все лекции
.pdf
Si |
|
Oi |
нарушений политики |
|
МБО |
|
|
|
|
безопасности нет |
|
|
|
|
Si |
|
Oi |
|
МБО |
|
изменение |
изменение |
поток в обход |
АО Si |
АО МБО |
МБО |
|
Sx |
|
Рисунок 8.4 – Возможные пути нарушения политики безопасности
Определение: субъекты Si и Sj называются невлияющими друг
на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта)
между любыми объектами Oi и Oj, ассоциированными соответственно с
субъектами Si и Sj.
Смысл понятия корректности: существующие в едином пространстве оперативной памяти программы не должны иметь функциональных возможностей изменения чужого вектора кода и состояния переменных.
Субъекты Si и Sj называются абсолютно корректными (не влияющими друг на друга), если при прежних (см. выше) условиях
множества ассоциированных объектов этих субъектов не имеют
пересечения. Абсолютная корректность достижима в случае виртуального
адресного пространства.
10
7.3.1 Условия гарантированного легального доступа Из этого понятия формулируются достаточные УСЛОВИЯ
ГАРАНТИРОВАННОГО осуществления только ЛЕГАЛЬНОГО ДОСТУПА.
УСЛОВИЕ 1. МБО разрешает порождение потоков только из
подмножества L, если все существующие в системе субъекты
абсолютно корректны относительно него и друг друга.
Но «условие 1» накладывает жёсткие и трудновыполнимые условия
на свойства субъектов системы. И невозможно гарантировать корректность любого субъекта, активизируемого в АС, относительно
МБО.
Определение: МОНИТОР (6) порождения субъектов (МПС) –
это субъект, активизирующийся при любом порождении субъектов.
Определение: МОНИТОР безопасности субъектов (7) (МБС) –
это субъект, который разрешает порождение субъектов только для
фиксированного подмножества пар активизирующих субъектов и
порождающих объектов.
Воздействие МБС выделяет во всём МНОЖЕСТВЕ СУБЪЕКТОВ S ПОДМНОЖЕСТВО РАЗРЕШЕННЫХ СУБЪЕКТОВ Е.
Определение: система называется ЗАМКНУТОЙ ПО ПОРОЖДЕНИЮ СУБЪЕКТОВ, если в ней действует МБС,
разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов-источников.
Данному определению эквивалентен практический термин
«ЗАМКНУТАЯ ПРОГРАММНАЯ СРЕДА», который сокращает
11
множество возможных субъектов до некоторого фиксированного множества, но и допускает существование некорректных субъектов,
включённых в замкнутую среду.
Определение: МНОЖЕСТВО СУБЪЕКТОВ системы
называется ИЗОЛИРОВАННЫМ (абсолютно изолированным), если в
ней действует МБС, и субъекты из порождённого множества корректны (абсолютно корректны) относительно друг друга и МБС.
Далее формулируется новая форма достаточного условия
гарантированного выполнения политики безопасности.
УСЛОВИЕ 2. Если в абсолютно изолированной системе
существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой системе реализуется только доступ,
описанный политикой разграничения доступа.
В данном случае множество субъектов ограничено за счёт применения механизма МБС, и есть возможность убедиться в попарной корректности по-
рождаемых субъектов.
Существует термин «ИЗОЛИРОВАННАЯ ПРОГРАММНАЯ СРЕДА»
(ИПС), который ОПИСЫВАЕТ МЕХАНИЗМ РЕАЛИЗАЦИИ ИЗОЛИРОВАННОСТИ для конкретной системы.
Так как в реальных системах одинаково поименованные объекты могут иметь различные состояния в пространстве (например, размещены в различных каталогах) или во времени, то для этого случая существует следующее определение.
Определение: операция порождения субъекта Create(Sk, Om) →
Si называется ПОРОЖДЕНИЕМ С КОНТРОЛЕМ НЕИЗМЕННОСТИ ОБЪЕКТА, если для любого момента времени t больше t0, в который активизирована операция порождения, порождение субъекта Si
12
возможно только при тождественности объектов Om(t0) и Om(t), –
(создание копии объекта).
Следующее условие также отражает достаточность гарантированного выполнения политики безопасности.
УСЛОВИЕ 3 (или «БАЗОВАЯ ТЕОРЕМА ИПС»). Если в
момент t0 в изолированной системе действует только одно порождение субъектов с контролем неизменности объекта, и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени t > t0 система
также остаётся изолированной (абсолютно изолированной).
Таким образом, МЕТОДОЛОГИЯ ПРОЕКТИРОВАНИЯ ГАРАНТИРОВАНО ЗАЩИЩЁННЫХ СИСТЕМ состоит в том, что у защитных механизмов необходимо опираться на совокупность достаточных условий 1–3, которые следует реализовать для
субъектов, что гарантирует защитные свойства, определённые при
реализации МБО в системе.
Такова концепция, в том числе и зарубежных школ, к реализации
ЯДРА БЕЗОПАСНОСТИ.
Функционирование ядра безопасности показано на рисунке 8.5, где
база данных для защиты – это объект, содержащий информацию о потоках подмножества L (защита по «белому списку» – разрешение на потоки) или подмножества N (защита по «чёрному списку» – запрещение на потоки).
13
|
База данных |
Объекты |
Субъекты |
|
|
защиты |
|
|
|
|
Ядро безопасности
Рисунок 8.5 – Классическая схема ядра безопасности
Для учёта влияния субъектов в системе рассматривают расширенную схему взаимодействия элементов системы при реализации
и гарантировании политики безопасности.
Взаимодействие объектов и субъектов при порождении потоков
УТОЧНЕНО введением АССОЦИИРОВАННЫХ с субъектом объектов.
Управляющий объект содержит информацию о разрешённых
значениях отображения потоков Stream (об элементах подмножеств L и N) и порождений Create (элементы множества E).
Управляющий объект может быть связан
данные) как с МБО, так и с МБС, рисунок 8.6.
14
|
АО |
|
Stream(…, …) |
|
|
|
|
|
|
МБО |
|
Субъект |
|
|
Объекты |
|
|
Управляющий |
|
|
|
|
|
|
|
объект |
|
Субъект |
МБС |
Create(…, …) |
|
Рисунок 8.6 – Схема ядра безопасности с учётом контроля порождения
субъектов
8.4 Построение изолированной программной среды
Цель практических методов построения ИПС – реализовать гарантированную защищённость в реальных компьютерных системах. Эта
цель реализуется с помощью метода субъектно-объектного
взаимодействия.
Из базовой теоремы ИПС следует, что ДЛЯ СОЗДАНИЯ
ГАРАНТИРОВАННО ЗАЩИЩЕННОЙ СИСТЕМЫ НЕОБХОДИМО:
а) убедиться в попарной корректности субъектов, замыкаемых в
ИПС (либо убедиться в корректности любого субъекта относительно МБО и
МБС);
б) |
спроектировать |
и |
реализовать |
программно |
(или |
программно-аппаратно) МБС так, чтобы:
15
1) для субъекта и любого объекта проводился контроль
порождения субъектов – то есть, реализация МБС должна соответствовать его
определению;
2) порождение любого субъекта происходило с контролем неизменности объекта-источника;
в) реализовать МБО в рамках априорно сформулированной политики безопасности.
При этом нужно проверять, не нарушает ли модель политики безопасности условий по перечислениям а) – в).
Кроме того, так как «Управляющий объект» является ассоциированным объектом для МБС (обычно ассоциированный объект-
данные), – то это играет важную роль в проектировании. При изменении
состояния управляющего объекта потенциально возможно размыкание программной среды: к множеству разрешённых субъектов
могут добавиться другие, реализующие злоумышленные функции.
Но процесс управления безопасностью подразумевает возможность изменения управляющего объекта, т. е. реализацию потока Stream (субъект управления, АО субъекта управления) → управляющий объект. И эта возможность должна присутствовать для выделенных субъектов.
В проектировании важную роль играет свойство операционной
системы (ОС, программной системы), заключающееся В ПОЭТАПНОЙ
АКТИВИЗАЦИИ субъектов из объектов различного уровня представления информации.
В начальные этапы активизации компьютерной системы
декомпозиция на объекты и субъекты динамически изменяется.
То есть, основная теорема ИПС применима лишь на отдельных интервалах времени, когда уровень представления объектов постоянен и декомпозиция фиксирована.
В работе ОС можно выделить |
ДВЕ фазы |
: |
|
1 |
активизация субъектов с |
ростом уровня представления |
|
|
|
16 |
|
объектов (ФАЗА ЗАГРУЗКИ);
2 фаза стационарного состояния – уровень представления
объектов не увеличивается.
(ОС типа DOS реализуют и потоки к объектам нижнего уровня – операции с объектами нижнего уровня из программ прикладного уровня).
Поэтому ПОРЯДОК РАБОТЫ ИПС состоит из двух этапов:
а) предопределённое выполнение начальной фазы, включающее в себя активацию МБС и МБО;
б) работа в стационарной фазе в режиме ИПС, возможно с контролем неизменности объектов-источников.
Здесь существует понятие ПОСЛЕДОВАТЕЛЬНОСТИ
АКТИВИЗАЦИИ КОМПОНЕНТОВ системы, то есть, задаётся
предопределённая последовательность активизации субъектов
программной системы (ОС).
Обозначают как ZL – последовательность пар i , j t , где (t = 0, 1, 2,
…, L–1 – моменты времени) длиной L таких, что:
Create S i ,O j t S m t 1 ,
причём, SZ – множество всех субъектов, включённых в последовательность
Z L ;
OZ – множество всех объектов, включённых в последовательность Z L .
Для многопотоковых программных систем можно рассматривать несколько последовательностей ZL , и, соответственно, множеств SZ и OZ.
ОПРЕДЕЛЕНИЕ: СОСТОЯНИЕМ компьютерной системы в
момент времени t называется упорядоченная совокупность
состояний субъектов. (Каждый субъект – это слово в априорно определённом
языке).
Длина L последовательности ZL определяется:
– по признаку невозможности управления субъектами,
принадлежащими множеству SZ со стороны пользователя (иначе
17
последовательность активизации м. б. изменена);
– по признаку доступности для контроля неизменности всех
объектов из множества OZ;
– по признаку невозрастания уровня представления информации.
Последовательность ZL локализуется в некотором объекте либо
совокупности объектов (так для DOS последовательность активизации субъектов определена
содержанием файлов autоexec.bat и config.sys. Для OС Windows NT последовательность активизации компонентов определена содержанием соответствующих ключей реестра ресурсов Registry).
УСЛОВИЕ (достаточное условие ИПС при ступенчатой
загрузке): при условии неизменности ZL и неизменности объектов из
OZ в системе с момента времени установления неизменности ZL и OZ
действует изолированная программная среда.
Данное условие требует убедиться в том, что МБС в момент времени t = m гарантированно активизируется.
Список использованных источников
1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.
2 Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Телеком, 2001. – 148 с.
3Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001.
–256 с.
4Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ,
2003. – 352 с.
5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
18
6 Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Вильямс», 2001. – 592 с.
7 Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.
8 Гостехкомиссия России. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.
9 Домарев В.В. Защита информации и безопасность компьютерных систем. – Киев: Изд-во «ДиаСофт», 1999. – 480 с.
10ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
11ГОСТ Р34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. – 1994.
12Соколов А.В., Шаньгин В.Ф. Защита информации в распределённых корпаративных сетях и системах. – М.: ДМК Пресс, 2002. – 656 с.
13Щеглов А.Ю. Проблемы и принципы проектирования систем защиты информации от несанкционированного доступа. Ч. 1. Модель многоуровневой защиты информации // Экономика и производство. – 1999. – № 3.
14Проектирование высокопроизводительных корпоративных сетей с многоуровневой коммутацией // Copyright (C) Cisco Systems Jnc., (C) Plus
Communications. – 1998.
15Щеглов А.Ю. Проблемы и принципы проектирования систем защиты информации от несанкционированного доступа. Ч. 2. Системный подход к построению системы защиты // Экономика и производство. – 1999. – № 10–12.
16Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. – СПб: Наука и Техника, 2004. – 384 с.
17Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. – М.: КУДИЦ–ОБРАЗ, 2001. – 368 с.
19