- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
4.4. Модель безопасности информационных потоков
Рассмотренные модели HRU, Take-Grant, БЛ могут быть использой ны при построении и анализе детерминированных систем защиты, те. систем, которые не включают элементов, имеющих вероятностную природу. При исследовании систем, закономерности функционирования которых сложны или практически не поддаются описанию, целесообразно использовать элементы теории вероятностей. К числу таких систем можно отнести глобальные вычислительные сети, например Internet, или современные многозадачные, многопользовательские сетевые операционные системы.
Рассмотрим систему защиты , реализующую мандатное (полномочное) разграничение доступа. Без ограничения общности можно считать, что:
в системе используются только два уровня секретности: высокий и низкий;
все объекты системы делятся на две непересекающиеся группы: высокоуровневые объекты (Н), имеющие право обрабатывать информацию высокого уровня секретности, и низкоуровневые (L);
все взаимодействие между Н и L осуществляется через систему защиты .
Таким образом, систему можно представить схемой
Задача системы защиты-не допустить возникновение информационного потока от высокоуровневых объектов к низкоуровневым.
Пусть на множестве значений объектов системы задано вероятностное распределение, т.е. Н и L являются случайными величинами. Для описания и анализа информационных потоков между ними воспользуемся понятиями теории вероятностей: независимости и условного распределения. С их помощью по [11] рассмотрим два подхода к определению безопасности информационных потоков, основанных на понятиях:
информационной невыводимости;
информационного невмешательства.
Определение 1. В системе присутствует информационный поток от высокоуровневых объектов Н к низкоуровневым L, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта невозможно одновременно с возможными значениями переменных состояний высокоуровневых объектов.
Определение 2. Система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные потоки вида, описанного в определении 1.
Более формально это определение можно дать следующим образом: нет информационного потока от Н к L тогда и только тогда, когда выполняется условие: если р(Н)>0, р(L)>0, то p(HL)>0.
Так как при р(Н)>0, p(L)>0 выполняется
р (LH) =р (Н, L)/p (Н) =р (HL)p (L)/p (H).
то в условиях определения 1 из истинности неравенства p(HL)>0 следует истинность p(LH)>0, что предполагает отсутствие информационных потоков от низкоуровневых объектов к высокоуровневым. Таким образом, требования информационной невыводимости являются более строгими, чем требования безопасности классической модели БЛ, и фактически предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы.
В традиционной модели информационного невмешательства требуется, чтобы низкоуровневая информация была независима от высокоуровневой, т.е. выполнялось равенство
p(LH)=p(L),
что при р(Н)>0, p(L)>0 равносильно равенству
р(НL)=р(Н).
Однако если ввести параметр времени, то ограничение, данное выше, слишком строгое. Если Lt описывает состояния всех низкоуровневых объектов, а Нt всех высокоуровневых объектов в момент времени t = 0,1,2,..., то нет необходимости требовать выполнения
p(Нt Lt-1)=p(Нt),
т.е. текущее значение низкоуровневых объектов может содержать информацию о последующих значениях высокоуровневых объектов.
Например, если низкоуровневым является некий несекретный файл, обрабатываемый пользователем с низким допуском, а высокоуровневым объектом является журнал аудита, то значение файла и операции, совершаемые над ним пользователем на шаге t, могут отображаться в журнале аудита на шаге t+1.
Казалось бы, необходимо потребовать, чтобы текущие значения низкоуровневых объектов не зависели бы от значений высокоуровневых объектов на предыдущих тактах работы системы, т.е. выполнялось для t=1,2,...
р (Lt Ht-1) = p (Lt) или, что равносильно, р (Нt-1 Lt) =p (Нt-1).
Здесь учитывается тот факт, что состояние системы влияет на последующие только через информацию, хранимую в объектах системы.
Следует отметить, что данный вариант определения соотношения Lt и Нt-1 является слишком строгим, так как предполагает независимость Lt и Нt-1. Однако значения высокоуровневых объектов на текущем шаге часто оказывает влияние на значения низкоуровневых объектов на последующих шагах работы системы. Рассмотрим два примера.
Пример 1. Система резервного копирования.
Для защиты низкоуровневых пользователей от сбоев системы все данные, записываемые ими в низкоуровневые файлы, предварительно копируются системой в высокоуровневый аудиторский файл. В результате, если в момент времени t значение низкоуровневого файла было X, то это означает, что в момент времени t-1 высокоуровневый файл аудита содержал значение X. Налицо зависимость значений Lt и Нt-1. Однако, никакой угрозой безопасности это не является.
Пример 2. Монитор ссылок.
Монитор ссылок в реальных системах защиты является высокоуровневым субъектом, принимающим решения по запросам на доступ к объектам, полученным от других субъектов системы. Очевидно, что такое решение, полученное низкоуровневым субъектом на шаге t работы системы, содержит информацию о значении высокоуровневого монитора ссылок на предыдущем шаге.
Более целесообразным представляется подход, обеспечивающий невозможность накопления низкоуровневыми объектами новой информации о значениях высокоуровневых объектов. Более формально, необходимо потребовать, чтобы знание значений Lt-1 и Lt, не давало бы новой информации о Ht-1, т.е. должно выполняться равенство
p(Lt Ht-1,Lt-1)=p(Lt Lt-1) для t=1,2,....
Данное равенство равносильно равенству
р (Ht-1Lt, Lt-1) =p (Ht-1 Lt-1),
т.е. тем самым запрещается обратный информационный поток из Lt в Ht-1, но не запрещается поток из Lt в Ht+1,. Кроме этого, следует отметить, что решая проблемы, обозначенные в рассмотренных выше примерах, последнее правило запрещает временные каналы утечки информации.
С учетом того, что состояние системы влияет на последующие состояния только через информацию, хранимую в объектах системы, дадим определение модели безопасности информационных потоков.
Определение 3. Система безопасна в смысле информационного невмешательства, если выполняется равенство
p(Lt Hs,Ls)=p(LtLs), где s,t = 0,1.2. и s<t.
Модель безопасности информационных потоков служит практическим примером подхода к построению системы защиты, которая разрешает корреляцию значений высокоуровневых и низкоуровневых объектов, но при этом остается безопасной.