- •Введение
- •1. Основные понятия, термины и определения
- •Информация и информационные отношения. Субъекты информационных отношений, их безопасность
- •Определение требований к защищенности информации
- •2. Угрозы безопасности ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Основные виды угроз безопасности субъектов информационных отношений
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя в ас
- •3. Основные меры противодействия угрозам безопасности, принципы построения систем защиты, основные механизмы защиты
- •Задачи системы компьютерной безопасности
- •Меры противодействия угрозам безопасности. Классификация мер обеспечения безопасности компьютерных систем
- •Достоинства и недостатки различных мер защиты Законодательные и морально-этические меры
- •Организационные меры
- •Физические и технические средства защиты
- •Основные принципы построения систем защиты ас
- •Принцип системности
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •Основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и нсд к информации
- •Типы моделей управления доступом
- •Характеристики модели безопасности
- •Описание модели управления доступом в системе как конечного автомата
- •Модель безопасности Белл-Ла Падула
- •Анализ информационных потоков
- •Системы разграничения доступа
- •Диспетчер доступа
- •Списки управления доступом к объекту
- •Списки полномочий субъектов
- •Атрибутные схемы
- •Криптографические методы защиты. Виды средств криптозащиты данных. Достоинства и недостатки. Место и роль средств криптозащиты
- •Управление механизмами защиты
- •4. Организационные меры защиты информации в ас
- •Организационная структура, основные функции службы компьютерной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации от нсд
- •Заключение
- •Основные термины и определения в области безопасности информационных технологий
Анализ информационных потоков
Помимо выполнения основной своей задачи - математически точного представления требований правил управления доступом, модель управления доступом используется в процессе разработки системы для выполнения так называемого анализа информационного потока. Анализ информационного потока - это общая технология для анализа путей утечки информации в системе (Lampson, 1973; Denning, 1983); она применима к любой модели безопасности.
Информационный поток может рассматриваться как отношение причина-следствие между двумя переменными A и B. Считается, что в любой функции, где модифицируется B и упоминается A, существует поток от переменной A к переменной B (записывается в виде A->B), если какая-либо информация о старом значении A может быть получена путем анализа нового значения B.
Модель управления доступом плохо пригодна для выявления таких слабостей в безопасности, как скрытые каналы, которые по сути являются незапланированными (и в большинстве своем незаконными) информационными потоками. Вполне возможна ситуация, когда модель управления доступом, безупречная с точки зрения определений и доказательств, может содержать массу скрытых каналов, благодаря которым все усилия по реализации установленной политики безопасности теряют смысл.
Скрытые каналы достаточно эффективно выявляются в процессе анализа информационного потока, для которого основой может служить модель безопасности.
Следует учитывать, что формальный анализ потока - занятие весьма трудоемкое, поскольку проверяется каждая ссылка на каждую переменную состояния в модели. Анализ потока нельзя считать полноценным без рассмотрения каждой переменной, поскольку очень легко упустить скрытый канал именно через переменную, выпавшую из рассмотрения. Правила для определения возможности информационного потока сложны и трудны для применения вручную.
На практике анализ потока редко выполняется для системы на уровне абстрактной модели. Хотя анализ потока в модели может, конечно, выявить многие потенциальные нарушения потока, он может также и упустить ряд таких нарушений. Это возможно потому, что модель оставляет вне рассмотрения очень много деталей системы, например, таких как переменные состояния и функции, которые не влияют на безопасное состояние системы и, по определению, не включаются в состав модели безопасности. Именно эти внутренние переменные состояния обеспечивают возможность возникновения скрытых каналов.
С другой стороны, анализ информационного потока, выполненный на уровне модели системы, дает возможность выявить и устранить нежелательные скрытые каналы до того, как разработчики приступят к выполнению последующих шагов формального метода разработки системы.
Поскольку существуют строгие правила и методы определения потенциальных потоков, их синтаксического анализа и доказательства допустимости, иногда говорят о модели информационного потока (см.выше), что представляется не совсем верным, поскольку формальная модель безопасности имеет собственное назначение помимо того, чтобы служить основой для проведения анализа информационного потока.
Разработка и доказательство модели управления доступом системы является важным этапом в формальном методе разработки системы. Сам формальный метод разработки можно ограничить этапом формального моделирования, после которого следует практическая реализация системы.
В более полном варианте метод формальной разработки включает также этап создания формальной спецификации. Спецификация отличается от модели тем, что помимо переменных и функций, относящихся к обеспечению безопасности, описывает переменные и функции, реализующие в системе иные задачи. При этом следует отметить, что соответствие формальной спецификации разработанной ранее модели безопасности строго доказывается.