все лекции
.pdfсанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.
9 Домарев В.В. Защита информации и безопасность компьютерных систем. – Киев: Изд-во «ДиаСофт», 1999. – 480 с.
10 ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
11.ГОСТ Р34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. – 1994.
12.Соколов А.В., Шаньгин В.Ф. Защита информации в распределённых корпаративных сетях и системах. – М.: ДМК Пресс, 2002. – 656 с.
13.Щеглов А.Ю. Проблемы и принципы проектирования систем защиты информации от несанкционированного доступа. Ч. 1. Модель многоуровневой защиты информации // Экономика и производство. – 1999. – № 3.
14.Проектирование высокопроизводительных корпоративных сетей с многоуровневой коммутацией // Copyright (C) Cisco Systems Jnc., (C) Plus Communications. – 1998.
15.Щеглов А.Ю. Проблемы и принципы проектирования систем защиты информации от несанкционированного доступа. Ч. 2. Системный подход к построению системы защиты // Экономика и производство. – 1999. – № 10–12.
18Мекекечко В.В., Мезенцев В.О., Старчак С.Л., Морозов Ю.В. Реализация и внедрение криптопровайдера ГОСТ 28147-89 и ХЭШ-функции ГОСТ Р 34.11-2012 в CRYPTOAPI LINUX 2.6 // [Электронный журнал] Молодёжный научно-технический вестник. – Издатель ФГБОУ ВПО «МГТУ им. Н.Э. Баумана. – Эл. No ФС77-51038. – http://sntbul.bmstu.ru/doc/620577.html. – 14 с.
25
******************БЛОК 2 – НАЧАЛО ********************
ЛЕКЦИЯ 8. Модели безопасности ОС: субъектно-объектная модель взаимодействия. Аксиомы защищённых систем. Понятие доступа и монитора безопасности. Основные типы политики безопасности. Методология реализации политики безопасности. Базовая теорема изолированной программной среды, классическая схема ядра безопасности. Построение изолированной программной среды.
(Сост. Никонов А.В.)
ЭЛЕКТРОННЫЙ ВАРИАНТ КУРСА ЛЕКЦИЙ
https://yadi.sk/d/NzaPS2X_aVcC5
Безопасность в программных системах (операционных системах)
обеспечивается как средствами криптографии, так и принятыми в них политиками
безопасности. Эти политики безопасности связаны с понятием
«доступа».
Доступ – это категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами.
Политика безопасности включает:
а) множество возможных операций над объектами;
б) для каждой пары «субъект, объект» (Si, Oj) множество
разрешённых операций, являющееся подмножеством всего множества возможных операций.
В субъектно-объектной модели сформулированы следующие аксиомы
защищённых систем.
АКСИОМА 1. В защищённой системе всегда присутствует активный компонент (субъект), выполняющий контроль операций субъектов над объектами.
Этот компонент отвечает за реализацию некоторой политики
безопасности.
1
АКСИОМА 2. Для выполнения в защищённой системе операций над объектами, необходима дополнительная информация о разрешённых и запрещённых операциях субъектов с объектами.
АКСИОМА 3. Все вопросы безопасности информации в системе описываются доступами субъектов к объектам.
Политика безопасности в общем случае выражает
нестационарное состояние защищённости. Защищаемая система может изменяться, дополняться новыми компонентами, т. е. политика безопасности
должна быть поддержана во времени, т. е. должна быть определена
процедура управления безопасностью.
А нестационарность защищаемой системы и реализация политики безопасности в конкретных конструкциях системы предопределяет рассмотрение
задачи гарантирования заданной политики безопасности.
8.1 Понятие доступа и мониторинг безопасности
Из модели вычислительной системы фон Неймана понятию «субъект» со-
ответствует программа (последовательность исполняемых инструкций).
Понятию «объект» соответствуют данные.
Обычно, рассматривая модель произвольной системы, её делят на два
подмножества: объектов и субъектов.
СУБЪЕКТ ОБЛАДАЕТ СВОЙСТВАМИ.
А) Человек-пользователь воспринимает объекты и получает информацию о состоянии системы через те субъекты, которыми он управляет и которые отображают информацию.
Б) Угрозы компонентам системы исходят от субъекта, как активного компонента, изменяющего состояние объектов в ней.
В) Субъекты могут влиять друг на друга через изменяемые ими
2
объекты, связанные с другими субъектами, порождая субъекты,
представляющие |
угрозу |
|
для |
безопасности |
информации |
или |
работоспособности системы. |
|
|
|
|
||
Пользователь (физическое лицо) отличается от субъекта: он аутентифицируется некоторой информацией и управляет субъектом в
системе.
Т. е., пользователь – это внешний фактор. И свойства субъектов не зависят от пользователя (кроме систем типа компиляторов, средств разработки, отладчиков и т. п.).
Рассматриваемая ниже субъектно-объектная модель базируется на
следующей аксиоме.
АКСИОМА 4. Субъекты в системе могут быть порождены из объектов только активными компонентами (субъектами).
Определение: объект Oi называется источником для субъекта
Sm, если существует субъект Sj, в результате воздействия которого на
объект Oi в системе возникает субъект Sm.
Это операция Create (Sj, Oi) → Sm, рисунок 8.1. Create – операция
порождения субъектов.
Oi |
Sm |
|
Create(Sj, Oi) Sm |
|
|
|
Рисунок 8.1 – |
Порождение субъекта |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Определение |
: |
объект |
|
Oi |
в момент |
времени |
t |
ассоциирован |
||||||
(связан) |
с субъектом |
Sm, |
если |
состояние |
объекта |
|
Oi |
|
повлияло на |
||||||
состояние субъекта в следующий момент времени (субъект Sm использует
информацию из объекта Oi).
В общем случае, субъект реализует отображение множества ассоцииро-
3
ванных объектов в момент времени t на множество ассоциированных объектов в
момент времени (t + 1).
Поэтому выделяют ассоциированные объекты, изменение которых изменяет вид отображения ассоциированных субъектов (на-
пример, объекты, содержащие код программы). Их называют функционально
ассоциированные объекты.
Также, есть ассоциированные объекты-данные – они являются
аргументом операции, но не изменяют вид отображения ассоциированных с ними субъектов.
В момент порождения субъекта Sm из объекта Oi, этот объект
является ассоциированным для субъекта Sm.
Определение: потоком информации между объектом Om и объектом Oj называется произвольная операция над объектом Oj,
реализуемая в субъекте Si и зависящая от Om, рисунок 8.2.
|
Stream (Si, Om) Oj |
Om |
Oj |
|
Si |
Рисунок 8.2 – Поток информации
Обозначение Stream (Si, Om) → Oj – поток информации от объекта Om к объекту Oj, реализуемый в субъекте Si.
Активная роль субъекта выражается в реализации потока:
операция порождения потока локализована в субъекте и
отображается состоянием его функционально ассоциированных объектов.
Операция Stream может создавать новый объект или уничтожать его. На рисунке 8.3 приведены виды информационных
4
потоков. |
|
|
|
Om |
|
Oj |
|
|
|
|
Уничтожение объекта |
Om |
|
Oj |
Создание объекта |
|
|
|
|
|
Si |
Oj |
|
|
|
|
|
Om |
|
|
Операция записи |
|
|
|
Om Si
Oj |
Операция чтения |
Рисунок 8.3 – Виды информационных потоков
Определение: доступом субъекта Si к объекту Oj называется
порождение потока информации между некоторым объектом и объектом Oj.
Для фиксированной декомпозиции компьютерной системы на
субъекты и объекты всё множество потоков P делится на подмножества потоков N несанкционированного доступа и
подмножество потоков L легального доступа:
P = N L (нелегальный или легальный); N L = 0 (поток не может
быть одновременно нелегальным и легальным).
Категория «опасный–безопасный» описывается политикой
5
безопасности: она описывает критерии разбиения на подмножества L и N.
Определение: правило разграничения доступа субъектов к объектам – это формально описанные потоки подмножества L.
В этом случае можно говорить об инвариантности (независимости)
субъектно-ориентированной модели относительно любой принятой в системе политики безопасности.
Определение: объекты Oi и Oj тождественны в момент времени t,
если они совпадают как слова, записанные в одном языке.
На практике всегда существует алгоритм, обеспечивающий возможность попарного сравнения. Т. е., существует процедура сортировки ассоциированных объектов, позволяющая говорить о возможности попарного сравнения. Например,
выделяются и попарно сравниваются участки оперативной памяти, от-
вечающие коду программ или содержанию переменных и массивов.
Определение: субъекты Si и Sj тождественны в момент времени
t, если попарно тождественны все ассоциированные с ними объекты
(т. е., тождественны попарно объекты этих субъектов).
ПОРОЖДЁННЫЕ СУБЪЕКТЫ ТОЖДЕСТВЕННЫ, если тождественны порождающие субъекты и объекты–источники.
Для разделения всего множества потоков на подмножества L и N,
необходимо существование активного компонента (субъекта),
который:
а) активизировался бы при возникновении любого потока; б) производил бы фильтрацию потоков в соответствии с
принадлежностью подмножествам L и N.
Определения: МОНИТОР (1) ОБРАЩЕНИЙ (МО) – субъект, активизирующийся при возникновении потока от любого субъекта к
6
любому объекту.
ИНДИКАТОРНЫЙ (2) МО – устанавливает только факт обращения субъекта к объекту.
СОДЕРЖАТЕЛЬНЫЙ (3) МО – субъект, который функционирует так, что при возникновении потока от ассоциированного объекта Om любого субъекта Si к объекту Oj и обратно, – появляется ассоциированный с МО объект Om0, тождественный объекту Om.
Содержательный МО полностью участвует в потоке от субъекта к объекту.
МОНИТОР (4) БЕЗОПАСНОСТИ (монитор ссылок) – имеет целевой функцией фильтрацию для обеспечения безопасности. При
этом разделение на подмножества L и N задано априорно.
МОНИТОР (5) БЕЗОПАСНОСТИ ОБЪЕКТОВ (МБО) – это
монитор обращений, который разрешает поток, принадлежащий
подмножеству легального доступа L.
Разрешение – это выполнение операции над объектом-получателем потока, а запрещение – невыполнение.
Монитор безопасности объектов – это и есть механизм
реализации политики безопасности в системе.
8.2 Основные типы политики безопасности
В программных системах также широко используют два типа политики
безопасности.
ДИСКРЕЦИОННАЯ (дискретная) политика безопасности – имеет
в основе дискреционное (действующее по усмотрению чего (кого)-либо)
управление доступом: DAC – Discretionary access control.
Это управление определяется свойствами:
а) все субъекты и объекты должны быть идентифицированы; б) права доступа к объекту системы определяются на основании
7
внешнего по отношению к системе правила.
Большинство распространённых в настоящее время систем обеспечивает выполнение положений дискреционной политики безопасности в связи с простой реализацией соответствующих механизмов защиты. Пример – матрица доступа.
Недостаток этого типа политики безопасности – статичность модели:
политика безопасности не учитывает динамику изменения состояния
системы, не накладывает ограничения на её состояния.
И при дискреционной политике возникает вопрос ОПРЕДЕЛЕНИЯ
ПРАВИЛ РАСПРОСТРАНЕНИЯ ПРАВ ДОСТУПА и АНАЛИЗА ИХ ВЛИЯНИЯ НА БЕЗОПАСНОСТЬ системы.
Перед МБО, который при санкционировании доступа к объекту руководствуется некоторым набором правил, стоит алгоритмически
неразрешимая задача: проверить, приведут ли его действия к
нарушению безопасности или нет.
Т. е., матрица доступов не является тем механизмом, который позволил бы реализовать ясную систему защиты информации в системе.
Второй тип политики безопасности – это МАНДАТНАЯ
(полномочная) политика безопасности, которая составляет мандатное
управление доступом.
Англоязычная аббревиатура – МАС (Mandatory access control).
Цель мандатной политики безопасности – устранить каналы утечки
информация сверху вниз: информация не должна утекать от объектов с
высоким уровнем доступа к объектам с низким уровнем доступа.
Принципиальное отличие систем с мандатной защитой от систем с
дискреционной защитой:
– если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сфор-
8
мулированных политикой безопасности, то любое состояние системы
безопасно.
Для систем с мандатной политикой характерна более высокая
степень надёжности, т. к. МБО такой системы ДОЛЖЕН
ОТСЛЕЖИВАТЬ НЕ ТОЛЬКО ПРАВИЛА ОБРАЩЕНИЯ
СУБЪЕКТОВ К ОБЪЕКТАМ, НО И СОСТОЯНИЯ САМОЙ АС (это
модель системы под названием Белла Ла-Падула).
Т. е., каналы утечки в системах данного типа не заложены в ней непосредственно, а могут появиться только при практической реализации системы вследствие ошибок разработчика.
Но реализация систем с политикой безопасности данного типа сложна и
требует значительных ресурсов.
8.3 Методология реализации политики безопасности
Очевидно, что при изменении функционально ассоциированных с
монитором безопасности объектов могут изменяться и свойства
самого МБО, заключающиеся в фильтрации потоков.
Поэтому могут возникнуть потоки, принадлежащие некоторому
подмножеству N, рисунок 8.4, где АО – ассоциированные объекты.
9