7 Модели безопасности основных ос
Субъектно-объектная модель взаимодействия. Аксиомы защищённых систем. Понятие доступа и монитора безопасности: потоки информации, монитор обращений и монитор безопасности объектов. Основные типы политики безопасности: дискреционная и мандатная политики. Разработка и реализация политики безопасности: пути нарушения политики безопасности, условия и определения осуществления существования легального доступа, замкнутая программная среда. Базовая теорема изолированной программной среды, классическая схема ядра безопасности. Построение изолированной программной среды.
Безопасность в программных системах (операционных системах) обеспечивается как средствами криптографии, так и принятыми в них политиками безопасности. Эти политики безопасности связаны с понятием «доступа».
Доступ – это категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами.
Политика безопасности включает:
а) множество возможных операций над объектами;
б) для каждой пары «субъект, объект» (Si, Qj) множество разрешённых операций, являющееся подмножеством всего множества возможных операций.
В субъектно-объектной модели сформулированы следующие аксиомы защищённых систем.
АКСИОМА 1. В защищённой системе всегда присутствует активный компонент (субъект), выполняющий контроль операций субъектов над объектами.
Этот компонент отвечает за реализацию некоторой политики безопасности.
АКСИОМА 2. Для выполнения в защищённой системе операций над объектами, необходима дополнительная информация о разрешённых и запрещённых операциях субъектов с объектами.
АКСИОМА 3. Все вопросы безопасности информации в системе описываются доступами субъектов к объектам.
Политика безопасности в общем случае выражает нестационарное состояние защищённости. Защищаемая система может изменяться, дополняться новыми компонентами, т. е. политика безопасности должна быть поддержана во времени, т. е. должна быть определена процедура управления безопасностью.
А нестационарность защищаемой системы и реализация политики безопасности в конкретных конструкциях системы предопределяет рассмотрение задачи гарантирования заданной политики безопасности.
7.1 Понятие доступа и мониторинг безопасности
Из модели вычислительной системы фон Неймана понятию «субъект» соответствует программа (последовательность исполняемых инструкций). Понятию «объект» соответствуют данные.
Обычно, рассматривая модель произвольной системы, её делят на два подмножества: объектов и субъектов.
СУБЪЕКТ ОБЛАДАЕТ СВОЙСТВАМИ.
А) Человек-пользователь воспринимает объекты и получает информацию о состоянии системы через те субъекты, которыми он управляет и которые отображают информацию.
Б) Угрозы компонентам системы исходят от субъекта, как активного компонента, изменяющего состояние объектов в ней.
В) Субъекты могут влиять друг на друга через изменяемые ими объекты, связанные с другими субъектами, порождая субъекты, представляющие угрозу для безопасности информации или работоспособности системы.
Пользователь (физическое лицо) отличается от субъекта: он аутентифицируется некоторой информацией и управляет субъектом в системе.
Т. е., пользователь – это внешний фактор. И свойства субъектов не зависят от него (кроме систем типа компиляторов, средств разработки, отладчиков и т. п.).
Рассматриваемая ниже субъектно-объектная модель базируется на следующей аксиоме.
АКСИОМА 4. Субъекты в системе могут быть порождены из объектов только активными компонентами (субъектами).
Определение: объект Oi называется источником для субъекта Sm, если существует субъект Sj, в результате воздействия которого на объект Oi в системе возникает субъект Sm.
Это операция Create (Sj, Oi) → Sm, рисунок 7.1. Create – операция порождения субъектов.
Определение: объект Oi в момент времени t ассоциирован (связан) с суббъектом Sm, если состояние объекта Oi повлияло на состояние субъекта в следующий момент времени (субъект Sm использует информацию из объекта Oi).
В общем случае, субъект реализует отображение множества ассоциированных объектов в момент времени t на множество ассоциированных объектов в момент времени (t + 1).
Поэтому выделяют ассоциированные объекты, изменение которых изменяет вид отображения ассоциированных объектов (например, объекты, содержащие код программы). Их называют функционально ассоциированные объекты.
Также, есть ассоциированные объекты-данные – они являются аргументом операции, но не изменяют вид отображения.
В момент порождения субъекта Sm из объекта Oi, он является ассоциированным объектом для субъекта Sm.
Определение: потоком информации между объектом Om и объектом Oj называется произвольная операция над объектом Oj, реализуемая в субъекте Si и зависящая от Om, рисунок 7.2.
Обозначение Stream (Si, Om) → Oj – поток информации от объекта Om к объекту Oj, реализуемая в субъекте Si.
Активная роль субъекта выражается в реализации потока: операция порождения потока локализована в субъекте и отображается состоянием его функционально ассоциированных объектов.
Операция Stream может создавать новый объект или уничтожать его. На рисунке 7.3 приведены виды информационных потоков.
Определение: доступом субъекта Si к объекту Oj называется порождение потока информации между некоторым объектом и объектом Oj.
Для фиксированной декомпозиции компьютерной системы на субъекты и объекты всё множество потоков P делится на подмножества потоков N несанкционированного доступа и подмножество потоков L легального доступа:
P = NL (нелегальный или легальный); NL = 0 (поток не может быть одновременно нелегальным и легальным).
Категория «опасный–безопасный» описывается политикой безопасности: она описывает критерии разбиения на подмножества L и N.
Определение: правило разграничения доступа субъектов к объектам – это формально описанные потоки подмножества L.
Можно говорить об инвариантности (независимости) субъектноориентированной модели относительно любой принятой в системе политики безопасности.
Определение: объекты Oi и Oj тождественны в момент времени t, если они совпадают как слова, записанные в одном языке.
На практике всегда существует алгоритм, обеспечивающий возможность попарного сравнения. Т. е., существует процедура сортировки ассоциированных объектов, позволяющая говорить о возможности попарного сравнения. Например, выделяются и попарно сравниваются участки оперативной памяти, отвечающие коду программ или содержанию переменных и массивов.
Определение: субъекты Si и Sj тождественны в момент времени t, если попарно тождественны все ассоциированные с ними объекты.
ПОРОЖДЁННЫЕ СУБЪЕКТЫ ТОЖДЕСТВЕННЫ, если тождественны порождающие субъекты и объекты–источники.
Для разделения всего множества потоков на подмножества L и N, необходимо существование активного компонента (субъекта), который:
а) активизировался бы при возникновении любого потока;
б) производил бы фильтрацию потоков в соответствии с принадлежностью подмножествам L и N.
Определения: МОНИТОР (1) ОБРАЩЕНИЙ (МО) – субъект, активизирующийся при возникновении потока от любого субъекта к любому объекту.
ИНДИКАТОРНЫЙ (2) МО – устанавливает только факт обращения субъекта к объекту.
СОДЕРЖАТЕЛЬНЫЙ (3) МО – субъект, который функционирует так, что при возникновении потока от ассоциированного объекта Om любого субъекта Si к объекту Oj и обратно, – появляется ассоциированный с МО объект Om0, тождественный объекту Om. Содержательный МО полностью участвует в потоке от субъекта к объекту.
МОНИТОР (4) БЕЗОПАСНОСТИ (монитор ссылок) – имеет целевой функцией фильтрацию для обеспечения безопасности. При этом разделение на подмножества L и N задано априорно.
МОНИТОР (5) БЕЗОПАСНОСТИ ОБЪЕКТОВ (МБО) – это монитор обращений, который разрешает поток, принадлежащий подмножеству легального доступа L.
Разрешение – это выполнение операции над объектом-получателем потока, а запрещение – невыполнение.
Монитор безопасности объектов – это и есть механизм реализации политики безопасности в системе.