- •ВВЕДЕНИЕ
- •ГЛАВА 1. ПОНЯТИЕ И ПРИНЦИПЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- •ГЛАВА 2. ОБЩИЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
- •ГЛАВА 3. ОЦЕНОЧНЫЕ СТАНДАРТЫ
- •3.1. Критерии оценки доверенных компьютерных систем Министерства обороны США
- •3.2. Стандарт BS 7799-1
- •3.2.1. Регуляторы безопасности и реализуемые ими цели
- •3.2.1.1. Регуляторы общего характера
- •3.2.1.2. Регуляторы технического характера
- •3.2.1.3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия
- •3.3. Стандарт BS 7799-2. Четырехфазная модель процесса управления информационной безопасностью
- •3.4. Сведения о других международных стандартах
- •3.5. Сведения о стандартах на территории России
- •ГЛАВА 4. ТЕХНИЧЕСКИЕ СПЕЦИФИКАЦИИ
- •ГЛАВА 5. ПОЛИТИКА БЕЗОПАСНОСТИ
- •5.1. Формальная и неформальная политики безопасности
- •5.1.1. Неформальная политика безопасности
- •5.1.2. Формальная политика безопасности
- •ГЛАВА 6. МОДЕЛИ БЕЗОПАСНОСТИ
- •6.1. Основные понятия
- •6.2. Классификация моделей безопасности
- •6.2.1. Модели безопасности, предотвращающие угрозу раскрытия
- •6.2.2. Модели разграничения доступа, построенные по принципу предоставления прав
- •6.2.3. Достоинства и недостатки моделей предоставления прав
- •6.3. Информационные модели
- •6.3.1. Модель невмешательства
- •6.3.2. Модель невыводимости
- •6.4. Вероятностные модели
- •6.4.1. Игровая модель
- •6.4.2. Модель с полным перекрытием
- •6.5. Модели контроля целостности
- •6.5.1. Модель Биба
- •6.5.1.1. Мандатная модель целостности Биба
- •6.5.2. Модель понижения уровня субъекта
- •6.5.3. Модель понижения уровня объекта
- •6.6.1. Правила модели МКВ
- •6.7. Модели, предотвращающие угрозу отказа служб
- •6.7.1. Основные понятия ОВО
- •6.7.2. Мандатная модель ОВО
- •ВОПРОСЫ К ЧАСТИ 1
- •БИБЛИОГРАФИЧЕСКИЙ СПИСОК
- •ПРИЛОЖЕНИЯ
- •ОГЛАВЛЕНИЕ
73
рые нуждаются в исследовании взаимоотношений между состояниями безопасности, и, следовательно, могут быть проверены только исследованием двух или более состояний. В определение безопасности состояния включены только статические свойства.
Принципиальной трудностью, возникающей при формализации модели, является интерпретация «копирования», «просмотра», «вывода системы» и «авторизованной операции». Информация считается копируемой не только тогда, когда она непосредственно переносится из одной сущности в другую, но и когда она дает потенциальный вклад в другую сущность. Например, если операция сканирует файл сообщений А и копирует сообщения, выбранные фильтром Ф в файл сообщений Б, то и А, и Ф являются потенциальным вкладом в модификацию Б (и, следовательно, субъектом для ограничений, вызванных безопасностью копирования и CCR безопасностью), даже если и А, и Ф – пусты. Семантика для просмотра – проста: сущность может быть просмотрена, если операция делает
еечленом выходного контейнера.
Вформализации вывод системы интерпретируется как множество контейнеров; другие сущности, части сущностей, ссылки и классификации, которые видны пользователю, интерпретируются как копирующиеся в контейнер выхода.
Семантика авторизованных операций неспецифицирована. Можно только сказать, что неавторизованные операции не должны изменять состояние системы, исключая сообщения об ошибке.
6.2.3. Достоинства и недостатки моделей предоставления прав
Достоинства:
1)Интуитивная понятность.
2)Возможность реализации с высокой степенью точности.
Недостатки:
1) Возможность образования скрытых каналов утечки информации. Скрытые каналы утечки информации обнаружить несложно, но лишь
в процессе эксплуатации системы, поэтому их сложно ликвидировать.
6.3. Информационные модели
Информационные модели определяют ограничения на предоставление ввода/вывода системы, которые достаточны для реализации системы.
Они накладывают ограничения на интерфейс программных модулей системы с целью достижения безопасной реализации. При этом подробности реализации определяются разработчиком системы. Данные модели являются результатом применения теории информации к проблеме безопасности систем.
74
Рассмотрим две информационные модели:
Модель невмешательства.
Модель невыводимости.
Достоинством данных моделей является:
1)Отсутствие скрытых каналов утечки.
2)Естественность их использования для реализации сетевых защищенных АВС.
6.3.1. Модель невмешательства
Невмешательство – это ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя. Модель невмешательства рассматривает систему, состоящую из 4-х объектов:
Высокий ввод (High In).
Низкий ввод (Low In).
Высокий вывод (High Out).
Низкий вывод (Low Out).
Рассмотрим систему, вывод которой пользователю u определён функцией out:
out (u, hist.read (u)),
где hist.read (u) – это история ввода системы (traces), чей последний ввод был read (u), т.е. команда чтения, исполненная пользователем u.
Введем понятие – очищение (purge) истории ввода. Purge удаляет команды, исполненные пользователем, чей уровень безопасности не доминирует над уровнем безопасности u.
Используется также функция clearance (u), которая определяет степень доверия к пользователю.
Система удовлетворяет требованиям невмешательства, если, и только если для всех пользователей u, всех историй T и всех команд вывода c выполняется следующее равенство:
out (u, T.c(u)) = out (u, purge (u, T).c(u))
С целью проверки системы на соответствие требованиям невмешательства разрабатывалось большое количество различных условий, выполнение которых было бы достаточно для поддержки невмешательства. Верификация модели невмешательства более сложная, чем верификация модели БЛМ. Достоинство в том, что при применении данной модели не остаётся скрытых каналов утечки информации, она более интуитивно понятна по сравнению с БЛМ.