель систем с добровольным управлением доступом - модель Харрисона-Руззо-Ульмана

Разработана для

Наиболее типичный представитель систем с добровольным управлением доступом - модель Харрисона-Руззо-Ульмана Разработана
исследования дискреционной политики

В модели Харрисона-Руззо-Ульмана помимо элементарных опе-раций доступа Read, Write и т.д., вводятся также т.н. прими-тивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

Состояние системы Q изменяется при выполнении команд C(α1, α2, …), изменяющих состояние матрицы доступа A. Команды инициируются пользователями-субъектами

Структура команды

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

Команды с одной операцией – монооперационные, с одним условием - моноусловные

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Слайд 87

Основной критерий безопасности -

Состояние системы с начальной конфигурацией Q0 безопасно по

Основной критерий безопасности - Состояние системы с начальной конфигурацией Q0 безопасно по
праву r, если не существует (при определенном наборе команд и условий их выполнения) последовательности запросов к системе, которая приводит к записи права r в ранее его не содержащую ячейку матрицы A[s,o]

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Примеры команд -

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

Формулировка проблемы безопасности для модели Харрисона-Руззо-Ульмана:
Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к конкретному объекту? (т.е. всегда ли возможно построить такую последовательность запросов при некоторой исходной конфигурации когда изначально субъект этим правом не обладает?)

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Слайд 88

Теорема 1. Проблема безопасности разрешима для моно-операционных систем, т.е. для систем, в

Теорема 1. Проблема безопасности разрешима для моно-операционных систем, т.е. для систем, в
которых запросы содержат лишь одну примитивную операцию

Теорема 2. Проблема безопасности неразрешима в общем случае

Выводы по модели Харрисона-Руззо-Ульмана:
-данная модель в ее полном виде позволяет реализовать множество политик безопасности, но при этом проблема безопасности становится неразрешимой
-разрешимость проблемы безопасности только для монооперационных систем приводит к слабости такой модели для реализации большинства политик безопасности (т.к. нет операции автоматического наделения своими правами дочерних объектов, ввиду чего по правам доступа они изначально не различимы)

Харрисон, Руззо и Ульман показали :

Док-во
на основе
моделирования
системы
машиной
Тьюринга

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Слайд 89

Проблема «троянских» программ

Command "создать файл“ (s2,f):
if write ∈ [s2, o2]

Проблема «троянских» программ Command "создать файл“ (s2,f): if write ∈ [s2, o2]
;
then
Create object f ;
Enter "read" into [s2, f ] ;
Enter "write" into [s2, f ] ;
Enter "execute" into [s2, f ];
if read ∈ [s1, o2] ;
then
Enter "read" into [s1, f ] ;
if write ∈ [s1, o2] ;
then
Enter "write" into [s1, f ] ;
if execute ∈ [s1, o2] ;
then
Enter "execute" into [s1, f ] ;
end

Command “запустить файл"(s1, f ):
if execute ∈ [s1, f ] ;
then
Create subject f ' ;
Enter "read“ into [f ',o1];
Enter "read" into [f ',o3];
if write ∈ [s1,o2] ;
then
Enter “write“ into [f',o2];
end

Command “скопировать файл o3 программой f ' в o2“ (f ',o3, o2):
if read ∈ [f ', o3] and
write ∈ [f ', o2]
then
Create object o';
Write (f ', o3 , o');
if read ∈ [s2, o2] ;
then
Enter "read" into [s2,o'];
end

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Слайд 90

Расширения модели HRU

Типизованная матрица доступа (Модель TAM) R. Sandhu,1992г.
Вводится фиксированное количество типов

Расширения модели HRU Типизованная матрица доступа (Модель TAM) R. Sandhu,1992г. Вводится фиксированное
τk (например, "user"- пользователь, 'so"-офицер безопасности и "file"), которым могут соответствовать сущности КС (субъекты и объекты).
Накладываются ограничения на условия и соответствие типов в монотонных операциях (порождающие сущности)
Смягчаются условия на разрешимость проблемы безопасности

Определение 1. Тип τk является дочерним типом в команде созда- ния α(x1:τ1, x2:τ2,…, xk:τk), если и только если имеет место один из следующих элементарных операторов: "Create subject xk of type τk" или "Create object xk of type τk". В противном случае тип τk является родительским типом.

Анализ проблем безопасности в модели ТАМ
основывается на понятии родительских и дочерних типов

Вводится
Граф отношений
наследственности

Command α(x1:τ1, x2:τ2,…, xk: τk)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Слайд 91

Функционирование системы осуществляется через последовательность следующих команд:

0-й шаг – в системе имеется

Функционирование системы осуществляется через последовательность следующих команд: 0-й шаг – в системе
субъект типа u - (s1:u)

2-й шаг. α(s3:u, o1:v):
Create subject s3 of type u ;
Inter r'' into [s3, o1] ;
end

1-й шаг. α(s1:u, s2:w, o1:v):
Create object o1 of type v ;
Inter r into [s1, o1] ;
Create subject s2 of type w ;
Inter r' into [s2, o1] ;
end

v – дочерний тип в команде α, в теле которой имеются еще типы u, w. Т.о. в Графе отношений наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v)

w – дочерний тип в команде α, в теле которой имеются еще типы u, v. Т.о. в Графе отношений наследственности возникают дуги (u,w), (v,w) и в т.ч. (w,w)

u – дочерний тип в команде α, в теле которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. (u,u)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Слайд 92

Определение 2. Реализация МTAM является ацикличной тогда и только тогда, когда ее граф отношений

Определение 2. Реализация МTAM является ацикличной тогда и только тогда, когда ее
наследственности не содержит циклов

Также, как и в модели HRU, используется понятие монотонной (МTAM) системы, которая не содержит примитивных операторов Delete и Destroy.

Теорема 3. Проблема безопасности разрешима для ацикличных реализаций МTAM

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Слайд 93

Теоретико-графовая модель
анализа распространения прав доступа в дискреционных
системах на основе матрицы доступа

1.Также

Теоретико-графовая модель анализа распространения прав доступа в дискреционных системах на основе матрицы
как и в модели HRU система защиты представляет совокупность следующих множеств:
- множество исходных объектов O (o1,o2,…,oM)
- множество исходных субъектов S (s1,s2,…,sN), при этом S ⊆ O
- множество прав, которые м.б. даны субъектам по отношению к объектам (r1,r2,…,rK) ∪ {t, g}, в том числе с двумя специфическими правами – правом take (t – право брать права доступа у какого-либо объекта по отношению к другому объекту) и правом grant (g – право предоставлять права доступа к определенному объекту другому субъекту)
множеством E установленных
прав доступа (x, y, α) субъекта x
к объекту y с правом α из конеч-
ного набора прав. При этом сос-
тояние системы представляется
Графом доступов Г

Джонс, Липтон, Шнайдер, 1976г.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Слайд 94

2.Состояние системы (Графа доступов) изменяется под воздействием элементарных команд 4-х видов

Команда

2.Состояние системы (Графа доступов) изменяется под воздействием элементарных команд 4-х видов Команда
"Брать" – take(α, x, y, z)

Команда «Давать" – grant(α, x, y, z)

субъект x берет права доступа α ⊆ β на объект z у объекта y (обозначения: ├с – переход графа Г в новое состояние Г' по команде c ; x∈ S; y, z∈ O)

субъект x дает объекту y право α ⊆ β на доступ к объекту z

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Слайд 95

Команда "Создать" – create(β, x, y)

субъект x создает объект y с

Команда "Создать" – create(β, x, y) субъект x создает объект y с
правами доступа на него β ⊆ R (y – новый объект, O'=O ∪ {y}), в т. ч. с правами t, или g, или {t, g}.

Команда «Изъять" – remove(α, x, y)

субъект x удаляет права доступа α ⊆ β на объект y

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Слайд 96

3. Безопасность системы рассматривается с точки зрения возможности получения каким-либо субъектом прав

3. Безопасность системы рассматривается с точки зрения возможности получения каким-либо субъектом прав
доступа к определенному объекту (в начальном состоянии Г0 (O0, S0, E0) такие права отсутствуют) при определенной кооперации субъектов путем последовательного изменения состояния системы на основе выполнения элементарных команд. Рассматриваются две ситуации – условия санкционированного, т.е. законного получения прав доступа, и условия «похищения» прав доступа

3.1. Санкционированное получение прав доступа

Определение 3. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа α ⊆ R предикат "возможен доступ(α,  x,  y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что:
Г0 (O0, S0, E0) ├с1 Г1 (O1, S1, E1) ├с2…├сN ГN (ON, SN, EN) и (x, y,α)∈ EN
где c1,  c2, …, cN – команды переходов

Определение 4. Вершины графа доступов являются tg-связными (соединены tg-путем), если в графе между ними существует такой путь, что каждая дуга этого пути выражает право t или g (без учета направления дуг)

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Слайд 97

Теорема 4. В графе доступов Г0 (O0, S0, E0) , содержащем только вершины-субъекты, предикат "возможен доступ(α, 

Теорема 4. В графе доступов Г0 (O0, S0, E0) , содержащем только
x,  y, Г0 )" истинен тогда и только тогда, когда выполняются следующие условия:
- существуют субъекты s1,…,sm такие, что (si, y, γi)∈E0 для i=1,  …, m и α =γ1 ∪…∪γm.
- субъект х соединен в графе Г0 tg-путем с каждым субъектом si для i=1, …, m

получение прав α доступа субъектом x у субъекта s на объект y при различных вариантах непосредственной tg-связности

Доказательство

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Слайд 98

Определение 5. Островом в произвольном графе доступов Г (O, S, E ) называется его максимальный tg-связный

Определение 5. Островом в произвольном графе доступов Г (O, S, E )
подграф, состоящий только из вершин субъектов.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Имя файла: Теоретические-основы-компьютерной-безопасности.pptx
Количество просмотров: 57
Количество скачиваний: 0