- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
3.5. Домены безопасности
В рамках рассматриваемой модели АС как совокупности субъектов и объектов разграничение доступа субъектов к объектам может быть реализовано на основе таблицы, содержащей разрешенные типы доступа и называемой матрицей доступа. Как правило, матрица доступа (табл. 3.2) имеет большие размеры (в системе присутствует множество различных субъектов и объектов) и является разреженной (субъектам необходим доступ только к небольшим подмножествам объектов).
Таблица 3.2
|
|
Объекты
| ||||
|
1
|
2
|
...
|
т
| ||
|
Субъекты
|
1
|
Чтение
|
Чтение
|
|
Исполнение
|
|
2
|
Чтение
|
Чтение/Запись
|
|
Чтение/запись
| |
|
|
|
|
|
| |
|
п
|
Запись
|
Исполнение
|
|
Нет доступа
| |
Под доменом безопасности понимается совокупность объектов, к которым разрешен доступ конкретному субъекту.
В табл. 3.2 домены безопасности представлены отдельными строками. В соответствии с обсуждаемым ниже принципом минимизации привилегий домен безопасности данного субъекта должен включать минимально возможный набор объектов и связанных с ними прав доступа, необходимый для работы субъекта. Тем самым снижается риск злоупотребления правами доступа со стороны субъекта и уменьшается разрушительный эффект от потенциального злоупотребления. Для реализации этого принципа необходимо, чтобы субъекты, которым необходимо выполнять множество различных операций, могли поочередно работать в нескольких небольших (в смысле числа составляющих их объектов и назначенных прав доступа к этим объектам) доменах, переключаемых при необходимости. Следующие факторы определяют минимально возможные по практическим соображениям размеры доменов:
гибкость и простота механизма переключения доменов;
размер защищаемых объектов;
наличие разных способов изменения матрицы доступа;
гибкость в определении произвольных типов доступа к объектам.
В АС переключение доменов безопасности может происходить, в частности, при вызове из основной программы некоторой процедуры или функции, или, говоря в терминах рассмотренной выше субъектно-объектной модели, в момент порождения одним субъектом (выполняющейся программы) нового субъекта (вызываемой процедуры) из некоторого объекта (области памяти, содержащей код процедуры). По завершению выполнения вызванной процедуры происходит обратное переключение домена безопасности.
Если с вызовом процедуры связано переключение доменов безопасности, процедура называется защищенной. Такая процедура фигурирует в матрице доступа и в качестве субъекта, и в качестве объекта. Первое объясняется тем, что процедура функционирует в собственном домене безопасности. Второе-тем, что по отношению к данной процедуре могут быть назначены права доступа, в частности право "исполнить".
Рассмотрим пример, где права доступа заданы согласно табл. 3.3.
Таблица 3.3
|
|
Объекты
| |||
|
Файл программы редактора текстов
|
текстовый файл
|
словарь
| ||
|
Субъекты
|
|
|
|
|
|
Пользователь
|
Исполнить
|
Чтение/Запись
|
| |
|
Программа редактор
|
|
Чтение/Запись
|
Чтение
| |
|
… |
|
|
| |
Пользователь имеет доступ к текстовому файлу как при помощи текстового редактора, так и из собственного домена безопасности. Однако доступ к словарю для пользователя становится возможен только при переключении на домен безопасности редактора (путем запуска на исполнение программы редактора). При таком способе переключения доменов матрица доступа после переключения остается неизменной.
Более сложный случай переключения доменов связан с передачей прав доступа в качестве параметров вызываемой процедуре и сопровождается изменением матрицы доступа. Предположим, что права доступа заданы так, как показано в табл. 3.4.
Таблица 3.4
|
|
Объекты
| |||
|
Файл программы редактора текстов
|
текстовый файл
|
словарь
| ||
|
Субъекты
|
|
|
|
|
|
Пользователь
|
Исполнить
|
Чтение/Запись
|
| |
|
Программа редактор
|
|
|
Чтение
| |
|
…
|
|
|
| |
В отличие от предыдущего случая, редактор не имеет права доступа к текстовому файлу пользователя. При вызове редактора это право должно быть ему передано, и в матрице доступа будет создана новая, временная строка (табл. 3.5).
Таблица 3.5
|
|
Объекты
| |||
|
файл программы редактора текстов
|
текстовый файл
|
словарь
| ||
|
Субъекты
|
|
|
|
|
|
Пользователь
|
Исполнить
|
Чтение/Запись
|
| |
|
Программа редактор
|
|
|
Чтение
| |
|
Редактор, действующий от имени пользователя
|
|
Чтение/Запись
|
Чтение
| |
|
…
|
|
|
| |
Созданный при этом временный домен безопасности описывает стандартное право текстового редактора на доступ к словарю и переданное ему при вызове право на доступ к файлу попьзователя. Этот домен безопасности уничтожается по завершению работы редактора.
В рассмотренных примерах переключение доменов безопасности было связано либо только с потерей прав (например, пользователь теряет доступ к словарю, завершив работу с редактором), либо только с их приобретением (редактор при запуске получает доступ к текстовому файлу). Данная концепция доменов безопасности может быть расширена и на случай, когда потеря и приобретение различных прав доступа одним субъектом происходят при переключении домена безопасности одновременно, а также на случай, когда вызываемые процедуры являются ренте-рабельными.
СПИСОК ЛИТЕРАТУРЫ К ГЛАВЕ 3
Г.Гайкович В. Ю., Перший А. Ю. Безопасность электронных банковских систем. -М.: Компания "Единая Европа". 1994
ГрушоА.А., ТимонинаЕ.Е. Теоретические основы защиты информации.-М.: Изд-во агентства "Яхтсмен", 1966.
Мафтик С. Механизм защиты в сетях ЭВМ: Пер. с англ.- М.: Мир, 1993.
Хоффман Л.Дж. Современные методы защиты информации.- М.: Радио, 1980. 5 Щербаков А.Ю. Разрушающие программные воздействия.-М.: Эдель-Киев:
Век, 1993. 6. Теория и практика обеспечения информационной безопасности / Под ред.
П.Д. Зегжды.-М.: Изд-во агентства "Яхтсмен", 1996.