Тема 5. Разработка модели и защита данных.

1. Основные отличия поэтапной модели от каскадной.

В ней, так же, как и в каскадной модели используется последовательность расположения этапов создания ИС. Но каждый следующий этап имеет обратную связь с предыдущими этапами. Исправление ошибок происходит на каждом из этапов, сразу при выявлении проблемы – промежуточный контроль. При первом проходе по модели сверху вниз, как только обнаружена ошибка, осуществляется возврат к предыдущим этапам (снизу вверх), вызвавшим ошибку.

2. Жизнь спиральной модели.

В этой модели результат появляется фактически на каждом витке спирали. Этот промежуточный результат анализируется, и выявленные недостатки ИС побуждают проведение следующего витка спирали. Таким образом последовательно конкретизируются детали проекта и в итоге выбирается и доводится до реализации обоснованный вариант. Спираль завершается тогда, когда клиент и разработчик приходят к согласию относительно полученного результата.

Модель состоит из последовательно расположенных этапов (как и “водопад”) в пределах одного витка спирали. Внутри витка спирали этапы не имеют обратной связи. Анализ результата осуществляется в конце витка и инициирует новый виток спирали. Исправление ошибок происходит при тестировании на каждом витке спирали. Ошибки, которые не могут быть исправлены и требуют более глубоких структурных изменений, инициируют новый виток спирали. Этапы могут перекрываться во времени в пределах одного витка спирали. Результат появляется в конце каждого витка спирали и подвергается подробному анализу. При переходе от витка к витку происходит накопление и повторное использование программных средств, моделей и прототипов

.

3. Принцип неформальности.

Принцип неформальности означает, что методология проектирования механизма защиты и обеспечения его функционирования в основе своей является неформальной. Эта неформальность интерпретируется в том смысле, что в настоящее время не существует инженерной методики проектирования механизма защиты в традиционном понимании этого термина.

4. Основные положения по разработке систем защиты информации.

Основные положения по разработке систем ЗИ могут быть сформулированы так:

1) защита информации является не разовым мероприятием и даже не совокупностью мероприятий, а непрерывным процессом, который должен протекать (осуществляться) во все время и на всех этапах жизненного цикла ИС;

2) осуществление непрерывного процесса защиты информации возможно лишь на базе промышленного производства средств защиты;

3) создание эффективных механизмов защиты может быть осуществлено высококвалифицированными специалистами-профессионалами в области защиты информации;

4) поддержание и обеспечение надежного функционирования механизмов защиты информации в ИС сопряжено с решением специфических задач и поэтому может осуществляться лишь профессионально подготовленными специалистами.

5. Случаи нарушения сохранности информации.

Сохранность информации может быть нарушена в двух основных случаях: при получении несанкционированного доступа к информации и нарушении функционирования ЭВМ. Система защиты от этих угроз включает следующие основные элементы: защиту ИС и ее аппаратуры, организационные мероприятия по обеспечению сохранности информации, защиту операционной системы, файлов, терминалов и каналов связи. Следует при этом иметь в виду, что все типы защиты взаимосвязаны и при выполнении своих функций хотя бы одной из них сводит на нет усилия других. Предлагаемые и реализованные схемы защиты информации в ИС очень разнообразны, что вызвано в основном выбором наиболее удобного и легко осуществимого метода контроля доступа, т.е. изменением функциональных свойств системы.

6. Основные требования к механизму защиты информации.

1) адекватность, т.е. обеспечение требуемого уровня защиты (определяется степенью секретности подлежащей обработке информации) при минимальных издержках на создание механизма защиты и обеспечение его функционирования;

2) удобство для пользователей, основу чего составляет требование, чтобы механизм защиты не создавал для пользователей дополнительных трудностей, требующих значительных усилий для их преодоления; минимизация привилегий в доступе, предоставляемых пользователям, т.е. каждому пользователю должны предоставляться только действительно необходимые ему права по обращению к ресурсам системы и данным;

3) полнота контроля, т.е. обязательный контроль всех обращений к защищаемым данным; наказуемость нарушений, причем наиболее распространенной мерой наказания является отказ в доступе к системе;

4) экономичность механизма, т.е. обеспечение минимальности расходов на создание и эксплуатацию механизма;

5) не секретность проектирования, т.е. механизм защиты должен функционировать достаточно эффективно даже в том случае, если его структура и содержание известны злоумышленнику.

В автоматизированных банках данных должно быть предусмотрено наличие в них средств идентификации пользователей и ресурсов системы с периодической сменой идентифицирующей информации, многоаспектного разграничения доступа к элементам баз данных (по элементам, по разрешенным процедурам, по условиям операций и др.), криптографического закрытия данных, регистрации обращений к защищаемым данным, контроля за использованием защищаемых данных и т.д.

7. Распространенные модели защиты данных.

Приведем аннотационное описание наиболее часто цитируемых моделей, в том числе: дискреционного, мандатного, дискретного доступа; синхронных и асинхронных распределенных систем; трансформации прав доступа; элементарной защиты; гарантированно защищенной системы; модель изолированной программной среды; субъектно-объектная модель; и др.

1. Модель дискреционного доступа. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и др.). Контроль доступа осуществляется посредством механизма, который предусматривает возможность санкционированного изменения правил разграничения доступа. Право изменять правила предоставляется выделенным субъектам. В моделях дискретного доступа рассматриваются отдельные механизмы распространения доступа субъектов к объектам.

2. Модель мандатного управления доступом Белла—Лападула. Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции доступа субъектов к объектам READ и WRITE, на которые накладываются ограничения. Множества субъектов и объектов упорядочены в соответствии с их уровнем безопасности. Состояние системы изменяется согласно правилам трансформации состояний. Во множестве субъектов могут присутствовать доверенные субъекты, которые не подчиняются ограничениям на операции READ и WRITE. В таком случае модель носит название модели доверенных субъектов.

3. Модели распределенных систем (синхронные и асинхронные). В рамках модели субъекты выполняются на нескольких устройствах обработки. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE, которые могут быть удаленными, что может вызвать противоречия в модели Белла—Лападула.

В рамках асинхронной модели в один момент времени несколько субъектов могут получить доступ к нескольким объектам. Переход системы из одного состояния в состояние в один момент времени может осуществляться под воздействием более, чем одного субъекта.

4. Модель безопасности военной системы передачи данных (MMS-модель). Формально записана в терминах теории множеств. Субъекты могут выполнять специализированные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройством глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции доступа субъектов к объектам READ, WRITE, CREATE, DELETE, операции над объектами специфической структуры, а также могут появляться операции, направленные на специфическую обработку информации. Состояние системы изменяется с помощью функции трансформации.

5. Модель трансформации прав доступа. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом применяются функции трансформации прав доступа. Механизм изменения состояния системы основывается на применении функций трансформации состояний.

6. Схематическая модель. Формально записана в терминах теории множеств и теории предикатов. Для управления доступом используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа.

7. Иерархическая модель. Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов.

8. Модель безопасных спецификаций. Формально описана в аксиоматике Хоара. Определяет количество информации, необходимое для раскрытия системы защиты в целом. Управление доступом осуществляется на основе классификации пользователей. Понятие механизма изменения состояния не применяется.

9. Модель информационных потоков. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта. Изменением состояния является изменение соотношения между объектами и атрибутами.

10. Вероятностные модели. В модели присутствуют субъекты, объекты и их вероятностные характеристики. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики.

11. Модель элементарной защиты. Предмет защиты помещен в замкнутую и однородную защищенную оболочку, называемую преградой. Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Вводятся вероятность непреодоления преграды нарушителем Pсзи, вероятность обхода преграды нарушителем Pобх и вероятность преодоления преграды нарушителем за время, меньшее времени жизни информации Pхр. Для введенной модели нарушителя показано, что Pсзи = min [(1 – Pобх), (1 – Pхр)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения и блокировки действий нарушителя.

12. Модель системы безопасности с полным перекрытием. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров.

13. Модель гарантированно защищенной системы обработки информации. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условии, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности, модель гарантирует невозможность утечки информации и выполнение политики безопасности.

14. Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделено множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект — монитор безопасности субъектов (МБС), который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды.

Из упомянутых моделей наибольший интерес представляют дискреционные и мандатные механизмы разграничения доступа (как наиболее распространенные), модель гарантированно защищенной системы (в силу гарантированности) и субъектно-объектная модель (рассматривающая не только доступы, но и среду, в которой они совершаются).