- •Защита информационных процессов в компьютерных системах краснодар
- •Классификационная схема понятий в предметной области защита информации
- •Глава 1. Методология защиты информационных процессов в компьютерных системах
- •1.1 Проблема защиты информации в компьютерных системах.
- •1.2 Угрозы и каналы утечки информации в компьютерных системах.
- •Р ис. 1.2.4. Обобщенная модель физического взаимодействия информационной системы с внешней средой
- •1. По природе возникновения.
- •2. По степени преднамеренности проявления.
- •3. По непосредственному источнику.
- •4. По положению источника.
- •5. По степени зависимости от активности ас.
- •6. По степени воздействия на ас.
- •7. По этапам доступа пользователей или программ к ресурсам ас.
- •8. По способу доступа к ресурсам ас.
- •9. По текущему месту расположения информации, хранимой и обрабатываемой в ас.
- •В этой связи все возможные ник целесообразно разделять на:
- •1.3 Политика и модели безопасности информации в компьютерных системах.
- •Политика безопасности верхних уровней – правового и административного
- •Политика безопасности среднего уровня – процедурного
- •Перечень защищаемых ресурсов ас
- •Политика безопасности нижнего уровня – программно-аппаратного
- •1. Модель дискреционного (дискретного) доступа.
- •2. Модель мандатного управления доступом Белла-Лападула.
- •3. Модели распределенных систем (синхронные и асинхронные).
- •12. Модель системы безопасности с полным перекрытием.
- •13. Модель гарантированно защищенной системы обработки информации.
- •14. Субъектно-объектная модель.
- •Модель Белла и Лападула
- •Модель понижения уровня субъекта.
- •Модель понижения уровня объекта.
- •Объединение моделей безопасности.
- •1.4. Концепция защиты информации от нсд.
- •Глава 2. Защита информации в автоматизированных системах
- •2.1. Комплексная система защиты информации в автоматизированных системах.
- •Классификатор средств и методов защиты
- •2.2. Организационно-правовая защита информации в автоматизированных системах.
- •Основные государственные правовые акты по защите информации в ас
- •2.3. Реализация методов защиты информации от нсд.
- •2.4. Критерии и стандарты защищенности автоматизированных систем.
- •2.4.1. Критерии оценки безопасности ас сша.
- •Группа d. Минимальная защита
- •Группа с. Дискреционная защита
- •Группа в. Мандатное управление доступом
- •Группа а. Верифицированная защита
- •Интерпретация и развитие tcsec
- •2.4.2 Европейские критерии безопасности информационных технологий
- •Основные понятия
- •Функциональные критерии
- •Критерии адекватности
- •2.4.3. Федеральные критерии безопасности информационных технологий.
- •Основные положения.
- •Профиль защиты
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •2.5 Показатели защищенности свт и ас от нсд.
- •2.5.1 Показатели защищенности свт по защите информации от нсд.
- •Показатели защищенности свт
- •Требования к показателям защищенности шестого класса
- •Требования к показателям пятого класса защищенности
- •Требования к показателям четвертого класса защищенности
- •Требования к показателям третьего класса защищенности
- •Требования к показателям второго класса защищенности
- •Требования к показателям первого класса защищенности
- •2.5.2 Классификация ас и требования по защите информации.
- •Требования к классу защищенности 3б.
- •Требования к классу защищенности 3а.
- •Требования к классу защищенности 2б.
- •Требования к классу защищенности 2а.
- •Требования к классу защищенности 1д.
- •Требования к классу защищенности 1г.
- •Требования к классу защищенности 1в:
- •Требования к классу защищенности 1б:
- •Требования к классу защищенности 1а:
- •2.6 Лицензирование деятельности в области защиты информации.
- •Перечень
- •Перечень
- •Подлежащих лицензированию фапси
- •Особенности сертификации средств защиты информации
12. Модель системы безопасности с полным перекрытием.
Отмечается, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров.
13. Модель гарантированно защищенной системы обработки информации.
В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условиях, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только к общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности модель гарантирует невозможность утечки информации и выполнение политики безопасности.
14. Субъектно-объектная модель.
В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделены множества объектов и субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект - монитор безопасности субъектов (МБС), который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды.
Рассмотренные модели можно классифицировать следующим образом:
модели разграничения доступа, построенные по принципу предоставления прав;
модели разграничения доступа, построенные на основе принципов теории информации Шеннона;
модели разграничения доступа, построенные на основе теории вероятностей.
Модели разграничения доступа, построенные по принципу предоставления прав, являются самой естественной основой для построения политик разграничения доступа. Система, политика безопасности которой построена на основании данного принципа, впервые была описана в литературе в середине шестидесятых годов.
Основными типами моделей, построенных на предоставлении прав, являются модели дискреционного (избирательного) и мандатного (полномочного) доступа. Модели данного типа используются в большинстве реальных систем и в РД Гостехкомисси РФ, поэтому более подробно рассмотрим модели безопасности, относящиеся к этим классам моделей.
Дискреционная модель политики безопасности
При использовании в политике информационной безопасности дискреционного управления доступом (Discretionary Access Control; DAC) система защиты представляется в виде декартова произведения множеств, составными частями которых являются составные части системы защиты (например: субъекты, объекты, уровни доступа, операции и т.д.). В качестве математического аппарата используется аппарат теории множеств.
Дискреционное (избирательное) управление доступом подразумевает, что:
все субъекты и объекты системы должны быть идентифицированы;
права доступа субъекта к объекту системы определяются на основании некоторого внешнего (по отношению к системе) правила (свойство избирательности).
Для описания свойств дискреционного управления доступом применяется модель системы на основе матрицы доступа (МД), которую иногда называют матрицей контроля доступа. В матрице доступа объекту системы соответствует столбец, а субъекту - строка. На пересечении столбца и строки указывается тип (или типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как доступ на чтение, доступ на запись, доступ на исполнение и др.
|
О1 |
О2 |
… |
Оn |
|
||
S1 |
rw |
w |
|
x |
Профили (profile) субъектов |
||
S2 |
rw |
r |
|
r |
|||
… |
|
|
|
|
|||
Sm |
rwx |
rwx |
|
r |
|||
Списки контроля доступа (AСL) объектов |
|
Модель матрицы доступа
Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей дискреционного управления доступом.
Например, доступ субъекта к конкретному объекту может быть разрешен только в определенные дни (дата-зависимое условие), часы (время-зависимое условие), в зависимости от других характеристик субъекта (контекстно-зависимое условие) или в зависимости от характера предыдущей работы. Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъект с определенными полномочиями может передать их другому субъекту (если это не противоречит правилам политики безопасности).
Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанный в соответствующей ячейке матрицы доступа. Обычно, дискреционное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту.
Матрица доступа - наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных АС.
Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД:
1. Профиль (profile). Профилем называется список защищаемых объектов системы и прав доступа к ним, ассоциированный с каждым субъектом. При обращении к объекту профиль субъекта проверяется на наличие соответствующих прав доступа. Таким образом, МД представляется своими строками. В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять; изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы. Поэтому профили обычно используются лишь администраторами безопасности для контроля работы субъектов, и даже такое их применение весьма ограничено.
2. Список контроля доступа (access control list). Это представление МД по столбцам - каждому объекту соответствует список субъектов вместе с их правами. В современных условиях списки контроля доступа - наиболее перспективное направление реализации дискреционной модели доступа, поскольку это очень гибкая структура, предоставляющая пользователям много возможностей.
3. Мандат или билет (capability или ticket). Это элемент МД, определяющий тип доступа определенного субъекта к определенному объекту (т.е. субъект имеет билет на доступ к объекту).
Каждый раз билет выдается субъекту динамически - при запросе доступа, и так же динамически билет может быть изъят у субъекта. Поскольку распространение билетов происходит динамично и, они могут размещаться внутри объектов, то контроль за ними затруднен. В чистом виде билетный механизм хранения и передачи привилегий используется редко. Однако реализация других механизмов присвоения привилегий (например, с использованием ACL) часто осуществляется с помощью билетов.
К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. К недостаткам относится «статичность» моделей - не учитывается динамика изменений состояния АС, в этой связи и не накладываются ограничения на состояния системы. Кроме того, при использовании данной политики перед диспетчером доступа (монитором обращений), который при санкционировании доступа субъекта к объекту руководствуется определенным набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению принятых правил безопасности или нет.
Избирательное управление доступом является основой требований к классам защищенности СВТ 6 и 5 по РД ГТК; С2 и С1 по «Оранжевой книге». Дискреционная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.
Одной из первых моделей DAC была модель АДЕПТ-50. В ней представлено четыре типа сущностей: пользователи (u), задания (j), терминалы (t) и файлы (f), причем каждая сущность описывается тройкой (L, F, М), включающей параметры безопасности:
Уровень безопасности L — скаляр — элементы из набора иерархически упорядоченных уровней безопасности.
Полномочия F — группа пользователей, имеющих право на доступ к определенному объекту.
Режим М — набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ПРИСОЕДИНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ.
Если U={u} обозначает набор всех пользователей, известных системе, a F (i) — набор всех пользователей, имеющих право использовать объект i, то для модели формулируются следующие правила:
1. Пользователь u получает доступ к системе uY.
2. Пользователь и получает доступ к терминалу t uF(t), т.е. в том и только в том случае, когда пользователь и имеет право использовать терминал t.
3. Пользователь и получает доступ к файлу j A(j)A(f), C(j)C(f), M(j)M(f) и uF(f), т.е. только в случае, если привилегии выполняемого задания шире привилегий файла или равны им; пользователь является членом F(f).
Трехмерный кортеж безопасности, полученный на основе прав задания, а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов. Например, наивысшим полномочием доступа к файлу для пользователя «СОВ. СЕКРЕТНО», выполняющего задание с «КОНФИДЕНЦИАЛЬНОГО» терминала будет «КОНФИДЕНЦИАЛЬНО».
Одну из реализаций DAC на основе пятимерного пространства безопасности называют по фамилии автора моделью Хартсона. В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.
Модель имеет пять основных наборов:
А — установленных полномочий;
U — пользователей;
Е — операций;
R — ресурсов;
S — состояний.
Область безопасности будет выглядеть как декартово произведение:
AUERS.
Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции e над ресурсами R, в то время, когда система находится в состоянии s. Например, запрос на доступ представляется четырехмерным кортежем q=(u, e, R, s), uU, еЕ, sS, rR. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ — подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.
Процесс организации доступа можно описать алгоритмически следующим образом. Для запроса q, где q (u, e, R, s), набора U' вполне определенных групп пользователей, набора R' вполне определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур:
1. Вызвать все вспомогательные программы, необходимые для «предварительного принятия решений».
2. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.
3. Определить из Р набор F(e) полномочий, которые устанавливают e как основную операцию. Этот набор называется привилегией операции е.
4. Определить из Р набор F(R) (привилегию единичного ресурса R) — полномочия, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R.
Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса
q: D(q)=F(u)F(e)F(R)
5. Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).
6. Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса.
Новый набор полномочий — один на каждую единицу ресурса, указанную в D(q), есть F(u, q) — фактическая привилегия пользователя и по отношению к запросу q.
7. Вычислить ЕАС — условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q).Это И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.
8. Оценить ЕАС и принять решение о доступе: разрешить доступ к R, если R перекрывается и отказать в доступе в противном случае.
9. Произвести запись необходимых событий.
10. Вызвать все программы, необходимые для организации доступа после «принятия решения».
11. Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.
12. Если решение о доступе было положительным — завершить физическую обработку.
Автор модели, Хартсон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе.
Модель HRU (Харрисона, Руззо, Уллмана) используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента-матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода. Модель HRU была впервые предложена в 1971 г, а в 1976 г. появилось формальное описание модели которым мы и будем руководствоваться.
Обозначим:
О - множество объектов системы;
S - множество субъектов системы (S O);
R - множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own);
М - матрица доступа, строки которой соответствуют субъектам, а столбцы - объектам;
M [s,о] R- права доступа субъекта s к объекту о.
Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами:
"Внести" право r R в М [s,о] - добавление субъекту s права доступа г объекту о. При этом в ячейку M[s,o] матрицы доступов добавляется элемент г.
"Удалить" право r R из М [s,о] - удаление у субъекта s права доступа г к объекту о. При этом из ячейки M [s,o] матрицы доступов удаляется элемент г.
"Создать" субъект s’ - добавление в систему нового субъекта s'. При этом в матрицу доступов добавляются новый столбец и строка.
"Создать" объект о' - добавление в систему нового объекта о'. При этом в матрицу доступов добавляется новый столбец.
"Уничтожить" субъект s' - удаление из системы субъекта s'. При этом из матрицы доступов удаляются соответствующие столбец и строка.
"Уничтожить" объект о' - удаление из системы объекта о'. При этом из матрицы доступов удаляется соответствующий столбец.
В результате выполнения примитивного оператора α осуществляется переход системы из состояния Q = (S,O,M) в новое состояние Q'= = (S', О', М’).
Из примитивных операторов могут составляться команды. Каждая команда состоит из двух частей:
• условия, при котором выполняется команда;
• последовательности примитивных операторов.
Таким образом, запись команды имеет вид:
command С (xi,..., хk)
if r1 M [xs1, xo1] and... and rm М [xsm, xom] then
α1;
…
αn1;
end
Согласно требованиям большинства критериев оценки безопасности, системы защиты должны строиться на основе определенных математических моделей, с помощью которых должно быть теоретически обосновано соответствие системы защиты требованиям заданной политики безопасности. Для решения поставленной задачи необходим алгоритм, осуществляющий данную проверку. Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности систем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае. Это утверждение опирается на факт, доказанный в теории машин Тьюринга:
не существует алгоритма проверки для произвольной машины Тьюринга и произвольного начального слова, т.е. однозначно не возможно определить, остановится ли машина Тьюринга в конечном состоянии или нет (под машиной Тьюринга понимается способ переработки слов в конечных алфавитах, слова записываются на бесконечную в обе стороны ленту, разбитую на ячейки).
В этой связи очевидны два пути выбора систем защиты:
с одной стороны, общая модель HRU может выражать большое разнообразие политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки их безопасности,
с другой стороны, можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким.
Например, монооперационные системы не могут выразить политику, дающую субъектам права на созданные ими объекты, так как не существует одной операции, которая и создает объект, и помечает его как принадлежащий создающему субъекту одновременно.
Дальнейшие исследования модели HRU велись в основном в направлении определения условий, которым должна удовлетворять система, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции «создать». В 1978 г. обосновано, что таковыми могут быть системы монотонные и моноусловные, т.е. не содержащие операторов «уничтожить» или «удалить» и имеющие только команды, части условия которых имеют не более одного предложения. В том же году в показано, что задача безопасности для систем с конечным множеством субъектов в принципе разрешима, но вычислительно очень сложна.
Для анализа адекватности систем на основе DAC, в 1976 года была предложена модель распространения прав доступа Take-Grant. Цель модели – дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в определенном состоянии безопасности.
Формальное описание модели:
О – множество объектов (например, файлов);
S О – множество субъектов (т.е. активных объектов: пользователей, процессов);
R= {r1, r2, …rm} {t,g} – множество прав доступа, где
t (take) – право брать права доступа, g (grant) – право давать права доступа;
G = (S,O,E) – конечный граф, представляющий текущие доступы в системе;
элементы множества E ООR – дуги графа, помеченные непустыми подмножествами из множества прав доступа R.
Состояние системы описывается графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов.
В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа (способа санкционированного получения прав и способа похищения прав). Санкционированный способ передачи прав доступа предполагает идеальное сотрудничество объектов. В случае перехвата прав доступа предполагается, что передача прав доступа объекту осуществляется без содействия субъекта, изначально обладавшего правами.
В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков в системах с DAC. В классической модели Take-Grant no существу рассматриваются два права доступа: t и g, а также четыре правила (правила де-юре) преобразования графа доступов: take, grant, create, remove. В расширенной модели дополнительно рассматриваются два права доступа: на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразования графа доступов: post, spy, find, pass и два правила без названия.
Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия.
В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w. Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе. К мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.
Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров.
Пример 1. Пусть субъект х не имеет право r на объект z, но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у. Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х, что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом, т. е. пассивным элементом системы, то информационный канал от z к х возникнуть не мог.
Пример 2. Пусть субъект у имеет право r на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следовательно, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.
Проблемы взаимодействия - центральный вопрос при перехвате прав доступа. Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализации правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обязательно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматривая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содержать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно.
Можно рассмотреть проблему поиска и анализа информационных каналов в ином аспекте. Допустим, факт нежелательной передачи прав или информации уже состоялся. Каков наиболее вероятный путь его осуществления? В классической модели Take-Grant не дается прямого ответа на этот вопрос. Можно говорить, что есть возможность передачи прав или информации, но нельзя определить, какой из путей при этом использовался. Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути. Например, на рис. 1.3.1 видно, что интуитивно наиболее вероятный путь передачи информации от субъекта z к субъекту х лежит через объект у. В тоже время злоумышленник для большей скрытности может специально использовать более длинный путь.
Рис. 1.3.1 Пути возникновения информационного канала от Z к X
Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь.
Есть два основных подхода к определению стоимости путей.
1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов. В этом случае стоимость дуги определяется в зависимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.
2. Подход, основанный на присваивании стоимости каждому используемому правилу де-юре или де-факто. Стоимость правила при этом можно выбрать, исходя из сферы применения модели Take-Grant. Стоимость может:
• быть константой;
• зависеть от специфики правила;
• зависеть от числа участников при применении правила;
• зависеть от степени требуемого взаимодействия объектов.
Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.
Важно отметить, что модель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности. В модели определены условия, при которых происходит передача или перехват прав доступа. Однако на практике редко возникает необходимость в использовании указанных условий, так как при анализе большинства реальных систем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей возникновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.
Мандатная модель политики безопасности
Описанные выше модели дискретного доступа обеспечивают хорошо сегментированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе DAC, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Например, пользователь ожидает, что программа является текстовым редактором, а она кроме функций редактора способна выполнить перехват и передачу по сети пароля пользователя.
Для того, чтобы понять, как может работать такой троянский конь, вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются операционной системой. Троянские программы рассчитывают на то, что когда пользователь инициирует такую последовательность, то он обычно верит в то, что система произведет ее как полагается. При этом, нарушитель может написать версию троянской программы, которая будучи запущенной от имени пользователя-жертвы, передаст его информацию пользователю нарушителю.
В отличие от DAC, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный принцип управления доступом (Mandatory Access Control; МАС) накладывает ограничения на передачу прав доступа от одного пользователя другому (что, в частности позволяет успешно решать проблему троянских коней).
Классической моделью, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла и Лападула.