8. Виды политик безопасности и их основные положения, а также методы использования формальных моделей при построении защищенных ас.

Политика безопасности – совокупность норм и правил регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы.

Формальное выражение политики безопасности называют моделью политики безопасности.

Политика безопасности включает:

• множество возможных операций над объектами;

• для каждой пары "субъект, объект" (Si, Oj) множество paзрешенных операций, являющееся подмножеством всего множества возможных операций.

Существуют следующие типы политики безопасности: дискреционная, ман­датная, политика безопасности информационных потоков, политика ролевого разграничения доступа, политика изолированной программной среды.

1. Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control - DAC), которое определяется двумя свойствами:

• все субъекты и объекты должны быть идентифицированы;

• права доступа субъекта к объекту системы определяются на основа­нии некоторого внешнего по отношению к системе правила.

Основным элементом систем дискреционного разграничения доступа является матрица доступов – матрица размером |S| x |O|, строки которой соответствуют субъектам, а столбцы – объектам. При этом каждый элемент матрицы доступов определяет права доступа субъекта s на объект o, где R – множество прав доступа.

Достоинства: относительно простая реализация соответствующих механизмов за­щиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время АС обеспечивают выполнение положений именно дан­ной политики безопасности.

К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменении состояния АС, не накладывает ограничений на состояния системы. Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность АС. В общем случае при использовании данной политики безопасности перед МБО (монитор безопасности объектов), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную политику безопасности, которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, который бы позволил реализовать ясную и четкую систему защиты информации в АС. Этим обуславливается поиск других более совершенных политик безопасности.

Основными моделями систем дискреционного разграничения доступа являются модели Харрисона-Руззо-Ульмана (модель ХРУ) и модель Take-Grant.

Элементами модели ХРУ являются:

O – множество объектов системы;

S – множество субъектов системы ( );

R – множество видов прав доступа субъектов на объекты;

M – матрица доступов, описывающая текущие права доступа субъектов к объектам;

Q = (S, O, M) – текущее состояние системы.

Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем изменения в матрице M с помощью команд. Элементарные операции составляющие команду выполняются только в том случае, если все условия означающие присутствие указанных прав доступа в ячейках матрицы M являются истинными. В классической модели ХРУ допустимы следующие элементарные операции:

внести право r в M[s, o];

удалить право r из M[s, o];

создать субъект S;

удалить субъект S;

создать объект O;

удалить объект O.

Применение любой элементарной операции в системе влечет за собой переход системы в другое состояние, отличающееся от предыдущего по крайней мере одним компонентом.

Выводы: общая модель ХРУ может выражать большое разнообразие политик дискреционного доступа, но при этом не предоставляет алгоритма проверки их безопасности. Можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким. Дискреционные модели уязвимы по отношению атаки «Троянский конь», т.к. в них контролируются права доступа субъекта к объекту, а не потоки информации между ними.

Модель распространения прав доступа Take-Grant - это формальная модель, используемая в области компьютерной безопасности, для анализа систем дискреционного разграничения доступа; подтверждает либо опровергает степени защищенности данной автоматизированной системы, которая должна удовлетворять регламентированным требованиям. Модель представляет всю систему как направленный граф, где узлы - либо объекты, либо субъекты. Дуги между ними маркированы, и их значения указывают права, которые имеет объект или субъект (узел). В модели доминируют два правила: "давать" и "брать". Они играют в ней особую роль, переписывая правила, описывающие допустимые пути изменения графа. В общей сложности существует 4 правила преобразования:

• правило "брать";

• правило "давать";

• правило "создать";

• правило "удалить";

Используя эти правила, можно воспроизвести состояния, в которых будет находиться система в зависимости от распределения и изменения прав доступа. Следовательно, можно проанализировать возможные угрозы для данной системы.

При реализации в реальных системах дискреционной политики безопасности наиболее существенной является проблема отсутствия в большинстве математических моделей четких правил разграничения доступа. По этой причине на объекты, имеющие важное значение в обеспечении безопасности системы, могут быть некорректно назначены права доступа субъектов системы.

2. Основу мандатной (полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control - MAC), которое подразумевает, что:

• все субъекты и объекты системы должны быть однозначно идентифицированы;

• задан линейно упорядоченный набор меток секретности;

• каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации - его уровень секретности в АС;

• каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в АС - максимальное значение метки секретности объектов к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Основная цель мандатной политики безопасности - предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС ин формационных каналов сверху вниз.

Чаще всего мандатную политику безопасности описывают в терминах, понятиях и определениях свойств модели Белла - Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реализующих мандатную защиту, от систем с дискреционной защитой: если начальное состояние системы безопасно, и все переходы системы из со стояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно. В модели Белла-Лападула анализируется условия, при которых невозможно создание информационных потоков от субъектов с более высокого уровня доступа к субъектам более низкого уровня доступа. Она описывается конечным автоматом с допустимым набором состояний, в которых может находиться информационная система. Все элементы, входящие в состав информационной системы, разделены на две категории – субъекты и объекты. Каждому субъекту присваивается свой уровень доступа, соответствующий степени конфиденциальности. Аналогично, объекту присваивается уровень секретности. Понятие защищённой системы определяется следующим образом: каждое состояние системы должно соответствовать политике безопасности, установленной для данной информационной системы. Переход между состояниями описывается функциями перехода. Система находится в безопасном состоянии в том случае, если у каждого субъекта имеется доступ только к тем объектам, к которым разрешен доступ на основе текущей политики безопасности. Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта, и на основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ. Наборы уровень доступа/уровень секретности описываются с помощью матрицы доступа.

Основными правилами, обеспечивающими разграничение доступа, являются следующие:

1. Субъект с уровнем секретности x_s может читать информацию из объекта с уровнем секретности x_o тогда и только тогда, когда x_s преобладает над x_o. Это правило также известно под названием “нет чтения вверх” (NRU). Например, если субъект, имеющий доступ только к несекретным данным, попытается прочесть объект с уровнем секретности совершенно секретно, то ему будет отказано в этом.

2. Субъект с уровнем секретности x_s может писать информацию в объект с уровнем секретности x_o в том и только в том случае, когда x_o преобладает над x_s. Это правило также известно под названием “нет записи вниз” (NWD). Например, если субъект, имеющий уровень доступа совершенно секретно, попытается записать в объект с уровнем секретности секретно, то ему будет отказано в этом.

В силу своей простоты, Классическая модель Белла-ЛаПадула имеет ряд серьезных недостатков:

1. Деклассификация - классическая модель не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до "не секретно" по желанию "совершенно секретного" субъекта). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Таким образом, хотя формально модель нарушена не была, безопасность системы нарушена. Для решения это проблемы вводят правила:

• Правило сильного спокойствия - уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции.

• Правило слабого спокойствия - уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции таким образом, чтобы нарушить заданную политику безопасности.

2. Удаленное чтение - проявляет себя в распределенных компьютерных системах. Допустим, субъект А с высоким уровнем доступа пытается прочитать информацию из объекта Б с низким уровнем секретности. Может создастся впечатление, что если субъекту А будет разрешено чтение информации из объекта Б, никакая конфиденциальная информация не будет раскрыта. Однако, при более подробном рассмотрении обнаруживается что это не так. Во время операции чтения между удаленными объектами происходит появления потока информации от читаемого объекта к запросившему доступ на чтение субъекту. Поток, который при этом появляется, является безопасным, т.к. информация недоступна неавторизированым субъектам. Однако в распределенной системе чтение инициируется запросом от одного объекта к другому. Такой запрос образует поток информации идущий в неверном направлении (запись в объект с более низким уровнем секретности). Таким образом, удаленное чтение в распределенных системах может произойти только если ему предшествует операция записи вниз, что является нарушением правил классической модели Белла-ЛаПадула.

Достоинства: по сравнению с АС, построенными на основе дискреционной политики безопасности, для систем, реализующих мандатную поли тику характерна более высокая степень надежности. Это связано с тем. что МБО такой системы должен отслеживать не только правила доступа субъектов системы к объектам, но и состояния самой АС.

Таким образом, каналы утечки в системах данного типа не заложены в нее непосредственно (что мы наблюдаем в положениях предыдущей политики безопасности), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандатной политики безопасности более ясны и просты для понимания разработчиками и пользователями АС, что также является фактором, положительно влияющим на уровень безопасности системы. С другой стороны, реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы.

3. Политика безопасности информационных потоков основана на разделении всех возможных информационных потоков между объектами системы на два непересекающихся множества: множество благоприятных информационных потоков и множество неблагоприятных информационных потоков. Цель реализации данной политики безопасности состоит в том, чтобы обеспечить невозможность возникновения в компьютерной системе неблагоприятных информационных потоков.

Политика безопасности информационных потоков в большинстве случаев используется в сочетании с политикой другого вида, например с политикой дискреционного или мандатного разграничения доступа. Реализация данной политики безопасности на практике является трудной для решения задачей.

4. Ролевое разграничение доступа является развитием политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Задание ролей позволяет определить более четкие и понятные для пользователей компьютерные системы разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования системы правила разграничения доступа. Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.

Несмотря на то, что Роль является совокупностью прав доступа на объекты компьютерной системы, ролевое управление доступом отнюдь не является частным случаем избирательного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.

5. Политика изолированной программной среды. Целью реализации данной политики является определение порядка безопасного взаимодействия субъектов системы, обеспечивающего невозможность воздействия на систему защиты и модификации ее параметров или конфигурации, результатом которых могло бы стать изменение реализуемой системой защиты политики разграничения доступа.

Политика изолированной программной среды реализуется путем изоляции субъектов системы друг от друга и путем контроля порождения новых субъектов таким образом, чтобы в системе могли активизироваться только субъекты из предопределенного списка. При этом должна контролироваться целостность объектов системы, влияющих на функциональность активизируемых субъектов.