4.2. Позначення, аксіоми та визначення

Визначаючи базові елементи формального апарату інформаційної безпеки у цьо­му та наступних підрозділах; ми будемо дотримуватися положень широковідо­мих праць із теорії інформаційної безпеки [16, 45, 50, 51].

Нехай А — кінцевий алфавіт, А* — множина слів кінцевої довжини алфавіту А,

a Μ с А* — мова опису інформації, яка є множиною слів, визначених згідно з дея­кими правилами з А.

Аксіома. Будь яка інформація в комп'ютерній системі подається деякою мовою М.

Об'єкт відносно мови Μ (чи просто об'єкт) — довільна скінченна множина слів мовою М.

Перетворення інформації — відображення, задане на множині слів мовою М. Опис перетворення також є словом. Кожне перетворення інформації може

зберігатися чи виконуватися. У першому випадку йдеться про збереження опису перетворення у деякому об'єкті (файлі), а у другому — опис перетворення взаємодії

з іншими ресурсами комп'ютерної системи, наприклад, із пам'яттю чи процесором.

Суб'єкт — об'єкт, який описує перетворення, що виконується в комп'ютерній

системі. Нехай О — множина об'єктів системи, S — множина суб'єктів системи, причому S с О.

Перетворення інформації в об'єкті о', яке залежить від інформації в об'єкті о, будемо називати інформаційним потоком від об'єкта о (джерело), до об'єкта о' (приймач).

Для виконання перетворення суб'єкт використовує інформацію, яка містить­ся в об'єктах комп'ютерної системи, тобто здійснює доступ до них. Основними типами доступу є:

• доступ суб'єкта до об'єкта на читання — read]

• доступ суб'єкта до об'єкта на записування (є імовірність знищення інфор­мації, що міститься в об'єкті) — write;

• доступ суб'єкта до об'єкта на активізацію (виконується активізація перетво­рення інформації, опис якої міститься в об'єкті) — execute.

У кожному стані комп'ютерної системи на множині суб'єктів S введемо бінар­не співвідношення активізації а: якщо суб'єкт виконуючи перетворення інфор­мації, що міститься в ньому, ініціює виконання перетворення інформації, що міс­титься В суб'єкті s₂, то виконується S₁ а s₂ , де S₁, s₂ є S.

Визначимо орієнтований граф активізації G = (S, Е), де S — вершини графа, Ε — ребра графа, що з'єднують суб'єкти, які зв'язані бінарним співвідношенням активізації. Граф активізації є множиною дерев, або лісом.

Користувачі — суб'єкти комп'ютерної системи, які відповідають корінню де­рев

графа активізації.

Визначення, що наведені вище, дають змогу сформулювати основну аксіому теорії

захисту інформації.

Аксіома. Усі питання безпеки інформації описуються доступами суб'єктів до об'єктів.

Ця аксіома наводиться у Критеріях оцінки захищеності комп'ютерних систем (TCSEC) [48].

4.3. Основні типи політик безпеки

Перш ніж будувати систему захисту інформації, слід вирішити основне завдан­ня політики безпеки: сформулювати мету, визначити головні умови та ресурси

захисту і розподілу інформації. Як визначено у Критеріях захищеності комп'ю­терних систем (TCSEC) [48], політика безпеки — це набір норм, правил і практич­них прийомів, які регулюють керування цінною інформацією, її захист і розподіл.

Таке визначення політики безпеки дає змогу застосовувати певний апарат для її реалізації. Наявність політики безпеки та її формального опису у вигляді моделі безпеки за умови дотримання системою встановлених правил та обмежень дає можливість провести формальне доведення відповідності системи визначено­му критерію безпеки.

У загальному випадку визначене завдання є багато альтернативним, не має єдиного рішення, часто містить протиріччя. Наприклад, виконання вимог до ефек­тивності функціонування системи захисту інформації вступає у протиріччя із за­безпеченням ефективності функціонування інформаційної системи.

Поняття політики безпеки порівняно із поняттям несанкціонованого доступу є ширшим. Політика безпеки разом із поняттям дозволених доступів оперує по­няттям недозволених доступів. Виконання політики безпеки забезпечує необ­хідні, а інколи і достатні умови безпеки системи.

У сучасній теорії захисту інформації розглядають такі політики безпеки: дискреційна (розмежувальна), мандатна (багаторівнева), ролевого розмежуван­ня доступів, ізольованого програмного середовища, безпеки інформаційних по­токів та інші.

Дискреційна політика безпеки (за іншими перекладами — розмежувальна) — політика, яка базується на дискреційному керуванні доступом. Дискреційна полі­тика безпеки передбачає, що права доступу суб'єктів до кожного окремого об'єкта системи можуть бути довільним чином обмежені на основі деякого зовнішнього стосовно системи правила. Також дискреційна політика безпеки вимагає ідентифікованості всіх суб'єктів та об'єктів системи.

Основним елементом дискреційного розмежування доступу є матриця досту­пу. Матриця доступу — матриця D розміром |S| * |О|. Кожний елемент матриці доступу D[s,o] c R визначає права доступу суб'єкта s до об'єкта о, де R — множина прав доступу.

Суб'єкти s — активні сутності (переважно користувачі або процеси). Об'єк­ти о — пасивні сутності, що потребують захисту. Це можуть бути, наприклад, файли, записи баз даних, сегменти оперативної пам'яті. У деяких операціях дос­тупу суб'єкти можуть бути пасивними сутностями, до яких здійснюють доступ інші суб'єкти, тому множини 5 та О знаходяться у відповідності S c О.

У матриці доступу D кожен рядок відповідає певному суб'єкту - s, а кожен стовпець — об'єкту о (рис. 4.1). Елементом матриці D[s,o] є множина прав досту­пу, або повноважень суб'єкта s стосовно об'єкта о. Ці права, власне, і визначають, що може робити суб'єкт з об'єктом.

Підмножину об'єктів, до яких суб'єкт має певні права доступу, називають до­меном цього суб'єкта. Матриця доступу дуже розріджена і неефективна з точки зору використання пам'яті. Тому замість неї у реальних системах використовують­ся списки доступу та списки повноважень. Список доступу асоціюється з кожним захищеним об'єктом у системі та містить ідентифікатори різних суб'єктів разом

Рис. 4.1. Матриця доступу D

Множина дозволених методів доступу D[s,o]

Домен суб'єкта s₂

із їхніми правами доступу до цього об'єкта (список доступу описує стовпець матриці доступу). На відміну від списку доступу список повноважень асоціюється з кожним суб'єктом у системі та містить ідентифікатори об'єктів разом із повноваженнями суб'єкта стосовно цих об'єктів (список повноважень відповідає рядку матриці доступу).

У разі використання матричної моделі безпеки політика безпеки інформації містить не лише матрицю доступу, яка описує правила розмежування доступу, але й обмеження, що накладаються на спосіб модифікації матриці доступу. Так, у ви падку довірчого керування доступом усі повноваження на зміну прав доступу до об'єкта надаються (довіряються) суб'єктові, що є власником цього об'єкта. Тобто, якщо список прав доступу суб'єкта s до об'єкта о містить право власника, то суб'єкт s отримує повний контроль над стовпцем матриці доступу, що відповідає о. У разі адміністративного керування доступом система захисту визначає можливість дос­тупу суб'єктів до об'єктів, базуючись на мітках або атрибутах доступу, які може встановлювати чи змінювати лише спеціально призначений адміністратор.

Перевага дискреційної політики безпеки полягає у тому, що систему розме­жування доступу легко реалізовувати, тому така політика більш поширена. Проте вона має й низку суттєвих недоліків, через що її вважають недосконалою.

Недолік цієї політики — статичність правил розмежування доступу, які не враховують динаміки змінень стану комп'ютерної системи. Також недоліком є те, що під час доступу суб'єкта до об'єкта щоразу слід визначати права доступу і ана­лізувати їхній вплив на безпеку системи, що робить її менш прозорою. Загалом для систем дискреційної політики задача перевірки безпеки є алгоритмічно неро­зв'язною [46]. Припущення, що система, в якій реалізовано дискреційну полі­тику, є захищеною у заданому стані, слід доводити для кожної конкретної систе­ми і для кожного її стану.

Широковідомою практичною проблемою систем дискреційної політики є їхня нечутливість до впливу так званих троянських програм («троянських коней»).

Мандатна політика безпеки (за іншими перекладами — нормативна, примусо­ва, або багаторівнева) — це політика, яка базується на мандатному керуванні дос­тупом (рос. — мандатное управление доступом, нормативное управление досту­пом, полномочное управление доступом, принудительное управление доступом, англ. mandatory access control).

Мандатна політика безпеки передбачає виконання таких умов: визначеність решітки конфіденційності інформації; надання кожному об'єкту системи певного

рівня конфіденційності, який визначає цінність інформації, що міститься в цьому об'єкті: задоволення вимог ідентифікованості всіх суб'єктів та об'єктів системи. Головно завдання мандатної політики безпеки полягає у запобіганні витоку ін­формації від об'єктів, що мають високий рівень доступу, до об'єктів із низьким рівнем доступу.

Найпоширенішим описом мандатної політики безпеки є модель Белла — Ла- Падула [52]. Ця модель гарантує, що суб'єкт зможе отримати доступ до інформа­ції лише за умови, що матиме на це достатні повноваження, і будь-який суб'єкт (крім адміністратора, якому надано повноваження встановлювати рівні конфі­денційності об'єктів) жодним чином не зможе здійснити перенесення даних із об'єкта з вищим рівнем конфіденційності в об'єкт, що має нижчий рівень конфі­денційності. Отже, це — модель конфіденційності.

Мандатну політику реалізують із використанням адміністративного керуван­ня доступом.

Перевагами мандатної політики безпеки є те, що її правила прозоріші та зро- зуміліші порівняно з правилами дискреційної політики. Системи, побудовані на цій політиці безпеки, є більш надійними, ніж системи, створені на основі дис­креційної політики безпеки.

У цілому для систем мандатної політики завдання перевірки безпеки є алгорит­мічно розв'язним і безпека систем мандатної політики є доведеною [52].

Недоліками мандатної політики безпеки є високі вимоги до обчислювальних ресурсів та складність практичної реалізації такої системи.

Ролева політика безпеки — самостійна політика безпеки, яка базується на ди­скреційній політиці безпеки та є її розвитком. Відповідно до політики ролевого розмежування доступу права доступу суб'єктів формуються згідно з їхніми повно­важеннями й обов'язками (ролями). Ця політика відрізняється від решти політик своєю гнучкістю. Її активно використовують у мережних операційних системах, великих системах керування базами даних та інших, де встановлено чіткі повнова­ження й обов'язки адміністраторів і користувачів інформаційної системи. На ос­нові цієї політики реалізують різні політики, зокрема й мандатну.

Політика ізольованого програмного середовища визначає безпечний порядок взаємодії суб'єктів системи, який унеможливлює породження нових суб'єктів та їхній вплив на систему захисту через небезпечну модифікацію чи конфігурацію її параметрів. Відповідно до політики ізольованого програмного середовища вся множина інформаційних потоків у системі розподіляється на дві підмножини потоків, що не перетинаються, — потоки несанкціонованого доступу" і потоки ле­гального доступу. Потоки несанкціонованого доступу підлягають фільтрації. Таке розподілення та фільтрацію має здійснювати певний суб'єкт, який дістав назву монітор безпеки об'єктів.

Політика безпеки інформаційних потоків визначає безпечний порядок взаємо­дії об'єктів у системі. Ця політика полягає в розподіленні множини інформацій­них потоків ν системі на дві підмножини потоків — бажаних і небажаних, що не перетинаються, і унеможливлює породження в системі небажаних інформацій­них потоків.