4.4.2. Моделі мандатної політики безпеки

У цьому підрозділі буде розглянуто дві найпоширеніші моделі аналізу систем захисту, які реалізують мандатну політику, — модель мандатної політики конфіденційності Белла — ЛаПадула, запропоновану в праці [52], та модель мандатної політики цілісності Біба [56], яка базується на моделі Белла — ЛаПадула.

Модель конфіденційності Белла — ЛаПадула

Модель Белла — ЛаПадула є базовою моделлю мандатної політики безпеки.Звичайно цю модель застосовують для аналізу систем захисту інформації на імовірність наявності умов виникнення інформаційних потоків від об'єктів, що мають більший рівень конфіденційності до об'єктів із меншим рівнем конфіденційності. Як уже зазначалося, виконання умов цієї політики гарантує, що суб'єкт зможе отримати доступ до інформації лише за умови, що матиме на це достатні повноваження, і будь-який суб'єкт (крім адміністратора, якому надано повноваження встановлювати рівні конфіденційності об'єктів) жодним чином не зможе здій снити перенесення даних із об'єкта з вищим рівнем конфіденційності в об'єкт, що має нижчий рівень конфіденційності (рис. 4.7).

Розглянемо елементи моделі Белла — ЛаПадула на основі [16, 50]. Нехай О

множина об'єктів системи, S с О — множина суб'єктів системи; R = {read, write, append, execute} — множина типів доступу та прав доступу, де append — доступ на записування в кінець об'єкта.

Позначимо:

Рис. 4.7. Перенесення даних за моделлю Белла — ЛаПадула

f_c:S —> L — поточний рівень доступу суб'єкта, при цьому для будь-якого s є S справедлива нерівність f_c(s) < f_s(s);

• V = B*M*F — множина станів системи;

• Q — множина запитів до системи;

• Ε — множина відповідей на запити, наприклад: Ε = {yes, nо, error};

• W c Q*E*V*V — множина дій системи, де четвірка (q, е, ν^*, υ) є W означає, що система за запитом q з відповіддю е перейшла із стану υ у стан ν*;

• N₀ = {0, 1, 2, ...} — множина значень часу;

• X — множина функцій χ: Ν₀ -> Q, які задають усі можливі послідовності за­питів до системи;

• Y — множина функцій у: Ν₀ -> Ε, які задають усі можливі послідовності від­повідей системи на запити;

• Ζ — множина функцій z: Ν₀ -> V, які задають усі можливі послідовності станів системи.

Враховуючи ці позначення, наведемо низку базових визначень та понять мо­делі Белла — ЛаПадула [52].

Визначення. (Q, Е, W, z₀) с Χ*Y*Ζ називають системою, якщо для кожного (х, у, z) є Σ(Q, E, W, z₀) виконується умова: для t є N₀, (x_t, у_t z_t+1, z_t) є W, де Z₀ — почат­ковий стан системи. Тут кожний набір (х, у, z) є Σ(Q, Ε, W, z₀) — реалізація систе­ми, a (x_t, у_t, z_t+1, z_t) є W — дія системи в момент часу t є N₀.

У класичній моделі Белла — ЛаПадула безпеку системи визначає наявність трьох властивостей: ss — властивість простої безпеки (Simple Security); * — властивість «зірка»; ds — властивість дискреційної безпеки (Discretionary Security).

Властивість ss забезпечує заборону на читання вверх, а також забороняє мо­дифікацію з використанням доступу write, якщо f_s(s) < f₀(о), а властивість * унеможливлює виникнення небажаних інформаційних потоків від об'єктів, які мають більший рівень конфіденційності, до об'єктів із меншим рівнем конфіден­ційності.

Повне визначення трьох згаданих властивостей наведено у праці [50 ]. Визначимо поняття безпеки системи Σ(Q, Ε, W, z₀). Визначення. Систему Σ(Q, Ε, W, z₀) називають безпечною, якщо вона має одразу три властивості: ss, * та ds.

Визначення. Система Σ(Q, Ε, W, z₀) має ss-властивість (*-властивість, ds-властивість), якщо кожна її реалізація має ss-властивість (*-властивість, ds-властивість).

Перевірка безпеки системи полягає в перевірці всіх її реалізацій, що є непро­стим завданням. Тому на практиці дотримуються інших умов безпеки системи, які сформульовано у базовій теоремі безпеки. Згідно з цією теоремою, властивість безпеки системи Σ(Q, Ε, W, z₀) для безпечного z₀ можна визначити, досліджуючи поведінку системи на множині дій системи W.

Позаяк класична модель Белла — ЛаПадула визначає загальний підхід до побудови систем із мандатною політикою безпеки, її широко застосовують і в теорії, і на практиці (під час створення систем безпеки). Проте модель Белла — ЛаПадула має низку недоліків. Вона, наприклад, не дає однозначного алгоритму дій системи розмежування доступу за запитами на доступ суб'єктів до об'єктів, тому, використовуючи модель Белла — ЛаПадула, потрібно коректно визначати властивості безпеки. Немає також однозначного алгоритму дій на той випадок, коли система переходить із одного стану в інший.

Модель цілісності Біба

На відміну від моделі конфіденційності Белла — ЛаПадула, модель безпеки Біба [56] застосовують для забезпечення мандатної політики цілісності. Контроль цілісності інформації — важливе завдання системи захисту інформації. Найвагомішу загрозу цілісності інформації (імовірність модифікації або знищення) ми же становити записування інформації вверх суб'єктом із нижчого рівня безпеки інформації. Інколи читання інформації суб'єктом із низьким рівнем безпеки з об'єкта, що має більш високий рівень, також може нести загрозу її цілісності.

Для уникнення цих загроз цілісності природно використовувати заборону

записування інформації вверх, а також заборону читання інформації знизу.

Методологічною основою моделі Біба є модель Белла — ЛаПадула за умови, що правила моделі Біба є інверсією правил моделі Белла — ЛаПадула. При цьому рівнями безпеки моделі Біба є рівні цілісності. Опис та аналіз моделі Біба наведе но у працях [16, 50].

Висновки

1. Теорія захисту інформації — природнича наука, яка має відповідні аксіома тику, понятійний та формальний апарати. Основним методологічним інструментом теорії захисту інформації є методи системного аналізу для вивчення систем і теорії прийняття рішень для синтезу систем захисту інформації. Усі положення теорії захисту інформації мають базуватися на доказовому підході та відповідати вимогам несуперечності, повноти і розв'язності.

2. Наразі в теорії захисту інформації використовують два підходи для аналізу та синтезу систем безпеки — формальний та неформальний (описовий).

3. Політика безпеки — це набір норм, правил і практичних прийомів, які регулюють керування цінною інформацією, її захист і розподіл. Наявність політики безпеки та її формального опису у вигляді моделі безпеки, за умови дотримання системою визначених правил та обмежень, дає змогу провести формальне доведення відповідності системи визначеному критерію безпеки.

4. Розглядають такі політики безпеки: дискреційну, мандатну, ролевого розмежування доступів, ізольованого програмного середовища, безпеки інформаційних потоків та інші.

5. Серед моделей безпеки найбільшого поширення набули моделі Харрісона Руззо — Ульмана, Take-Grant, Белла — ЛаПадула та інші.

Контрольні запитання та завдання

1. Дайте визначення поняття теорії захисту інформації.

2. Які основні види політик безпеки розглядають у теорії захисту інформації?

3. Яким вимогам мають відповідати положення теорії захисту інформації?

4. Які два підходи використовують у теорії захисту інформації для аналізу та синтезу систем безпеки? Охарактеризуйте їх.

5. Що таке математична модель безпеки?

6. Назвіть основні політики безпеки. У чому полягають їхні переваги та недоліки?

7. Які моделі безпеки здобули найбільшого поширення? Для вирішення яких завдань захисту їх використовують?

Частина II

Основні загрози безпеці інформації в інформаційно- комунікаційних системах

Розділ 5

Типові вразливості систем і аналіз причин їх появи

• Передумови виникнення вразливостей у комп'ютерних системах

• Класифікація вад захисту

• Класифікація помилок, що виникають під час програмної реалізації системи

• Помилки переповнення буфера

• Помилки оброблення текстових рядків

• Люки