- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
3. Задача управления доступом решена корректно в том случае, если диспетчером доступа реализуется одна из рассмотренных канонических моделей (для полномочных моделей в предположении, что при полномочном управлении корректно задана параметрическая шкала оценки субъектов и объектов доступа).
3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
Итак, выше нами были определены канонические модели управления доступом, канонические в том смысле, что обеспечивают корректное решение задачи управления доступом и имеют общий вид для соответствующих условий решения задачи.
Показано, что отличие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им.
Здесь рассмотрим возможные способы реализации моделей диспетчером доступа, определим механизмы, реализуемые диспетчером доступа – правила разграничения доступа, реализуемые диспетчером, и используемую диспетчером учетную информацию субъектов и объектов доступа.
Замечание. Очевидно, что при реализации различными механизмами одной и той же модели управления доступом данные механизмы идентичны (так как именно видом реализуемой модели характеризуются реализуемые принципы разграничения доступа к ресурсу, а не механизмами реализации моделей диспетчером доступа), их отличие состоит лишь в способе задания и обработки учетной информации субъектов и объектов доступа. Механизм управления доступом, реализуемый диспетчером доступа, это лишь способ обработки запросов доступа в соответствии с реализуемой моделью управления доступом.
На сегодняшний день широко используются понятия дискреционного и мандатного механизмов управления доступом. Дадим этим механизмам свои (не противоречащие известным) определения, с учетом сказанного ранее.
Определение. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D.
Таким образом, дискреционный механизм управления доступом предполагает задание в качестве учетной информации субъектов и объектов их идентификаторов (например, имя пользователя и имя файлового объекта), в качестве правил разграничения доступа – матрицы доступа D. При запросе доступа, поступающего в диспетчер доступа от субъекта, см. рис.2.16, диспетчер из запроса получает идентификаторы субъекта и объекта, затем находит элемент матрицы доступа на основе учетных данных субъекта и объекта, осуществляет управление запросом доступа на основании выбранного элемента матрицы доступа.
С учетом того, что при управлении доступом диспетчером анализируется собственно матрица доступа, дискреционный механизм управления доступом является универсальным в части того, что им может быть реализована любая (из рассмотренных выше) модель управления доступом, в том числе и полномочного управления.
Замечание. Ранее были представлены канонические модели управления доступом, задающие корректные разграничения в общем случае. Общность определяется тем, что однотипный канал взаимодействия субъектов доступа создается одновременно для всех субъектов. В частном случае подобный канал может устанавливаться не для всех субъектов, при этом в разграничение диспетчером доступа должно осуществляться на основе частной матрицы доступа, получаемой из соответствующей канонической матрицы запрещением каналов взаимодействия. Пример частной матрицы доступа для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексным каналов представлен ниже.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д 0 Д
O2 Д Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Д Д Зп/Чт Д
Ok 0 0 Д Зп/Чт
В отличие от дискреционного механизма управления доступом, с применением которого может быть реализована любая модель управления доступом (посредством задания правил разграничения доступа в диспетчере матрицей доступа), мандатный механизм реализует полномочные модели управления доступом. Основой мандатного механизма является включение в схему управления доступом, так называемых, меток безопасности (иерархических, так как в системе реализуется иерархия полномочий), отображающих полномочия субъектов и объектов, при этом разграничение прав доступа в диспетчере уже может задаваться не матрицей доступа, а правилами обработки меток, на основании которых диспетчер принимает решение о предоставлении запрашиваемого доступа к ресурсу, в качестве же учетной информации субъекта и объекта доступа появляется элемент – метка безопасности.
Метки безопасности являются элементами линейно упорядоченного множества M = {M1,…, Mk} и задаются субъектам и объектам доступа. Метки безопасности назначаются субъектам и объектам (группам субъектов и объектов), служат для формализованного представления их уровня полномочий. Будем считать, что чем выше полномочия субъекта и объекта (меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}), тем меньшее значение метки безопасности Mi, i = 1, …, k им присваивается, т.е.: M1 < M2 < M3<…<Mk.
Таким образом, в качестве учетной информации субъектов и объектов доступа, кроме их идентификаторов – имен, в диспетчере доступа каждому субъекту и объекту задаются метки безопасности из множества M.
Разграничение доступа диспетчером реализуется на основе правил, определяющих отношение линейного порядка на множестве M, где для любой пары элементов из множества M, задается один из типов отношения : {>,<,=} (на практике реализуется выбор подмножества M, изоморфного конечному подмножеству натуральных чисел – такой выбор делает естественным арифметическое сравнение меток безопасности).
Рассмотрим правила разграничения доступа для различных полномочных моделей управления доступом. При этом введем следующие обозначения:
Ms – метка безопасности субъекта (группы субъектов) доступа;
Mo – метка безопасности объекта (группы объектов) доступа;
Метка безопасности с порядковым номером i – Mi устанавливается для субъекта доступа с порядковым номером i – Ci и для объекта доступа с порядковым номером i – Oi.
Полномочная модель управления доступом с произвольным управлением виртуальными каналами взаимодействия субъектов доступа.
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Добавления” в случае, если выполняется условие: Mc > Mo.
Полномочная модель управления доступом с принудительным управлением виртуальными каналами взаимодействия субъектов доступа.
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mo.
2. Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
Полномочная модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа.
Субъект С имеет доступ к объекту О в режиме “Чтения” в случае, если выполняется условие: Mc <, = Mo.
Субъект С имеет доступ к объекту О в режиме “Записи” в случае, если выполняется условие: Mc = Mo.
Субъект С имеет доступ к объекту О в режиме “Добавления” в случае, если выполняется условие: Mc > Mo.
Замечание. Данная модель, при определенных допущениях, представляет собою модель Белла-Лападулы.
Дадим мандатному механизму управления доступом определение, с учетом сказанного ранее.
Определение. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении диспетчером в соответствии с заданными правилами меток безопасности субъектов и объектов доступа.
На практике для дискреционного механизма управления доступом, как правило, используется модель произвольного управления виртуальными каналами взаимодействия субъектов доступа (хотя может быть и принудительным – все зависит от реализуемой матрицы доступа – в этом случае мандатный и дискреционный механизмы различаются только способом задания разграничительной политики в диспетчере доступа и обработки запросов на доступ). Основой же мандатного механизма является реализация принудительного управления виртуальными каналами взаимодействия субъектов доступа, при этом основным требованием к принудительному управлению является обеспечение невозможности перенесения информации из объекта более высокого уровня конфиденциальности в объект с информацией более низкого уровня конфиденциальности. Поэтому к механизмам (прежде всего, к мандатному) управления доступом, реализующим принудительное управление виртуальными каналами взаимодействия субъектов доступа, накладываются дополнительные ограничения к корректности реализации.
Утверждение. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискреционного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.
Доказательство данного утверждения очевидно - нетрудно показать, что представленные правила, реализуют разграничения доступа полностью адекватные соответствующим каноническим матрицам доступа D, отображающим полномочные модели управления доступом, в случае, если всем субъектам из множества С и объектам из множества О сопоставлены метки безопасности (несопоставление метки безопасности какому-либо субъекту или объекту означает вычеркивание соответствующей строки или столбца из матрицы доступа D). Т.е. если существует объект, который не включен в схему мандатного управления доступом, то этот объект может являться средством несанкционированного взаимодействия пользователей, имеющих различные метки безопасности.
Следствие. Метки безопасности должны устанавливаться на все объекты файловой системы (логические диски (тома), каталоги, подкаталоги, файлы), а также на все иные объекты доступа - на устройства ввода/вывода и отчуждаемые носители информации, виртуальные каналы связи и т.д. – речь о требованиях к полноте разграничительной политики доступа к ресурсам пойдет ниже.
Утверждение. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процессов) различных пользователей (кстати говоря, данное требование является формализованным требованием при использовании в системе защиты мандатного механизма управления доступом). То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными каналами взаимодействия субъектов доступа.
Доказательство данного утверждения состоит в необходимости противодействовать скрытым каналам взаимодействия субъектов доступа. Если под явным каналом понимается объект, доступ к которому может быть разграничен, то под скрытым - любые иные возможности взаимодействия субъектов доступа, которые в этом случае должны исключаться, например, передача информации между субъектами доступа через буфер обмена и т.д. Очевидно, что если существует возможность передачи информации между процессами, запускаемыми с правами пользователей, которым назначены различные метки безопасности, реализуется возможность переноса информации из объекта более высокого уровня конфиденциальности в объект более низкого уровня конфиденциальности.
Замечание. Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. Для ОС семейства Windows одновременно запускаются процессы двух пользователей – текущего прикладного пользователя и собственно системы (системные процессы). Однако, так как системные процессы не имеют средств управления пользователем, то выполнение рассматриваемого требования для ОС семейства Windows становится не актуальным.
Отметим, что мандатный механизм управления доступом может применяться лишь для реализации канонических матриц доступа. Для реализации частных матриц доступа (для задания разграничений для субъектов доступа, соответственно для объектов доступа, обладающих одинаковой меткой безопасности) мандатный механизм должен функционировать в диспетчере наряду с дискреционным механизмом (дискреционный механизм здесь служит для разграничения прав доступа пользователей, обладающих одинаковой меткой безопасности). Проиллюстрируем сказанное простым примером. Рассмотрим частную матрицу представленную ниже.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 Чт Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Чт Чт Зп/Чт Д
Ok 0 Чт Чт Зп/Чт
Чтобы реализовать данную матрицу доступа в дополнение к мандатному механизму управления доступом, реализующему каноническую полномочную модель управления доступом с комбинированным управлением виртуальными каналами взаимодействия субъектов доступа, следует запретить дискреционным механизмом управления доступа чтение субъектом С1 объекта Ok (закрыть соответствующий пассивный симплексный канал взаимодействия субъектов доступа Ck C1.
Таким образом, обобщая сказанное, отметим, что мандатный механизм управления доступом можно рассматривать как альтернативный дискреционному механизму способ реализации полномочных моделей управления доступом (с точки зрения реализуемых возможностей управления доступом данные механизмы адекватны, при условии реализации одной и той же матрицы доступа). Преимуществом данного механизма является интуитивная понятность, как следствие простота настройки диспетчера доступа в предположении, что интуитивно понятен механизм включения шкалы полномочий, соответственно назначения меток безопасности (не требуется задания в диспетчере доступа матрицы доступа как таковой, достаточно задать правила доступа, соответствующие реализуемой полномочной модели управления доступа, и метки безопасности). Недостатком механизма является необходимость в общем случае (реализуется не каноническая модель управления доступом), наряду с мандатным механизмом использовать дискреционный механизм управления доступом, т.е. реализация диспетчера доступа усложняется и остается необходимость в том или ином виде задания матрицы доступа.
Наиболее широко используемым на сегодняшний день (ввиду максимальной интуитивной понятности) механизмом задания меток безопасности является задание меток на основе уровня конфиденциальности информации и уровня прав доступа (допуска) пользователя к конфиденциальной информации – в данном приложении метки безопасности принято называть метками конфиденциальности. В основе иерархической классификации информации находится достаточно хорошо формализованное ее категорирование, определяемое отнесением информации к соответствующему уровню конфиденциальности на основании соответствующих нормативных документов и распоряжений – «открытая», «служебная», «конфиденциальная», «строго конфиденциальная», «секретная», «совершенно секретная» и т.д. Соответственно и пользователь для обработки соответствующей информации должен обладать соответствующей формой допуска к информации. Формализованное категорирование информации и категорирование формы допуска пользователей к информации без труда позволяет задать метки конфиденциальности, что существенно может упрощать задание канонической матрицы при настройке диспетчера доступа.
Также на практике находит применение задание неиерархических меток (это можно рассматривать как вырожденный случай мандатного управления). На самом деле, при этом реализуется дискреционный механизм, метки же служат для незначительного упрощения настройки механизма управления доступом. Идея назначение неиерархических меток заключается в следующем. По функциональному назначению разделяется обрабатываемая информация, например, бухгалтерская, персональные данные и т.д. По числу обрабатыавемых типов информации вводятся метки Mi. Далее однотипная метка присваивается типу информации и пользователю (группе пользователей), которые имеют право обработки данной информации. Назначение однотипной метки предполагает полный доступ пользователя к информации, несовпадение меток – запрет доступа.
Таким образом, правило управление доступом при задании разграничений неиерархическими метками задается следующим образом:
Субъект С имеет полный доступ к объекту О в случае, если выполняется условие: Mc = Mo.
Субъект С не имеет доступа к объекту О в противном случае.
Далее, говоря о мандатном механизме управления доступом, будем предполагать, что используются иерархические метки безопасности.
Замечание. Выше было показано, что все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны упрощающие администрирование диспетчера доступа (за счет включения меток безопасности), с другой стороны, ограничивающие возможные ошибки в администрировании, за счет реализации механизмом управления доступом требования – любой субъект и объект доступа, которому не присвоена метка безопасности автоматически исключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/ доступ к непомеченному объекту – невозможны). При этом одно из основных требований мандатного механизма управления доступом – управление потоками, может быть реализовано только в рамках канонической модели – разграничение диспетчером доступа должно осуществляться для всех субъектов ко всем объектам доступа на защищаемом объекте.
Выводы.
1. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении диспетчером в соответствии с заданными правилами меток безопасности субъектов и объектов доступа, причем мандатный механизм управления доступом корректно может реализовывать лишь канонические матрицы доступа. Для реализации частных матриц доступа на основе мандатных разграничений данный механизм должен функционировать в диспетчере наряду с дискреционным механизмом.
2. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискреционного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.
3. Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процессов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными каналами взаимодействия субъектов доступа.
4. Так как все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны упрощающие администрирование диспетчера доступа (за счет включения меток безопасности), с другой стороны, ограничивающие возможные ошибки в администрировании, за счет реализации механизмом управления доступом требования – любой субъект и объект доступа, которому не присвоена метка безопасности автоматически исключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/доступ к непомеченному объекту – невозможны). При этом одно из основных требований мандатного механизма управления доступом – управление потоками, может быть реализовано только в рамках канонической модели – разграничение диспетчером доступа должно осуществляться для всех субъектов ко всем объектам доступа на защищаемом объекте.
5. В общем случае, говоря о требованиях к реализации управления доступом к ресурсам, следует иметь в виду требования к реализуемым моделям и матрицам доступа.