Базовые (модели) политики безопасности

 

Модели на основе дискретных компонентов.

Лежит следующая идея: Система ЗИ(в смысле описания работы алгоритма субъекта, обеспечивающего политики безопасности представляется в виде некоторого множества, элементами которого является элементы системы защиты). Результатами применения политики безопасности, задаваемой той или иной моделью конкретного объекта защиты, является разрешение выполнения операции над объектом защиты или запрещение.

 

Адепт — 50

данная модель рассматривает только объекты, типизированные на 4 группы:

• users
• jobs
• terminals
• files

Описывается вектором безопасности: A,C,F,M

A - компетенция. Элемент из набора упорядоченных универсальных положений о безопасности, включающих априорно заданные возможные в системе характеристики объектов безопасности, например категория конфиденциальности объектов.

C — тематическая классификация. Некоторый рубрикатор, тематическая классификация. Не зависит от уровня компетенции.

F — полномочия. Перечень пользователей, имеющих доступ к данному объекту.

M — режим. Набор видов доступа, разрешенных для определенного объекта, или осуществляемых объектом.

 

U={u} - пользователи

F(i) — перечень пользователей, имеющих доступ к i

правила:

1. правило легального пользователя

u получает доступ когда u принадлежит U

2. пользователь u получает доступ к терминалу t, когда u входит в перечень F(t)

3. пользователь получает доступ к файлу f, когда:

A(i)=>A(f) C(j)=>C(f) M(j)<=M(f) u€F(f)

 

 

Достоинством модели является простота реализации соответствующих механизмов. Матрица доступа, элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели, модель не учитывает динамику изменения состояния системы.

Не существует алгоритма, который может решить для произвольной системы защиты, является или нет заданная конфигурация безопасной.

 

Модель на основе анализа угроз.

Модели данного класса исследуют вероятность преодоления системы защиты за определенное время. Данным подход свойственен различным игровым задачам и в ряде случаев подходит для построения

 

Достоинством данных моделей можно отнести числовую вероятностную оценку надежности идеальной реализации системы защиты. Недостатком является то, что система защиты может вскрыта.

Задача анализа модели — минимизация вероятности преодоления системы защиты.

Игровая модель

строится по следующему принципу — разработчик строит первоначальный вариант системы защиты, аналитик-злоумышленник пытается эту систему преодолеть, если в момент времени t система преодолена, а к данному моменту у разработчика нет нового варианта, то система преодолена полностью, если нет, то процесс продолжается.

Демонстрирует эволюцию систему защиты в течении времени. Как правило реализуется на уровне технического задания, эскиза проекта системы. Рекурсивная процедура совершенствования защитных механизмов.

Модель системы безопасности с полным перекрытием

Система спроектированная на данной модели, должна иметь по крайней мере одно средство(субъект) на каждом возможном пути проникновения в систему. Модель определяет каждую область, требующую защиты, оцениваются средства безопасности с точки зрения эффективности и их вклад в безопасность во всей системе. Считается что несанкционированный доступ к каждому из набора защищаемых объектов, который может быть выражен количественно. Если ущерб не может быть выражен количественно, его считают определенно. Количество и категория ущерба может быть выражена в стоимостном(ценовом) эквиваленте, либо в термине, описывающем систему. С каждым объектом защиты связывается некоторое множество действий, к которым может прибегнуть злоумышленник, для того, чтобы получить доступ к объекту. Можно попытаться перечислить все злоумышленные действия, по отношению ко всем объектам защиты, для формирования набора угроз, направленных на нарушение безопасности. Основной характеристикой набора угроз будет являться вероятность проявлению каждого из злоумышленных действий. Эти вероятности можно вычислить с ограниченной степенью точности.

Основное преимущество этого метода моделирования состоит в возможности численной оценки надежности средств защиты системы информации. Данный метод не специфицирует непосредственно модель системы защиты, а может использоваться с другими моделями защиты. При анализе системы защиты модели данного типа позволяют оценить вероятность преодоления системы защиты и степень ущерба системе.

Модели конечных состояний.

Если начальное состояние системы безопасно, то все переходы из состояния в состояние не нарушают ограничений, то любое состояние системы безопасно.

Модель Белла-ЛаПадула

Описывает модель компьютера абстрактно, без связи с реализацией. Модель определяет множество ограничений на систему, реализация которых будет гарантировать некоторые свойства потока информации. Субъекты и объекты имеют уровни безопасности. Связанные, как правило с целевой функцией системы. Уровень безопасности соответствует. Ограничение на систему имеет форму аксиом, которые контролируют способы доступа субъектов к объектам, таких аксиом 2:

запрет чтение информации субъектом с уровнем безопасности меньшем, чем уровень безопасности объекта, из которого эта информации читается.

Запрет записи информации субъектом с уровнем безопасности больше, чем уровень безопасности объекта, в который эта информация записывается.

Ограничение данной модели описывает как безопасные состояния системы, связанные с состоянием потоков только от нижних уровней безопасности к верхним. Данная модель служит для мандатного разграничения доступа.

При строгой реализации данной модели возникают следующие проблемы:

завышение уровня секретности — вытекает из одноуровневой системы объектов.

Запись в слепую — возникает из-за правила сверху не читать,.

Проблема удаленной записи

проблема привилегированных субъектов — функционирование в системе администратора подразумевает выполнение таких операций, как создание и удаление пользователей, установка приложений и т. д. Очевидно, что такие операции не вписываются в данную модель, что означает функ. Администрирование без нарушения правил данной модели. Поэтому правила модели нужно рассматривать для всех субъектов, исключая привилегированные.

Модель Лейдвера

Классификация — ограничения, накладываемые на информацию, отражающие ущерб, который может быть нанесен несанкционированным доступом к этой информации.

Степень доверия пользователю — благонадежность пользователя, априорно заданное в системе.

Пользовательский идентификатор — строка символов, используемая для того чтобы отметить пользователя в системе.

Роль — работа пользователя в системе. Пользователь в данный момент всегда ассоциируем с одной ролью из нескольких в данной системе и может менять роль в течении сессии. С любой ролью связана возможность выполнения определенных операций. Некоторые роли могут быть связаны только с одним пользователем в данный момент времени.

Объект — одноуровневый блок информации. Минимальный блок информации в системе, который имеет классификацию. Многоуровневая структура имеет классификацию и может содержать объекты каждый со своей классификацией и или объекты.

Требование степени доверия объектов — атрибут некоторых объектов. Для некоторых контейнеров важно требовать минимум степени доверия, то есть пользователь, не имеющий соответствующий уровень благонадежности, не может просматривать содержимое контейнера. Ссылка на сущность считается прямой, если это идентификатор сущности. Ссылка косвенна, если это последовательность из двух или трех имен сущностей, из которых 1-й идентификатор.

Операция — функция, которая может быть применена к сущности. Некоторые операции могут использовать более одной сущности, например операции копирования.

Система безопасности Лейдвера должно реализовывать нижеследующие ограничения, часть ограничений реализуется пользователями (правила безопасности), а часть системой(ограничение безопасности)

правила:

1. администратор безопасности присваивает уровни доверия, классификации и правильные множества ролей
2. пользователь вводит правильную классификацию, когда изменяет или вводит информацию,
3. В пределах классификации пользователь классифицирует сущности и определяет для них правила доступа, так что пользователь с заданным уровнем благонадежности может просматривать сущности
4. пользователь должен образно контролировать информацию об объектах, требующих благонадежности

ограничения:

1. авторизация — пользователь может запрашивать операции над сущностями, только если пользовательский идентификатор присутствует в описании прав доступа вместе с операцией
2. классификационная иерархия — классификация контейнера всегда по крайней мере больше или равна классификации, которую он содержит.
3. Информация, переносимая из объекта всегда содержит классификацию объекта.
4. Информация, вставляемая в объект
5. пользователь может просматривать на некотором устройстве вывода только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия пользователей.
6. Пользователь может получить доступ к косвенно адресованной сущности внутри объекта, требующей степени доверия, если его степень доверия не ниже классификации контейнера.
7. Только пользователь с ролью администратора безопасности системы может устанавливать значения степени доверия, классификации устройств или сущностей.
8. Текущее множество ролей пользователя может быть изменено администратором безопасности или самим пользователем.
9. Никакая классифицируемая информация не может быть понижена, за исключением случая, когда эту операцию выполняет пользователь с ролью, уменьшающей классификацию информации.
10. Уничтожение информации только пользователем с соответствующей ролью.

Для систем, построенных на модели конечных состояний характерно более высокая степень надежности, чес для систем дискретного доступа. Связано с тем что система прослеживает не только правила доступа субъекты — объекты, но и состояние самой системы. Канал утечки может проявиться только при практической реализации, вследствие ошибок разработчика. Сложна, требует значительных ресурсов вычислительной системы.

 

Лекция №3 25.02.2013