- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
Выше рассматривались способы организации виртуального канала взаимодействия субъектов доступа. Рассмотрим методы управления ими. В Методы управления виртуальными каналами взаимодействия субъектов доступа могут быть классифицированы, как метод произвольного и принудительного управления, соответственно метод, комбинирующий данные подходы – метод произвольно-принудительного управления.
Определение. Под методом произвольного управления виртуальными каналами взаимодействия субъектов доступа понимается управление по усмотрению субъекта (владельца информации), при этом решение о предоставлении другому субъекту информации из объекта по виртуальному каналу принимается непосредственно субъектом, имеющим полный доступ к этой информации.
Определение. Под методом принудительного управления виртуальными каналами взаимодействия субъектов доступа понимается управление, реализуемое не по усмотрению субъекта (владельца информации), а на основании некоторой параметрической шкалы оценки субъектов и объектов доступа.
Метод произвольно-принудительного (комбинированного) управления виртуальными каналами взаимодействия субъектов доступа включает в себя элементы произвольного и принудительного управления доступом.
Таким образом, произвольное управление доступом реализуется в том случае, когда не может (либо не имеет смысла) быть введена какая-либо шкала оценки субъектов и объектов доступа, как следствие, каналы взаимодействия субъектов идентичны для всех субъектов доступа. Естественно, что в данных предположениях нецелесообразна какая-либо схема принудительного управления.
В соответствии с введенным ранее определением, каноническая модель управления доступом на основе произвольного управления виртуальными каналами взаимодействия субъектов доступа определяется канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) и описывается матрицей доступа D, имеющей следующий вид.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 Д Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Д Д Зп/Чт Д
Ok Д Д Д Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Д.
В данной модели каждому субъекту (группе субъектов) доступа предоставляется активный симплексный канал (чем и реализуются дуплексные каналы) взаимодействия со всеми остальными субъектами доступа (с субъектами других групп) с использованием операции «добавление».
Определение. Под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам, остальные элементы «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление».
Основу принудительного управления виртуальными каналами взаимодействия субъектов доступа составляет введение некоторой параметрической шкалы оценки субъектов и объектов доступа.
Введем следующие обозначения. Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} – соответственно линейно полномочно упорядоченные множества субъектов и объектов доступа, упорядоченные таким образом, что, чем меньше порядковый номер субъекта доступа, тем он обладает большими полномочиями по доступу к объектам, соответственно, чем меньше порядковый номер объекта доступа, тем большие полномочия необходимы для доступа к объекту. В качестве субъекта доступа Сi, i = 1,…,k рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа, соответственно, в качестве объекта доступа Оi, i = 1,…,k может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми к ним правами доступа.
Определение. При линейно полномочном упорядочивании множеств субъектов и объектов доступа С = {С1,…, Ск} и О = {О1,…, Оk} i-й субъект может иметь доступ к объектам с порядковым номером не меньше i-го (к объектам Oi,…,Ok), соответственно к i-му объекту могут иметь доступ субъекты с порядковым номером не больше i-го (субъекты O1,…,Oi с порядковым номером не меньше i-го (к объектам Oi,…,Ok),).
Утверждение. При полномочном управлении доступом недопустимым является передача информации (организация виртуального канала взаимодействия субъектов доступа) из объектов с более высокими полномочиями (меньшим порядковым номером) доступа к ним в объекты с меньшими полномочиями (большим порядковым номером) доступа к ним.
Утверждение доказывается от обратного. Если подобное взаимодействие допустимо, то априори отсутствует полномочное упорядочивание объектов, т.е. собственно нивелируется параметрическая шкала оценки субъектов и объектов доступа.
Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются активные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более низкие полномочия, с субъектами с более высокими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 0 Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 0 0 Зп/Чт Д
Ok 0 0 0 Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = 0, если i > j, соотвественно Dij = Д, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели применяется метод произвольного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.
Определение. Под канонической моделью управления доступом на основе метода произвольного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные выше главной диагонали, «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление» – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями.
Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами с более низкими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
С1 С2….Ck-1 Ck
O1 Зп/Чт 0 0 0
O2 Чт Зп/Чт 0 0
……………………….……..………………………………
D = .
.
Ok-1 Чт Чт Зп/Чт 0
Ok Чт Чт Чт Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт, если i > j, соотвественно Dij = 0, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной канонической модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели применяется метод принудительного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями.
Определение. Под канонической моделью управления доступом на основе метода принудительного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные ниже главной диагонали, «Чт» – задают пассивные симплексные каналы взаимодействия с использованием операции «чтение» – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями.
Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа.
Особенностью данной модели управления доступом является то, что в каноническую модель управления доступом добавляются дуплексные каналы взаимодействия субъектов доступа - активные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более низкие полномочия, с субъектами с более высокими полномочиями и пассивные симплексные каналы, обеспечивающие взаимодействия субъектов, имеющих более высокие полномочия, с субъектами с более низкими полномочиями.
Матрица доступа D, описывающая данную модель управления доступом, имеет следующий вид.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 Чт Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Чт Чт Зп/Чт Д
Ok Чт Чт Чт Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт, если i > j, соотвественно Dij = Д, если i < j, где i - порядковый номер объекта (номер строки в матрице доступа), j - порядковый номер субъекта (номер столбца в матрице доступа).
Для данной модели управления доступом характерно то, что для доступа к объекту с полномочиями i, субъект должен иметь полномочия не ниже, чем i, где i = 1,…,k (полномочия линейно упорядочены по возрастанию – чем меньше номер, тем выше полномочия). В данной модели соответственно применяется и метод произвольного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями, и метод принудительного управления виртуальными каналами взаимодействия субъектов доступа – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями (комбинация методов).
Определение. Под канонической моделью управления доступом на основе метода комбинированного управления виртуальными каналами взаимодействия субъектов доступа с взаимодействием субъектов для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам равных полномочий, элементы, расположенные выше главной диагонали, «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление» – субъекты с меньшими полномочиями могут «добавлять» информацию в объекты с большими полномочиями; элементы, расположенные ниже главной диагонали, «Чт» – задают пассивные симплексные каналы взаимодействия с использованием операции «чтение» – субъекты с большими полномочиями имеют принудительное для объектов с меньшими полномочиями право «читать» из них информацию в объекты с большими полномочиями.
Вывод.
1. В общем случае могут быть выделены методы произвольного и принудительного (полномочного – на основании имеющихся у пользователей полномочий) управления виртуальными каналами взаимодействия субъектов доступа. Под методом произвольного управления виртуальными каналами взаимодействия субъектов доступа понимается управление по усмотрению субъекта (владельца информации), при этом решение о предоставлении другому субъекту информации из объекта по виртуальному каналу принимается непосредственно субъектом, имеющим полный доступ к этой информации. Под методом принудительного управления виртуальными каналами взаимодействия субъектов доступа понимается управление, реализуемое не по усмотрению субъекта (владельца информации), а на основании некоторой параметрической шкалы оценки субъектов и объектов доступа (полномочий).