- •Безопасность
- •Аппаратное обеспечение
- •Программное обеспечение
- •Линии связи и сети
- •15.2. Защита
- •Защита памяти
- •Контроль доступа, ориентированный на пользователя
- •Контроль доступа, ориентированный на данные
- •15.3. Взломщики
- •Методы вторжения
- •Защита паролей
- •Уязвимость паролей
- •Контроль доступа
- •Стратегии выбора паролей
- •Выявление вторжений
- •15.4. Зловредное программное обеспечение
- •Зловредные программы
- •Логические бомбы
- •Троянские кони
- •Природа вирусов
- •Виды вирусов
- •Макровирусы
- •Подходы к борьбе с вирусами
- •Обобщенное дешифрование
- •Цифровая иммунная система
- •15.5. Системы с доверительными отношениями
- •Защита от троянских коней
- •15.6. Безопасность операционной системы windows 2000
- •15.7. Резюме, ключевые термины и контрольные вопросы
- •Контрольные вопросы
- •15.8. Рекомендуемая литература
- •Приложение. Шифрование
- •Стандартное шифрование
- •Стандарт шифрования данных
- •Тройной алгоритм шифрования данных
- •Улучшенный стандарт шифрования
- •Шифрование с открытым ключом
- •А.2. Архитектура протоколов tcp/ip
- •Уровни протокола tcp/ip
- •Приложения tcp/ip
- •Б.1. Мотивация
- •Б.З. Преимущества объектно-ориентированного подхода
- •Б.2. Объектно-ориентированные концепции
- •Структура объектов
- •Классы объектов
- •Наследование
- •Полиморфизм
- •Включение
- •Список литературы
15.5. Системы с доверительными отношениями
Большинство рассмотренных до сих пор вопросов касались защиты конкретного сообщения или элемента от пассивной или активной атаки со стороны данного пользователя. Несколько отличный, но широко применяемый способ состоит в том, чтобы защищать данные или ресурсы, основываясь на уровнях безопасности. Этот подход часто применяется в военных организациях, где информация разбита на такие категории: несекретная (unclassified — U), конфиденциальная (confidential — С), секретная (secret — S), совершенно секретная (top secret — TS) и прочая. Данная концепция с таким же успехом применима в других областях, в которых информацию можно сгруппировать в большие категории и предоставлять пользователям разрешение на доступ к определенным категориям данных. Например, документы и данные со стратегическими корпоративными планами можно отнести к наивысшим уровням, доступным только персоналу корпоративных офисов; вслед за ними могут идти служебные данные, касающиеся финансов и персонала и доступные персоналу администрации и корпоративных офисов, и т.д.
Когда определено несколько категорий или уровней данных, такие требования называются многоуровневой безопасностью (multilevel security). Общее требование многоуровневой безопасности состоит в том, что объекту, который находится на более высоком уровне, нельзя передавать информацию субъекту, который находится на более низком или лежащем вне этой иерархии уровне, если эта передача не выполняется по желанию санкционированного пользователя. Чтобы сделать это требование более пригодным для реализации, его разбивают на две части, имеющие более простую формулировку. Система многоуровневой безопасности должна обеспечивать выполнение таких требований.
Запрет на чтение снизу вверх. Субъект может читать информацию только из того объекта, уровень секретности которого не выше уровня секретности субъекта, В.литературе это требование известно под названием "простого свойства безопасности" (simple security property).
Запрет на запись сверху вниз (no write down). Субъект может записывать информацию только в тот объект, уровень секретности которого не ниже уровня секретности субъекта. В литературе это требование известно под на званием *-свойство (^property1).
Надлежащая реализация этих двух требований обеспечивает многоуровневую безопасность. К системе обработки данных был применен подход, основанный на концепции монитора обращений (reference monitor), который послужил объектом многих исследований и разработок. Схема этого подхода изображена на рис. 15,9. Монитор обращений представляет собой управляющий элемент ап-
паратного обеспечения и операционной системы того компьютера, который управляет доступом субъектов к объектам на основе их параметров безопасности. Монитор обращений обладает доступом к файлу, известному под названием база данных ядра безопасности (security kernel database), в которой перечислены привилегии доступа (уровень защиты) каждого субъекта, а также атрибуты защиты (уровень классификации) каждого объекта. Монитор обращений обеспечивает соблюдение правил безопасности (запрет на чтение снизу вверх, запрет на запись сверху вниз) и обладает такими свойствами.
Полное сопровождение. Правила безопасности соблюдаются при каждом доступе, а не только, например, во время открытия файла.
Изолированность. Монитор обращений и база данных защищены от не санкционированных изменений.
Возможность проверки. Нужно, чтобы была возможность проверить пра вильность работы монитора сообщений (т.е. необходимо иметь математиче ское доказательство того, что монитор безопасности обеспечивает выполне ние правил безопасности и предоставляет возможность полного сопровожде ния и изоляции).
Эти требования должны неукоснительно соблюдаться. Требование полного сопровождения означает, что необходимо сопровождение каждого обращения к данным, которые находятся в основной памяти, на диске и на ленте. Чисто программные реализации приводят к слишком большому снижению производительности, поэтому являются непрактичными; решение должно хотя бы частично опираться на аппаратную часть. Требование изолированности означает, что у взломщика, каким бы умным он ни был, не должно быть возможности изменить
логику работы монитора обращений или содержимое базы данных ядра безопасности. Наконец, требования математической доказуемости представляет затруднение для такой сложной системы, как компьютер общего назначения. Система, в которой можно выполнить такую проверку, называется системой с доверительными отношениями (trusted system).
Конечным элементом, показанным на рис. 15.9, является файл аудита. В него заносится информация о таких важных для безопасности событиях, как обнаружение нарушений безопасности или санкционированные изменения базы данных ядра безопасности.
Пытаясь удовлетворить свои потребности и оказать услугу общественности, министерство обороны США в 1981 году основало в рамках Управления национальной безопасности (National Security Agency — NSA) Центр компьютерной безопасности (Computer Security Center), целью которого является поддержка распространения компьютерных систем с доверительными отношениями. Для реализации этой цели была разработана Программа оценки коммерческих продуктов (Commercial Product Evaluation Program). По сути, центр пытается оценивать, насколько появляющиеся на рынке коммерческие продукты удовлетворяют описанным выше требованиям безопасности. Центр классифицировал оцениваемые продукты в соответствии со степенью предоставляемой безопасности. Эти оценки используются министерством обороны при приобретении программных продуктов для собственных нужд, но они открыто публикуются, и их можно получить бесплатно. Таким образом, эти публикации могут быть полезными для клиентов, покупающих имеющееся в наличии оборудование.