YourLib.net
Твоя библиотека
Главная arrow Информатика (Под общ. ред. А.Н. Данчула) arrow 6.2.1. Основные понятия
6.2.1. Основные понятия

6.2.1. Основные понятия

   Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.
   Очевидно, что абсолютно безопасных систем нет, и можно вести речь лишь о надежной системе, определяемой следующим образом. Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Основными факторами надежности являются политика безопасности и гарантированность.
   Политика безопасности, являясь активным компонентом защиты, включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, определяет законы, правила и нормы поведения, которыми пользуется конкретная организация при обработке, защите и распространении информации. Выбор конкретного механизма обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности.
   Гарантированность является мерой доверия, которое может быть оказано архитектуре и средствам реализации системы; она показывает, насколько корректно выбран механизм, обеспечивающий безопасность системы. В надежной системе должны регистрироваться все события, касающиеся безопасности (должен использоваться механизм подотчетности — протоколирования, дополняющийся анализом запомненной информации, т. е. аудитом). При оценке степени гарантированности, при которой систему можно считать надежной, центральное место занимает достоверная (доверенная) вычислительная база.
   Достоверная вычислительная база (ДВБ) представляет собой полную совокупность защитных механизмов компьютерной системы, которая используется для претворения в жизнь соответствующей политики безопасности. Надежность ДВБ зависит исключительно от ее реализации и корректности введенных данных (например, данные о благонадежности пользователей, определяющиеся администрацией). Граница ДВБ образует периметр безопасности. Так как сейчас широкое распространение получили распределенные системы обработки данных, то под периметром безопасности распределенной системы понимается граница владений определенной организации, в подчинении которой находится эта система. То, что находится внутри этой границы, считается надежным. Посредством шлюзовой системы, которая способна противостоять потенциально ненадежному, а может быть, даже враждебному окружению, осуществляется связь через эту границу.
   Контроль допустимости выполнения субъектами определенных операций над соответствующими объектами, т. е. функции мониторинга, осуществляется ДВБ. При каждом обращении пользователя к программам или данным монитор проверяет допустимость данного обращения (согласованность действия конкретного пользователя со списком разрешенных для него действий). Реализация монитора обращений называется ядром безопасности, на базе которого строятся все защитные механизмы системы. Ядро безопасности должно гарантировать собственную неизменность.
   Одним из основных факторов надежности политики безопасности является способ управления доступом. Доступ — это выполнение субъектом некоторой операции над объектом. Это может быть одна из множества операций, разрешенных для данного типа: чтение, открытие, запись набора данных, обращение к устройству и т. д.
   В настоящее время наиболее распространены следующие типы политики безопасности:
   —  избирательная политика безопасности (рис. 6.1), основанная на произвольном управлении доступом, при котором ограничивается доступ к объектам на основе учета личности субъекта или группы, в которую данный субъект входит; права доступа к объекту могут изменяться некоторым лицом (обычно владельцем объекта);
   —  полномочная политика безопасности, основанная на принудительном управлении доступом, при котором с субъектами и объектами ассоциируются метки безопасности. Метка критичности объекта отражает уровень важности информации в нем. Чем важнее объект или субъект, тем выше его метка (наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности). Метка субъекта — это уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.

Рис. 6.1. Избирательная (произвольная) политика безопасности 

Рис. 6.1. Избирательная (произвольная) политика безопасности

   Организация меток имеет иерархическую структуру. Метки с одинаковыми значениями относятся к одному уровню безопасности. Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности (может изменяться от некоторого минимального значения до значения уровня его прозрачности). Любую операцию над объектом субъект может выполнить только в том случае, если его уровень прозрачности не ниже метки критичности объекта:
   У (проз) ≥ ТУ(безоп) ≥ М(об)
   Для исследования свойств способа управления доступом создается его математическая модель (формальное описание), которая должна отображать:
   —  состояние всей системы;
   —  все переходы системы из одного состояния в другое;
   —  безопасные состояния и переходы системы в данном способе управления.
   Произвольное управление доступом, как гибкий способ, в большинстве случаев применяется в операционных системах и в базах данных. Основными недостатками являются: оторванность прав доступа отданных (появляется возможность копировать информацию); сложность централизованного контроля; рассредоточенность управления.
   Принудительный способ управления доступом, характеризующийся тем, что он не зависит от воли субъектов (даже администраторов), применяется в системах, отличающихся повышенными мерами безопасности. Этот способ позволяет:
   —  регулировать доступ субъектов системы к объектам с различным уровнем критичности;
   —  предотвращать утечки информации с верхних уровней должностной иерархии на нижние;
   —  блокировать возможное проникновение информации с нижних уровней безопасности на верхние.
   В реальной жизни сильные стороны этих способов управления доступом применяются совместно.
   Еще одним важным фактором надежности политики безопасности является гарантированность. Она разделяется на операционную и технологическую гарантированность.
   Операционная гарантированность отображает архитектурные и реализационные аспекты системы. Она включает в себя проверку следующих элементов:
   —  архитектура системы безопасности — это такие решения, как разделение команд по уровням привилегированности, защита взаимного влияния различных процессов (выделение из изолированных виртуальных пространств); деление аппаратных и системных функций по уровням привилегированности и контроль информационного обмена между ними; явное выделение ДВБ и ее компактность; минимизация привилегий; сегментация ресурсов (например, адресного пространства различных процессов);
   —  целостность системы — условия, при выполнении которых данные сохраняются для использования их по назначению: должна обеспечиваться надлежащая работа аппаратных и программных компонентов ДВБ и быть в наличии аппаратные и программные средства для периодической проверки системы на целостность;
   —  тайный канал передачи информации — это специальный канал передачи информации, не предназначенный для обычного использования (используется для обеспечения конфиденциальности информации, например тайным знаком может быть число пробелов между словами);
   — надежное администрирование—это выделение системного администратора, системного оператора и администратора безопасности;
   —  надежное восстановление после сбоев — реализация этого обязательного требования может быть связана с определенными техническими трудностями (например, сохранение в целостности информации и меток безопасности; на период восстановления система не должна оставаться беззащитной и т. д.).
   Технологическая гарантированность охватывает периоды проектирования, реализации, тестирования, продажи и сопровождения системы. Она включает тестирование, верификацию описания архитектуры, средства конфигурационного управления, надежное распределение и проверочные меры.
   Тестируются как защитные механизмы, так и пользовательские интерфейсы к ним. Тесты должны продемонстрировать действенность средств управления доступом, защищенность аутентификационной и зафиксированной информации и т. д.
   Верификация описания архитектуры состоит в формальном доказательстве соответствия архитектуры системы сформулированной политике безопасности.
   Средства конфигурационного управления защищают надежную систему в процессе проектирования, реализации и сопровождения. Они осуществляют идентификацию, протоколирование и анализ всех изменений, вносимых в ДВБ, а также управление процессом внесения изменений.
   Надежное распределение защищает систему в процессе ее передачи от поставщика клиенту (защита работает в пути, проверка служит для подтверждения, что система не подвергалась нелегальным изменениям).
   Повысить надежность системы защиты в рамках избирательной или полномочной политики можно применением управления информационными потоками. В его рамках определяются «легальные» (не ведущие к утечке) и «нелегальные» (ведущие к утечке) информационные потоки, а также правила управления ими. Для их изучения используется потоковая модель, которая описывает условия и свойства взаимного влияния (интерференции) субъектов и позволяет определить характер и значимость получаемой при этом конкретным субъектом информации.
   Как уже отмечалось ранее, одним из важнейших комплексов системы защиты информации является достоверная вычислительная база (ДВБ). Способность ДВБ корректно проводить единую политику безопасности зависит в первую очередь от механизма самой ДВБ, а также от корректного управления ею со стороны администрации системы. Функционирующий от имени ДВБ процесс считается достоверным: система защиты безоговорочно доверяет этому процессу и все его действия санкционированы политикой безопасности. Все программы и наборы данных ДВБ должны быть надежно защищены от несанкционированных изменений. ДВБ должна обеспечить защиту субъектов (процессов) и объектов системы (в оперативной памяти и на внешних носителях).
   В комплекс механизмов защиты входят компоненты, которые обеспечивают реализацию концепции монитора ссылок (ядро безопасности). При этом используются база данных защиты и системный журнал, являющийся составной частью монитора ссылок. В комплекс входят планировщик процессов, диспетчер памяти, программы обработки прерываний, примитивы ввода-вывода, системные наборы данных и другие программноаппаратные средства.
   Основные функции, выполняемые ядром безопасности совместно с другими службами операционной системы, можно разделить на следующие группы:
   1.  Функции, выполняемые при входе в систему, при обращении к наборам данных, устройствам и ресурсам, для подтверждения подлинности субъекта, законности его прав на данный объект или на определенные действия, а также для обеспечения работы субъекта в системе:
   —  идентификация — процесс анализа персональных, технических или организационных характеристик или кодов для получения (предоставления) доступа к компьютерным ресурсам;
   —  аутентификация — обычно осуществляется перед разрешением доступа и является проверкой идентификации пользователя, процесса, устройства или другого компонента системы; проверкой целостности данных при их хранении или передаче для предотвращения несанкционированной модификации;
   —  авторизация — предоставление субъекту прав на доступ к объекту (авторизированный, т. е. разрешенный, доступ имеет только тот субъект, чей идентификатор удовлетворяет результатам аутентификации).
   2.  Контроль входа в систему, т. е. фактически управление паролями.
   3.  Регистрация, протоколирование и аудит, выполнение которых обеспечивает:
   —  получение и анализ информации о состоянии ресурсов;
   —  регистрацию действий, признанных администрацией системы потенциально опасными для безопасности системы (системный журнал, средства протоколирования сеансов работы пользователей и др.);
   —  аудит на основе информации, содержащейся в системном журнале, с целью выявить средства и априорную информацию, использованные злоумышленником для нарушения, определения глубины нарушения, выбора метода его расследования и способов исправления ситуации.
   4.  Противодействие «сборке мусора». После завершения программы обработки данных связанная информация часто остается в памяти (мусор). Специальные программы и оборудование дают возможность их прочитать. Для защиты от «сборки мусора» используются специальные средства, входящие в ядро безопасности ОС или устанавливаемые дополнительно.
   5.  Контроль целостности субъектов как подмножества объектов системы. Так как субъект является активным компонентом системы, то в качестве его представителя выступает процесс. Под содержимым субъекта обычно понимают содержимое контекста процесса, куда входит содержимое общих и специальных регистров. Субъект также имеет ряд специфических атрибутов (приоритет, список привилегий, набор идентификаторов и т. д.). Защита целостности субъекта (предотвращение его несанкционированной модификации) — это защита целостности рабочей среды или области исполнения процесса, которая является логически защищенной подсистемой. Последней доступны все ресурсы системы, относящиеся к соответствующему процессу. Таким способом реализуется концепция защищенной области для отдельного процесса.
   6.  Контроль доступа, т. е. ограничение возможностей использования ресурсов системы программами, процессами или другими системами (в сети). Контроль осуществляется при доступе:
   —  к оперативной памяти;
   —  к разделенным устройствам прямого и последовательного доступа;
   —  к разделенным программам и подпрограммам;
   —  к разделенным наборам данных.
   Основными объектами контроля доступа являются совместно используемые наборы данных и ресурсы системы. По отношению к совместно используемым объектам выделяют следующие способы разделения субъектов:
   —  физический — субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.);
   —  временный — субъекты с различными правами доступа к конкретному объекту получают его в различные промежутки времени;
   —  логический — субъекты получают доступ к совместно используемому объекту под контролем средств разграничения доступа (последние в рамках единой операционной среды моделируют виртуальную операционную среду «один субъект — все объекты»); в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т. д.;
   —  криптографический — все объекты хранятся в системе в зашифрованном виде, и права доступа определяются наличием ключа для расшифровывания шифра объекта.
   Различная политика безопасности внедряется с соблюдением следующих общих принципов:
   1.  Группирование субъектов. Множество субъектов объединяется в одну группу с равными правами, которой присваивается единое имя. Группирование производится по различным признакам: одинаковый тип вычислений, работа над совместным проектом и т. д. Каждый субъект может входить в различные группы и, следовательно, иметь различные права по отношению к одному и тому же объекту. Образование групп и определение групповых привилегий производятся администратором безопасности или каким-либо лицом, несущим ответственность за сохранность групповых объектов.
   2.  Правила умолчания. Субъект, который создал данный объект, является его владельцем и по умолчанию получает на него все права, в том числе и передачи их кому-либо. В различных средствах защиты используются свои правила умолчания. При иерархической древовидной файловой структуре необходимо принимать во внимание имеющиеся правила умолчания для каталогов.
   3.  Минимум привилегий. Каждый пользователь (процесс) должен иметь минимальное число необходимых для работы привилегий.
   4.  Минимум информации. Каждый пользователь (процесс) должен иметь только ту информацию, которая необходима для работы. Полномочия пользователей определяются согласно их обязанностям.
   5.  Объединение критичной информации. Сбор, хранение и обработка наборов данных одного и того же уровня часто производятся в одном месте (узле сети, устройстве, каталоге). При этом целесообразно эти наборы данных объединять в единый массив информации и защищать их одним и тем же способом.
   6.  Иерархия привилегий. В большинстве систем контроль объектов осуществляется по иерархическому принципу. Схема контроля имеет вид дерева, в котором узлы — субъекты системы, ребра — право контроля привилегий согласно иерархии: корень — администратор системы, имеющий право изменять привилегии любого пользователя, листья — все пользователи системы. Достоинством такой структуры является возможность точного копирования схемы организации, для которой создана АИС.
   7.  Привилегии владельца. Каждому объекту соответствует единственный субъект с исключительным правом контроля объекта (владелец). Владелец может разрешать доступ любому другому субъекту, но не имеет права никому передать привилегию на корректировку защиты (это ограничение не касается администратора системы).
   8.  Свободная передача привилегий. Субъект, создавший объект, может передать любые права на него любому другому субъекту вместе с правом корректировки списка контроля доступа (СКД) этого объекта. Тот, в свою очередь, может передать все эти права другому субъекту.

 
< Пред.   След. >