- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
Особое место среди файловых объектов занимают исполняемые файлы (программы), к которым также может разграничиваться доступ субъектов – пользователей и процессов.
Управление доступом к исполняемым файлам реализует разграничение прав доступа субъектов на запуск прикладных программ.
Для разграничения доступа субъектов к исполняемым файлам введем право доступа “И” – “исполнение” (запуск программы), тогда множество прав доступа в общем случае имеет вид {Зп/Чт, Чт, Д, И}.
Используя обозначения, введенные ранее, введем следующее обозначение – пусть S = {0,И} – множество прав доступа, где «0» обозначает отсутствие доступа субъекта к объекту, «И» – доступ к исполняемому файлу (разрешение чтения исполняемого файла). Тогда, по аналогии со сказанным ранее, каноническую модель управления доступом к исполняемым файлам можно представить матрицей доступа D, имеющей следующий вид:
С1 С2….Ck-1 Ck
O1 И 0 0 0
O2 0 И 0 0
……………………….……..………………………………
D = .
.
Ok-1 0 0 И 0
Ok 0 0 0 И
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = И, если i = j, иначе Dij = 0.
Определение. Под канонической моделью управления доступом к исполняемым файлам для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «И» – задают доступ к исполняемому файлу (разрешение на запуск программы), остальные элементы «0» – задают запрет доступа субъектов к исполняемым файлам.
Утверждение. Диспетчер доступа реализует механизм управления доступом к исполняемым файлам корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.
Доказывается утверждение от обратного. Если каноническую модель управления доступом реализовать невозможно – присутствуют элементы «И» вне главной диагонали матрицы доступа, то в системе присутствует, по крайней мере, один объект - программа, доступ к запуску которой невозможно разграничить в полном объеме (объект включается одновременно в несколько групп объектов, априори характеризуемых различными правами доступа к ним).
По аналогии со сказанным ранее, в рассматриваемом случае в каноническую модель управления доступом также должны быть включены каналы взаимодействия субъектов доступа (в противном случае, субъекты, имеющие возможность обрабатывать информацию только различными приложениями, не смогут обменяться информацией).
Определение. Включение в матрицу доступа канала взаимодействия субъектов доступа к исполняемым файлам означает разрешение доступа на запуск субъектам, для которых организуется канал взаимодействия, одного и то же приложения.
В матрице доступа D это означает включение группы (групп) объектов, для которых несколько субъектов будут иметь доступ, пример такой матрицы, которой введена группа объектов (программ) Ok+1, доступ к которым (запуск которых) разрешен всем субъектам, приведен ниже.
С1 С2….Ck-1 Ck
O1 И 0 0 0
O2 0 И 0 0
……………………….……..………………………………
D = .
.
Ok-1 0 0 И 0
Ok 0 0 0 И
Ok+1 И И И И
Аналогично тому, как и для управления доступом к файлам данных, здесь может быть реализован дискреционный и мандатный механизмы управления доступом. Дискреционный механизм предполагает реализацию доступа диспетчером на основе заданной мартицы доступа D, мандатный – на основе меток безопасности.
Основой мандатного механизма управления доступом к исполняемым файлам является включение в схему управления доступом, меток безопасности (иерархических). Основой задания иерархической метки объектам (исполняемым файлам) является уровень безопасности, обеспечиваемый при обработке данных приложением (определяется встроенными в приложение механизмами защиты), соответственно, субъекта – уровень допуска субъекта к информации. При этом разграничение прав доступа в диспетчере задается не матрицей доступа, а правилами обработки меток, на основании которых диспетчер принимает решение о предоставлении запрашиваемого доступа к ресурсу, в качестве же учетной информации субъекта и объекта доступа появляется элемент – метка безопасности.
Метки безопасности являются элементами линейно упорядоченного множества M = {M1,…, Mk} и задаются субъектам и объектам доступа. Метки безопасности назначаются субъектам и объектам (группам субъектов и объектов), служат для формализованного представления их уровня полномочий. Как и ранее, будем считать, что чем выше полномочия субъекта и объекта – уровень защиты информации, обеспечиваемый приложением (меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов - С = {С1,…, Ск} и О = {О1,…, Оk}), тем меньшее значение метки безопасности Mi, i = 1, …, k им присваивается, т.е.: M1 < M2 < M3<…<Mk.
Таким образом, в качестве учетной информации субъектов и объектов доступа, кроме их идентификаторов – имен, в диспетчере доступа каждому субъекту и объекту задаются метки безопасности из множества M.
Разграничение доступа диспетчером реализуется на основе правил, определяющих отношение линейного порядка на множестве M, где для любой пары элементов из множества M, задается один из типов отношения : {>,<,=} (на практике реализуется выбор подмножества M, изоморфного конечному подмножеству натуральных чисел – такой выбор делает естественным арифметическое сравнение меток безопасности).
При назначении меток безопасности объектам доступа в данном случае должно выполняться следующее условие – уровень защиты информации, реализуемый приложением (исполняемым файлом) должен быть не ниже, чем требуется для обработки информации, доступ к которой разрешен субъекту.
Каноническая полномочная модель управления доступом к исполняемым файлам может быть представлена следующей матрицей доступа D.
С1 С2….Ck-1 Ck
O1 И И И И
O2 0 И И И
……………………….……..………………………………
D = .
.
Ok-1 0 0 И И
Ok 0 0 0 И
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = И, если i <= j, иначе Dij = 0.
Определение. Под канонической моделью управления доступом к исполняемым файлам с виртуальными каналами взаимодействия субъектов доступа для линейно полномочно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой и, элементы, расположенные выше главной диагонали, «И» – задают право доступа «Исполнение», остальные элементы матрицы «0» – запрет запуска исполняемого файла.
Рассмотрим правила разграничения доступа для модели управления доступом к исполняемым файлам. При этом воспользуемся введенными ранее обозначениями:
Ms – метка безопасности субъекта (группы субъектов) доступа;
Mo – метка безопасности объекта (группы объектов) доступа;
Метка безопасности с порядковым номером i – Mi устанавливается для субъекта доступа с порядковым номером i – Ci и для объекта доступа с порядковым номером i – Oi.
Правила разграничения доступа для модели управления доступом к исполняемым файлам:
Субъект С имеет доступ к объекту О в режиме “Исполнение” в случае, если выполняется условие: Mc => Mo.
Субъект С не имеет доступ к объекту О в режиме “Исполнение” в случае, если выполняется условие: Mc < Mo.
Выводы:
1. В схеме управления доступом в качестве отдельного объекта доступа следует рассматривать исполняемый файл (процесс). В этом случае должно рассматриваться дополнительное право доступа “исполнение”. Использование данного объекта позволяет разграничивать права доступа для субъектов (в общем случае для пользователей и процессов) по запуску процессов.
2. Условие корректности разграничений для объекта доступа исполняемый файл задаются точно также (аналогичные канонические модели), как и для файловых объектов данных, с учетом права доступа “исполнение”.