- •Қатынас құрудың абстрактілік үлгілері
- •Қатынас құруды басқарудың дискрециондық (матрицалық) үлгісі
- •Қатынас құруды басқарудың мандаттық (көп деңгейлік) үлгісі
- •Қауіпсіздіктің формалдық үлгілері (Дион моделі)
- •Қорғаныштың аппараттық құралдарын пайдалану қажеттілігі мен қағидаттары
- •Бақылау сұрақтары:
Қатынас құруды басқарудың мандаттық (көп деңгейлік) үлгісі
Қатынас құруды басқарудың матрицалық үлгінің кемшіліктерін жою мақсатында көпдеңгейлік деп аталатын қорғаныш үлгісі әзірленді. Оның классикалық мысалдарына Белл және Ла-Падуланың ақырғы күй-жағдай үлгісі, сондай-ақ, Д.Деннингнің тор тесікті үлгісі жатады. Көп деңгейлік үлгілер қатынас құру құқығын тағайындау процедураларын қатынас құру субъектісі мен объектісіне тағайындалған жасырындылық тамғаны немесе мандатты қолдану арқылы қалыптастыруды көздейді.
Қатынас құруды басқаруды жүзеге асырудың негізін мыналар құрайды:
1. Қатынас құруды сұраған субъектінің тамғалары мен қатынас құрылмақшы объектінің тамғаларын салыстыру.
2. Негізін қорғалатын ақпараттың жасырындылық деңгейін төмендетуге қарсы әрекет құрайтын ережелерді ескере отырып, қатынас құруға рұқсат ету туралы шешімдер қабылдау.
Қауіпсіздіктің формалдық үлгілері (Дион моделі)
Ақпараттық қауіпсіздік саласындағы жұмыстардың теориялық базисы формалдық модельдер болып табылады. Олар дәлелденетін қауіпсіздікпен жүйелерді құруға мүмкіндік береді. Солардың ішінде Дион ұсынған үлгіні қарастырайық. Дион моделі конфиденциалдық сұрақтарымен бірге ақпарат тұтастық сұрақтарын түсіндіреді.
Дион моделінде әр субъектпен (белгілі бір пайдаланушы атынан жұмыс атқаратын процесс) үш жасырындылық белгілері және ақпарат тұтастығының белгілері қатынасады:
- жасырындылықтың (конфиденциалдықтың) абсолюттіқ белгісі (ACL) субъектке құрылған кезде беріледі және тұрақты қалады. Әдетте ACL ретінде процесстің пайдаланушы-инициатордың белгісі қолданылады;
- оқудың жасырындылық белгісі (RCL) – субъектке ақпаратты оқуға рұқсат етілетін жасырындылықтың барынша үлкен (белгілердің үстемділік ету қатынас мағынасында) деңгейі;
- жазудың жасырындылық белгісі (WCL) – субъектке ақпаратты жазуға рұқсат берілетін жасырындылықтың ең кіші деңгейі;
- тұтастықтың абсолюттік белгісі (AIL);
- оқудың тұтастық белгісі (RІL) – субъектке ақпаратты оқуға рұқсат етілетін тұтастықтың ең кіші деңгейі;
- жазудың тұтастық белгісі (WIL) – субъектке ақпаратты жазуға рұқсат берілетін тұтастықтың барынша үлкен деңгейі.
Дион моделі қауіпсіздіктің белгілі модельдерін (Bell-LaPadula және Biba) жалпылайды.
Қорғаныштың аппараттық құралдарын пайдалану қажеттілігі мен қағидаттары
Жалпы жағдайда бір бағдарламаның белсенділігін бақылауды сол компьютерде жіберілген екінші бағдарлама арқылы жүзеге асыру мүмкін емес. Сондықтан бұл қызмет қорғаныш жүйесінің аппараттық сыңарына (қорғалатын компьютердің бос қуыс-орнына орнатылған тақшаға) жүктелуі керек.
Аппараттық сыңарды пайдалануға байланысты ақпараттық қауіпсіздіктің жаңа қауіп-қатері пайда болады – қорғаныш жүйесінің аппараттық сыңарын рұқсатсыз алып тастау. Сондықтан, қорғаныштың функционалдық үлгісіне жеке қорғау деңгейін (қорғаныш жүйесі құрал-жабдығының бар-жоқтығын бақылау деңгейін) енгізу қажет. Егер қаскөй аппаратураға қол жеткізе алса (мысалы, қорғалатын компьютер корпусын бақылаусыз аша алса), онда ол қорғаныш жүйесін айналып өте алады, мысалы, BIOS-ты бастапқы күйіне келтіру арқылы.
Аппаратураның ашылуын бақылау. Пайдаланушылардың қорғалатын объектілерге қатынас құруын шектеуді жүзеге асыратын бағдарламалық сыңарды өшіру үшін қорғалынған компьютерден қорғаныш жүйесінің тақшасын алып тастау қажет. Ал бұл компьютердің жүйелік блогының корпусын ашу арқылы ғана жасалады. Бұндай әрекеттерге қарсы тұру ұйымдастырушылық шараларды қолдану арқылы жүзеге асады:
корпусты мөрлеу;
объектілік қорғанышты жүзеге асыру - рұқсат құжаты арқылы өткізу режімі, т.б.
Әрине, ұйымдастырушылық шараларды қолдану объектің қорғанышын арттырады. Дегенмен қорғаныш жүйесінде аппараттық сыңарды пайдалану арқылы туындаған (қорғаныш тақшасын алып тастау мақсатында аппаратураны) рұқсатсыз ашу қаупіне қарсы тұру үшін техникалық құралдарды пайдалануға болады. Жергілікті желі құрамында бұл міндетті қауіпсіздік әкімшісіне жүктеуге болады.
Қорғаныштың қосымша құралы ретінде аппаратураны ашуды бақылау жүйесін (ААБЖ) қолдануға болады. Ол қорғалынған компьютердің корпусын рұқсатсыз ашуға қарсы тұратын техникалық әдіс. ААБЖ аппаратураның ашылуын бақылайтын датчигінен, сигналдар жинау тізбегінен және орталық бақылаудың арнайы жұмыс орнынан (қауіпсіздік серверінен) тұрады. Датчик ретінде жүйелік блоктың корпусының ашылуын бақылайтын байланыс датчиктерін қолдануға болады. Есептеу желісінде есулі қоссым кеңінен пайдаланылатыны белгілі.
Негізгі әдебиеттер: 9 [142-176, 338-365], 11 [420-556].
Қосымша әдебиеттер: 5 [9-23], 13 [154-176], 22 [69-73]