- •Грушо а.А. Тимонина е.Е. Теоретические основы защиты информации
- •1996 Г. Издательство Агентства “Яхтсмен”
- •Введение
- •Глава 1 вспомогательные структуры (модели), используемые в защите информации
- •1.1. Язык, объекты, субъекты.
- •1.2. Иерархические модели и модель взаимодействия открытыхсистем (osi/iso).
- •Модель osi/iso.
- •1.3. Информационный поток.
- •1.4. Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •1.5. Реляционные базы данных
- •Функциональная зависимость (fd)
- •Целостность в рм.
- •Реляционные операторы (ро).
- •1.6. Многоуровневыереляционныебазы данных.
- •Классификационные ограничения.
- •Состоятельность.
- •Полнота классификационных ограничений.
- •Проблема полиинстантинации.
- •Декомпозиция mls r в стандартные базовые отношения реляционноймодели.
- •Глава 2 Угрозы информации
- •2.1. Угрозы секретности
- •2.2. Угрозы целостности
- •Глава 3 Политика безопасности
- •3.1. Определение политики безопасности
- •3.2. Дискреционная политика.
- •3.3. Политика mls.
- •Глава 4 Классификация систем защиты
- •4.1. Доказательный подход к системам защиты .
- •4.2. Пример гарантированно защищенной системы обработки информации.
- •4.3. "Оранжевая книга"(ок).
- •Политика.
- •Подотчетность.
- •Гарантии.
- •Итоговая информация по классам критериев оценки.
- •Политика обеспечения безопасности.
- •Идентификация и аутентификация.
- •4.4. 0 Выборе класса защиты.
- •Глава 5 математические методы анализа политики безопасности
- •5.1. Модель "take-grant" .
- •5.2. Модель белла-лападула (б-л).
- •5.3. Модель low-water-mark (lwm).
- •5.4. Модели j.Goguen, j.Meseguer (g-m).
- •5.5. Модель выявления нарушения безопасности.
- •Глава 6 гарантированно защищенныераспределенные системы
- •6.1. Синтез и декомпозиция защиты в распределенныхсистемах.
- •6.2. Анализ компонент распределенной системы.
- •Глава 7 проблема построения гарантированно защищенных баз данных
- •7.1. Иерархический метод построения защиты .
- •7.2. Гарантированно защищенные базы данных.
- •Литература
Глава 6 гарантированно защищенныераспределенные системы
Глава VI посвящена вопросам защиты сетей межмашинного обмена информацией. Основной аспект нашего изучения - распространение стандарта "Оранжевая книга" на распределенные системы обработки информации. Базисом для предложенного ниже подхода является "Trusted Network Interpretation", которая была выпущена DoD в 1987 г. в составе "радужной" серии. Эта книга известна под названием "Красная книга" (КК). В главе приведены результаты, заимствованные из КК и связанные с методами анализа защищенных сетей и синтеза гарантированно защищенных распределенных систем обработки информации.
В отличии от "монолитных" вычислительных систем, имеющих заданный периметр и спецификацию, распределенные системы не имеют ограниченного периметра, а число компонент их может меняться. Между компонентами в сетях существуют каналы, которые могут проходить по незащищенной или враждебной территории. Этими чертами различия междумонолитной и распределенными вычислительнами системами исчерпываются. Следовательно, если как-то учтены перечисленные различия, то все вопросы защиты вычислительных и распределенных систем одинаковы. Таким образом, к распределенным системам можно попытаться применить критерии гарантированной защищенности вычислительных систем, например, "Оранжевой книги".
Возможны два подхода к анализу и оценке защищенности распределенной системы.
1. Каждая компонента распределенной системы есть самостоятельная защищенная система, а, в целом, сеть представляет множество взаимодействующих, защищенных порознь систем. Такая сеть не есть одно целое и вопросы ее гарантированной защиты сводятся к доказательству защищенности компонент в условиях рассматриваемого окружения и организации защищенных шлюзов для взаимодействия компонент. Однако, никто не отвечает за информацию в сети целиком.
Все компоненты и связи между ними составляют единое целое. В этом случае существует лицо (центр), которое берет на себя обязательство обеспечить безопасность в сети. Здесь эта безопасность относится к сети в целом, несмотря на неопределенный периметр и изменяемую конфигурацию. Тогда должна существовать некоторая политика безопасности и средства сети, поддерживающие эту политику (NTCB). При этом средства поддержки безопасности в сети вовсе не должны составлять полный комплекс (удовлетворяющий стандарту OK) механизмов защиты в каждой отдельной компоненте. Однако они, в целом, должны составлять единый механизм защиты, который в случае использования дискреционной и мандатной политики может анализироваться на предмет соответствия стандарту ОК. В частности, для класса ВЗ и выше NTCB должна реализовывать монитор обращения во всей сети. Отсюда возникает задача синтеза из отдельных компонент NTCB, поддерживающую политику в сети, а также задача оценки защитных функций компонент, из которых NTCB возможно синтезировать. В КК все рассмотренные вопросы поставлены с точки зрения проведения оценки распределенной системы. Предложенный подход (он же применим в анализе и синтезе таких систем) состоит в том, чтобы по сети построить гипотетическую монолитную систему с ТСВ, совпадающей по функциям с NTCB, и ее оценивать. С другой стороны, при создании распределенной системы можно сначала создать гипотетический проект монолитной защищенной системы, а затем провести декомпозицию его по компонентам распределенной системы с сохранением защитных свойств. И, наконец, всем известна "слабость" ОК, состоящая в том, что слабо отработана проблема контроля защищенности при модификациях или замене подсистем. Если для монолитной вычислительной системы эта слабость была преодолима, то в распределенных системах проблема наращивания компонент без переоценки всего в целом становится принципиальной. В параграфе 6.1 на основе теоремы о синтезе монитора обращения в NTCB из мониторов обращений компонент строится главная составляющая NTCB - контроль за доступами. Отсюда следует описанная вкратце декомпозиция монолитных систем, в которых есть монитор обращения, и синтез распределенной системы в монолитную вычислительную систему с ТСВ, реализующей монитор обращения. В параграфе 6.2 описаны подходы КК к анализу компонент и примеры встраивания таких компонентв гарантированно защищенную распределенную систему, в которой функции NTCB распределены по компонентам.