Раздел7_11_1
.pdf
Субъекты Si и Sj называются абсолютно корректными (не влияющими друг на друга), если при прежних (см. выше) условиях
множества ассоциированных объектов этих субъектов не имеют
пересечения. Абсолютная корректность достижима в случае виртуального адресного пространства.
7.3.1 Условия гарантированного легального доступа
Из этого понятия формулируются достаточные УСЛОВИЯ
ГАРАНТИРОВАННОГО осуществления только ЛЕГАЛЬНОГО ДОСТУПА.
УСЛОВИЕ 1.МБОразрешает порождение потоков только из подмножества L, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга.
Но «условие 1» накладывает жёсткие и трудновыполнимые условия на свойства субъектов системы. И невозможно гарантировать
корректность любого субъекта, активизируемого в АС, относительно
МБО.
Определение: МОНИТОР (6) порождения субъектов (МПС) –
это субъект, активизирующийся при любом порождении субъектов.
Определение: МОНИТОР безопасности субъектов (7) (МБС) –
это субъект, который разрешает порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и порождающих объектов.
Воздействие МБС выделяет во всём МНОЖЕСТВЕ СУБЪЕКТОВ SПОДМНОЖЕСТВО РАЗРЕШЕННЫХСУБЪЕКТОВ Е.
Определение: система называется ЗАМКНУТОЙ ПО
ПОРОЖДЕНИЮ СУБЪЕКТОВ, если в ней действует МБС,
разрешающий порождение только фиксированного конечного подмножества субъектовдля любых объектов-источников.
Данному определению эквивалентен практический термин
«ЗАМКНУТАЯ ПРОГРАММНАЯ СРЕДА», который сокращает
множество возможных субъектов до некоторого фиксированного множества, но и допускает существование некорректных субъектов,
включённых в замкнутую среду.
Определение: МНОЖЕСТВО СУБЪЕКТОВ системы
называется ИЗОЛИРОВАННЫМ (абсолютно изолированным), если в ней действует МБС, и субъекты из порождённого множества корректны относительно друг друга иМБС.
Далее формулируется новая форма достаточного условия
гарантированного выполнения политики безопасности.
УСЛОВИЕ 2. Если в абсолютно изолированной системе
существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой системе реализуется только доступ,
описанныйполитикойразграничения доступа.
В данном случае множество субъектов ограничено за счёт применения механизма МБС, и есть возможность убедиться в попарной корректности по-
рождаемых субъектов.
Существует термин «ИЗОЛИРОВАННАЯ ПРОГРАММНАЯ СРЕДА» (ИПС), который ОПИСЫВАЕТ МЕХАНИЗМ РЕАЛИЗАЦИИ ИЗОЛИРОВАННОСТИ дляконкретной системы.
Так как в реальных системах одинаково поименованные объекты могут иметь различные состояния в пространстве (например, размещены в различных каталогах) или во времени, то для этого случая
существуетследующее определение.
Определение:операция порождения субъекта
Create(Sk, Om) → Si называется ПОРОЖДЕНИЕМ С
КОНТРОЛЕМ НЕИЗМЕННОСТИ ОБЪЕКТА, если для любого момента времени t больше t0, в который активизирована операция порождения, порождение субъекта Si возможно только при тождественности объектов Om(t0)иOm (t), – (создание копии объекта).
Следующее условие также отражает достаточность
гарантированного выполнения политикибезопасности.
УСЛОВИЕ 3 (или «БАЗОВАЯ ТЕОРЕМА ИПС»). Если в
момент t0 в изолированной системе действует только одно
порождение субъектов с контролем неизменности объекта, и
существуют потоки от любого субъекта к любому объекту, не
противоречащие условию корректности (абсолютной
корректности) субъектов, то в любой момент времени t > t0 система
также остаётся изолированной(абсолютно изолированной).
Таким образом, МЕТОДОЛОГИЯ ПРОЕКТИРОВАНИЯ ГАРАНТИРОВАНО ЗАЩИЩЁННЫХ СИСТЕМ состоит в том, что у защитных механизмов необходимо опираться на совокупность достаточных условий 1–3, которые следует реализовать для
субъектов, что гарантирует защитные свойства, определённые при
реализации МБОвсистеме.
Такова концепция, в том числе и зарубежных подходов, к реализации
ЯДРА БЕЗОПАСНОСТИ.
Функционирование ядра безопасности показано на рисунке 7.5, где
база данных для защиты – объект, содержащий информацию о потоках подмножества L (защита по «белому списку» – разрешение на потоки) или подмножества N(защита по «чёрному списку» – запрещение на потоки).
|
|
Объекты |
|
Субъекты |
База данных |
||
|
|||
защиты |
|
||
|
|
||
|
|
|
Ядро безопасности
Рисунок 7.5 – Классическая схема ядра безопасности
Для учёта влияния субъектов в системе рассматривают расширенную схему взаимодействия элементов системы при реализации
и гарантировании политики безопасности.
Взаимодействие объектов и субъектов при порождении потоков
УТОЧНЕНО введением АССОЦИИРОВАННЫХ с субъектом объектов.
Управляющий объект содержит информацию о разрешённых значениях отображения потоков Stream (об элементах подмножеств L и
N) и порожденийCreate(элементы множества E).
Управляющий объект может быть связан (ассоциированный объект-
данные) как с МБО,так и сМБС,рисунок 7.6. |
|
АО |
Stream(…,…) |
|
|
МБО |
|
Управляющий |
Объекты |
|
|
объект |
|
Субъект |
МБС |
Create(…,…) |
|
Рисунок 7.6 – Схема ядра безопасности с учётом контроля порождения
субъектов
7.4 Построение изолированной программной среды
Цель практических методов построения ИПС – реализовать
гарантированную защищенность в реальных компьютерных системах. Эта
цель реализуется с помощью метода субъектно-объектного
взаимодействия.
Из базовой теоремы ИПС следует, что ДЛЯ СОЗДАНИЯ
ГАРАНТИРОВАННО ЗАЩИЩЕННОЙ СИСТЕМЫ НЕОБХОДИМО:
а) убедиться в попарной корректности субъектов, замыкаемых в
ИПС (либо убедиться в корректности любого субъекта относительно МБО и
МБС);
б) спроектировать и реализовать программно (или программно-аппаратно) МБС так, чтобы:
1) для субъекта и любого объекта проводился контроль порождения субъектов – то есть, реализация МБС должна соответствовать его
определению;
2) порождение любого субъекта происходило с контролем неизменности объекта-источника;
в) реализовать МБО в рамках априорно сформулированной политики безопасности.
При этом нужно проверять, не нарушает ли модель политики безопасности условий по перечислениям а) – в).
Кроме того, так как Управляющий объект является ассоциированным объектом для МБС (обычно ассоциированный объект-
данные), – то это играет важную роль впроектировании.
При изменении состояния управляющего объекта потенциально возможно размыкание программной среды: к множеству разрешённых субъектов могут добавиться другие,
функции.
Но процесс управления безопасностью подразумевает возможность изменения управляющего объекта, т. е. реализацию потока Stream (субъект управления, АО субъекта управления) → управляющий объект. И эта возможность должна присутствовать для выделенных субъектов.
В проектировании важную роль играет свойство операционной
системы (ОС, программной системы), заключающееся В ПОЭТАПНОЙ АКТИВИЗАЦИИ субъектов из объектов различного уровня представления информации.
В начальные этапы активизации компьютерной системы
декомпозиция на объекты и субъекты динамически изменяется.
То есть, основная теорема ИПС применима лишь на отдельных интервалах времени, когда уровень представления объектов постоянен и декомпозиция фиксирована.
В работе ОС можно выделить ДВЕ фазы:
1активизация субъектов с ростом уровня представления объектов (ФАЗАЗАГРУЗКИ);
2фаза стационарного состояния – уровень представления
объектов не увеличивается.
(ОС типа DOS реализуют и потоки к объектам нижнего уровня – операции с объектами нижнего уровня, из программ прикладного уровня).
Поэтому ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ИПС может состоять из двух этапов:
а) предопределённое выполнение начальной фазы, включающее в себя активацию МБС и МБО;
б) работа в стационарной фазе в режиме ИПС, возможно с контролем неизменности объектов-источников.
Существует понятие ПОСЛЕДОВАТЕЛЬНОСТИ АКТИВИЗАЦИИ
КОМПОНЕНТОВ АС, то есть, задаётся предопределённая
последовательностьактивизации субъектов ОС.
Обозначают как ZL – последовательность пар i, j t , где (t = 0, 1, 2,
…, L–1 – моменты времени)длиной Lтаких, что:
Create Si ,Oj t Sm t 1 ,
где SZ – множество всех субъектов, включённых в последовательность ZL;
OZ – множество всех объектов, включённых в последовательность Z L .
Для многопотоковых программных систем можно рассматривать несколько последовательностей ZL , и, соответственно, множеств SZ и OZ.
ОПРЕДЕЛЕНИЕ: СОСТОЯНИЕМ компьютерной системы в момент времени t называется упорядоченная совокупность состояний субъектов. (Каждый субъект – это слово в априорно определённом языке).
ДлинаLпоследовательности ZL определяется:
– по признаку невозможности управления субъектами,
принадлежащими множеству SZ со стороны пользователя (иначе
последовательность активизации м. б. изменена);
–по признаку доступности для контроля неизменности всех объектов из множества OZ;
–по признаку невозрастания уровня представления информации.
Последовательность ZL локализуется в некотором объекте либо
совокупности объектов (так для DOS последовательность активизации субъектов определена
содержанием файлов autоexec.bat и config.sys). (Для OС WindowsNTпоследовательность активизации компонентов определена содержанием соответствующих ключей реестра ресурсов
Registry).
УСЛОВИЕ (достаточное условие ИПС при ступенчатой загрузке): при условии неизменности ZL и неизменности объектов из
OZ в системе с момента времени установления неизменности ZL и OZ
действует изолированная программная среда.
Данное условие требует убедиться в том, что МБС в момент времени t = m
гарантированно активизируется.
??????????????????????????????????????????????
Список использованных источников
1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.
2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Те леком, 2001. – 148 с.
3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001. – 256 с.
4.БабенкоЛ.К.идр.Защитаинформациисиспользованиемсмарт–картиэлек тронныхбрелоков/Л.К.Бабенко,С.С.Ищуков,О.Б.Макаревич.–М.:ГелиосАРВ, 2003. – 352 с.
5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
6БраггР.СистемабезопасностиWindows2000.–М.:Издательскийдом«Виль-
ямс», 2001. – 592 с.