Защита информационных процессов в компьютерных программах

 

Контрольные задания

 

1 С помощью какой утилиты по заданному доменному имени хоста можно определить его IP адрес? Определите IP адрес хоста www.mail.ru.

2 C помощью утилиты telnet определите какой веб-сервер установлен на хосте www.rbc.ru.

3 Определите маршрут прохождения ICMP пакетов до хоста www.ttt.com. Определите примерную географическую локализацию хоста.

 

Защита информационных процессов в компьютерных программах

 

Лекция 1 11.02.13

 

Рассматривая вопросы безопасности информации в комп. системах (автоматизированные системы) можно говорить о некоторых желательных состояниях этих систем. Эти желательные состояния описывают защищенность систем. Понятие защищенности принципиально не отличаются от других свойств системы, и является для системы априорно заданным. Особенностью понятия защищенности является его тесная связь с понятиями «злоумышленник»(внешняя причина для вывода состояния защищенности) и «угроза» (понятие, обезличивающая причину вывода из состояния защищенности). При рассмотрении понятия «злоумышленник» практически всегда выделяется объект его воздействия. Часть системы, связанные с теми или иными частями системы (объект атаки).

 

Можно выделить 3 компонента, связанные с нарушением защищенности:

 

1. злоумышленник- источник нарушения безопасности.
2. объект атаки- часть системы на которую злоумышленник оказывает воздействия.
3. канал воздействия — как среда переноса злоумышленного воздействия.

 

Интегральные характеристика, описывающие свойства защищаемой системы, является политика безопасности. Которая является качественной или качественно-количественной свойство защищенности, описываемой в терминах). Описание политики может включать в себя свойства злоумышленников и объекта атаки.

 

Наиболее часто политика безопасности связана с понятием доступа. Доступ по категориям субъектно-объектной модели) описывающее процессы операций субъектов над объектов. Описание политики безопасности включает:

• множество возможных операций над объектами
• Для каждой пары субъект-объект назначение множества разрешенных операций, являющегося подмножеством всего множества возможных операций.

 

Операция связана обычно с целевой функцией защищаемой системы. Т.е. С категорией, описывающей назначение системы и решаемый задачи. Можно сформулировать 2 аксиомы защищенных компьютерных систем:

• В защищенной компьютерной системы всегда присутствуют активные компоненты(субъект), выполняющий контроль операций субъектов над объектов. данный субъект отвечает за реализацию политики объекта безопасности.
• Для выполнения в защищенной системе операций над объектами необходима дополнительная информация(наличие содержащего его объекта об разрешенных и запрещенных операциях субъекта с объектами.

 

Все вопросы безопасности информации описываются доступами субъектов к объектам.

Необходимо заметить политика безопасности описывает нестационарные состояние защищенности. Защищаемая система может изменяться, дополняться новыми объектами. Система безопасности должна быть поддержана во времени. Должны быть процедуры безопасности. Можно говорить, что дисциплина компьютерной безопасности решает 4 класса взаимосвязанных задач:

• Формулирование и изучение политики безопасности
• Реализация политики безопасности
• Гарантирование заданной политики безопасности
• Управление безопасностью

Типовой жизненный цикл КС состоит из следующих стадий:

• Проектирование КС и политики безопасности.
• Моделирование и анализ корректности политики безопасности, установление адекватности политики безопасности целевой функции КС.
• Реализация ПБ и механизмов ее гарантирование, а также процедур и механизмов управление безопасности.
• эксплуатация защищенных систем.

 

Безопасность КС часто описывается в категориях целостности, конфиденциальность и доступности, достоверность.

 

Достоверность- хранение семантических свойств

Доступность- возможность пользование ресурсом в любой момент времени

Целостность- неизменность свойств информации в любой момент времени

Конфиденциальность- недоступность информации или сервисов, которым априорно не задан доступ к этой информации.

 

Канал воздействия на КС может включать в себя изменение компонентов КС(активное)

Причины реализации угрозы(несоответствие с помощью неадекватность политики безопасности условиям

ошибки управления системами безопасности

ошибки проектирования системы гарантий

ошибки программной реализации

недостоверная работа вычислительной базы

 

По используемым средствам воздействия на объект атаки воздействия может разделяться на…

 

 

Объект-субъект

 

В теории компьютерной безопасности всегда рассматривается произвольная модель

указанное множество можно разделить на указанное подмножество объектов и субъектов.

Данное разделение основано на свойстве эл-та быть активным и получать управление.

Разделение исторически сложилось

 

 

Рассматривание активную роль субъектов в КС необходимо упомянуть след.:

1. пользователь воспринимает объекты и получает информацию о КС через субъекты, которыми он управляет и получает информацию в воспринимаемой человеком виде.
2. Угрозы компонентам КС исходит от субъектов, как активных компонентов, которые порождают инф. Потоки и изменяют состояние объектов.
3. Субъекты могут влиять друг на друга, изменяя объекты, связанные с другими субъектами, порождая в системе субъекты, которые представляют угрозу для безопасности информации или для работоспособности самой системы.

Разделение на субъекты и объекты априорно задано.

Пользователь- лицо, идентифицируемое некоторой информацией, и управляющее субъектами КС через органы управления системой. Внешний фактор, управляющий состоянием субъектов. В связи с этим будем считать пользовательское управление таким, свойство системы от него не зависит. Смысл состоит в том, что пользователь программы не может изменить ее свойство.

 

Будем полагать что мн-во субъектов КС не пусто, в противном случае соответсвующие отрезки времени исключаем и рассматриваем отрезки времени с ненулевой мощностью.

 

 

Субъекты в КС может быть порождены только активной компонентой из пассивной.

Объект Оi называется источником для субъекта Sm, если существует субъект Sj, в результате воздействия которого на Oi возникает Sm.

Create (Sj, Oi) → Sm

Sj - активизирующий субъект

Sm - порожденный

 

create создает отображение декартово произведение множества объектов и субъектов на пустое множество субъектов

 

Create (Sk, Ol) → NULL

 

дискретное время

порожденный субъект появляется в момент t+1 относительно времени t воздействия

 

Объект Oi в момент времени t ассоциируем с объектом Sm, если состояние объекта Oi повлияло на состояние субъекта Sm в следующий момент времени (Sm использует информацию в Oi)

C одним субъектом ассоциируемо несколько объектов

Create(S,O) → S'

 

свойство субъекта быть активным реализуется в возможности делать действия над объектами.

Пассивность объектов требует существования потоков информации от объектов к объектам, иначе нельзя говорить об изменении объектов, инициализируется субъектами.

Потоком информации между объектами Oj Om называется произвольная операция над объектом Oj, реализуемая в субъекте Si, с помощью Om.

 

stream(Si, Om) → Oj

активная роль субъекта выражается в реализации данного потока.

 

Stream(word.exe, 1.doc) → 2.doc

 

stream (explorer.exe, 1.doc) → NULL

 

stream (cmd, NULL) → 1.doc

 

Доступом субъекта Si к объекту Oj можно считать...

 

P =N U L— мн-во потенциальных потоков

N — несанкционированный доступ к потокам

и L — санкционированные потоки.

Результатом политики безопасности является корректное разделение инф. потоков на L и N. Не нарушает конфиденциальность. Правило разграничение доступа субъектов к объектам есть формально описанные потоки, принадлежащие L. Монитор обращение — субъект, активизирующийся при возникновении любого потока информации. Монитор безопасности объекта — монитор обращений, который разрешает санкционированный поток L. Разрешение — выполнение, запрещение — невыполнение.

 

Пара Si и Sj называются не влияющими друг на друга, если в любой момент времени отсутствует поток между ассоциируемыми объектами этих субъектов, и множество этих объектов не пересекается.

Если все существующие в системе субъекты корректны относительно него и объектов.

Монитор безопасности субъектов - субъект, который разрешает порождение субъекта для фиксированное подмножества пар объектов и субъектов, активизирующих процесс.

Система называется замкнутой по порождению субъектов, если в ней существует монитор безопасности субъектов, который разрешает только фиксированные пары субъектов и объектов, заданные декомпозицией в КС.

 

Если в изолированной компьютерной системе существуют мониторы безопасности, порождаемые субъекты корректны, а также мониторы безопасности объектов корректны относительно монитора безопасности субъектов, то

 

Лекция №2 18.02.13