10.Механизмы реализации политики безопасности.

Политика безопасности (security policy) - набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе.

Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Ее реализация для конкретной АС осуществляется при помощи средств управления механизмами защиты.

Три компонента, связанные с нарушением безопасности системы:

- "злоумышленник - внешний по отношению к системе источник наруше­ния свойства "безопасность"

- "объект атаки" - часть, принадлежащая системе, на которую злоумыш­ленник производит воздействие

- "канал воздействия”- среда переноса злоумышленного воздействия

Доступ - категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами

В общем случае политика безопасности включает:

• множество возможных операций над объектами;

• для каждой пары "субъект, объект" (Si, Оj) множество разрешенных операций, являющееся подмножеством всего множества возможных операций.

Основные аксиомы защищенных АС

Аксиома 1. В защищенной АС всегда присутствует активный компонент (субъект), выполняющий контроль операций субъектов над объектами. Этот компонент фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.

Аксиома 3. Все вопросы безопасности информации в АС описываются доступами субъектов к объектам.

Аксиома 4. Субъекты в АС могут быть порождены из объектов толь­ко активным компонентом (субъектами)

Механизм порождения новых субъектов

Определение 1. Объект О_i, называется источником для субъекта S_m, если существует субъект S_j, в результате воздействия которого на объект О_i, в АС возникает субъект S_m.

Субъект S_j, порождающий новый субъект из объекта О_i, называется активизирующим субъектом для субъекта S_m, S_m назовем порожденным объектом.

Введем обозначение: Create (S_j, O_i)  S_k - из объекта О_i порожден субъект S_k при активизирующем воздействии субъекта S_j. Create назовем операцией порождения субъектов

Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объек­тами, операциями субъектов над объектами). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процесс изучения свойства защищаемой системы должны быть определены процедуры управления безопасностью.

С другой стороны, нестационарность защищаемой АС, а также вопросы реализации политики безопасности в конкретных конструкциях защищаемой системы (например, программирование контролирующего субъекта в командах конкретного процессора) предопределяют необходимость рассмотрения задачи гарантирования заданной политики безопасности.

При рассмотрении политики безопасности необходимо решить четыре класса взаимосвязанных задач:

- формулирование и изучение политик безопасности

- реализация политик безопасности

- гарантирование заданной политики безопасности

- управление безопасностью

Рассматривая активную роль субъектов в АС, необходимо упомянуть о ряде важнейших их свойств, на которых базируется излагаемая ниже модель

Во-первых, человек-пользователь воспринимает объекты и получает информацию о состоянии АС через те субъекты, которыми он управляет и которые отображают информацию в воспринимаемом человеком виде

Во-вторых, угрозы компонентам АС исходят от субъекта как активного компонента, порождающего потоки и изменяющего состояние объектов в АС

В-третьих, субъекты могут влиять друг на друга через изменяемые ими объекты, связанные с другими субъектами, порождая в конечном итоге в системе субъекты (или состояния системы), которые представляют угрозу для безопасности информации или для работоспособности системы.

Определение 5. Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие подмножеству L.

Определение 6. Объекты О_i и О_j тождественны в момент времени t, если они совпадают как слова, записанные в одном языке.

Определение 7. Субъекты S_i и S_j тождественны в момент времени t, если попарно тождественны все ассоциированные с ними объекты.

Следствие (из определений 6 и 7). Порожденные субъекты тождественны, если тождественны порождающие субъекты и объекты -источники.

Определение 8. Монитор обращений (МО) - субъект, активизирующийся при возникновении потока от любого субъекта к любому объекту

Определение 9. Монитор безопасности объектов (МБО) - монитор обращений, который разрешает поток, принадлежащий только множеству легального доступа L. Разрешение потока в данном случае понимается как выполнение операции над объектом-получателем потока, а запрещение - как невыполнение (т.е. неизменность объекта-получателя потока).