3 Вероятностная модель оценки и управления рискамив локальных сетях с использованием функций чувствительности

3.1 Функциональная структура сетевой системы защиты

Функциональная структура системы защиты задает распределение реализуемых функций по отдельным функциональным подсистемам. Функциональная подсистема состоит из нескольких модулей, реализующих набор механизмов, необходимых для покрытия требований данной подсистемы.

Функциональный модуль определяется как структурный элемент, реализующий набор механизмов или используемый для организации взаимодействия между другими модулями в рамках решения всего комплекса задач. Структура сетевой системы защиты, основанная на реализации централизованно-распределенной архитектуры, представлена на рисунке 3.1. На нем указаны информационные и управляющие связи между модулями в пределах одной функциональной подсистемы, а также между отдельными функциональными подсистемами.

Можно видеть, что в общем случае могут быть выделены следующие типы функциональных подсистем:

– Подсистема защиты рабочих станций и информационных серверов (клиентская часть системы защиты). К этой же подсистеме отнесем функции регистрации событий.

– Подсистема удаленного контроля рабочих станций и информационных серверов.

– Подсистема удаленного управления механизмами защиты рабочих

станций и серверов.

Подсистема защиты рабочих станций и информационных серверов (клиентская часть системы защиты) является структурообразующим элементом, призванным решать собственно задачи защиты информации и содержащем в себе следующие основные функциональные модули:

Рисунок 3.1 – Функциональная структура системы защиты

а) Модули, реализующие механизмы защиты (каждый механизм защиты реализуется отдельным функциональным модулем):

1) модуль аутентификации;

2) модуль управления доступом;

3) модуль контроля целостности;

4) модуль противодействия ошибкам и закладкам в системном и функциональном программном обеспечении;

5) модуль очистки памяти и изоляции программных модулей и др. (в зависимости от реализуемых в системе механизмов защиты).

б) Модуль регистрации (аудита).

в) Модуль управления режимами, который решает задачи инициализации механизмов при доступе к защищаемым ресурсам.

3.2 Управление доступом к ресурсам лвс

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам – объектам [79,80]. В качестве субъектов в простейшем случае понимается пользователь. Однако это понятие может быть расширено.

На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.

Механизм управления доступом реализует на практике некоторую абстрактную (или формальную) модель [81,82,83], определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.

Модель Биба Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно этой модели все субъекты и объекты предварительно разделяются по нескольким уровням доступа. Затем на их взаимодействия накладываются следующие ограничения:

– субъект не может вызывать на исполнение субъекты с более низким

уровнем доступа;

– субъект не может модифицировать объекты с более высоким уровнем

доступа.

Дискреционная (матричная) модель. Рассмотрим матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике. В терминах матричной модели, состояние системы защиты описывается следующей тройкой:

(S, О, М),

где

S — множество субъектов, являющихся активными структурными элементами модели;

О — множество объектов доступа, являющихся пассивными защищаемыми элементами модели. Каждый объект однозначно идентифицируется с помощью имени объекта;

М—- матрица доступа. Значение элемента матрицы М [S, 0} определяет права доступа субъекта S к объекту О.

Права доступа регламентируют способы обращения субъекта S к различным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение (R), запись (W) и выполнение (Е).

Основу реализации управления доступом составляет анализ строки матрицы доступа при обращении субъекта к объекту. При этом проверяется строка матрицы, соответствующая объекту, и анализируется, есть ли в ней разрешенные прав доступа для субъекта или нет. На основе этого принимается решение о предоставлении доступа [84, 85, 86].

При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них — это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок.

Многоуровневые (мандатные) модели. С целью устранения недостатков матричных моделей были разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла-Падулы, а также решетчатая модель Д. Деннинг. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредством использования, так называемых, меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа.

Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) — признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта. Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, несекретно и т.п.

Основу реализации управления доступом составляют:

– Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.

– Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.

Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки (умышленного переноса). То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.

Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели.

С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования (настройки). Причем это касается как исходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа.

Дискреционная модель управления доступом. Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом. При этом к нему предъявляются следующие требования [87, 88]:

– Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

– Для каждой пары (субъект — объект) в средстве вычислительной техники (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

– Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

– Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

– Механизм, реализующий дискреционный принцип контроля доступа,

должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

– Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

– Должны быть предусмотрены средства управления, ограничивающие

распространения прав на доступ.

Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом. Требования к мандатному механизму состоят в следующем [1]:

– Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии (метки конфиденциальности). Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

– Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты) [89].

– Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

1) субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта. При этом иерархические категории в классификационном уровне субъекта должны включать в себя все иерархические категории в классификационном уровне объекта;

2) субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации. При этом все иерархические категории в классификационном уровне субъекта должны включаться в иерархические категории в классификационном уровне объекта.

– Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, т.е. средство, во-первых, осуществляющее перехват всех обращений субъектов к объектам, а во-вторых, разграничивающее доступ в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должны контролироваться не только единичный акт доступа, но и потоки информации.

При защите секретной информации используется и дискреционная, и мандатная модели управления доступом. При этом к основным требованиям добавляются следующие [90, 91]:

– Система защиты должна содержать механизм, претворяющий в жизнь дискреционные права разграничения доступа (ПРД), как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, недопустимого с точки зрения заданного ПРД). Под «явными» подразумеваются действия, осуществляемые с использованием системных средств — системных макрокоманд, инструкций языков высокого уровня и т.д. Под «скрытыми» — иные действия, в том числе с использованием злоумышленником собственных программ работы с устройствами.

– Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

Кроме того, отдельно сформулированы требования к управлению доступом к устройствам [92,93].

Защита ввода и вывода на отчуждаемый физический носитель информации:

– Система защиты должна различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) система защиты должна обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с «помеченным» каналом связи.

– Изменения в назначении и разметке устройств и каналов должны

осуществляться только под контролем системы защиты.

Сопоставление пользователя с устройством:

– Система защиты должна обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так для идентифицированных (при совпадении маркировки).

– Система защиты должна включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется с выделенным ему конкретным устройством.

Требования к механизмам управления доступом. С учетом сказанного можем сделать вывод о необходимости управления доступом для каждой пары «субъект — объект». Без этого не может быть обеспечена полнота разграничительной политики доступа к ресурсам защищаемого объекта. При этом должна быть реализована следующая совокупность механизмов [94, 95]:

– Механизм управления доступом пользователей (прикладных пользователей и администратора) к ресурсам.

– Механизм управления доступом процессов (прикладных и системных) к ресурсам.

– Механизм комбинированного доступа пользователя и процесса к ресурсам.

В качестве ресурсов, к которым должен разграничиваться доступ, должны выступать:

а) При автономном (не в составе сети) функционировании защищаемого объекта:

1) логические диски (тома), каталоги, файлы данных;

2) каталоги, не разделяемые ОС и приложениями (например, TEMP, «Корзина» и др.);

3) каталоги с исполняемыми файлами, исполняемые файлы (обеспечение замкнутости программной среды);

4)системный диск (где располагаются каталоги и файлы ОС);

5)объекты, хранящие настройки ОС, приложений, системы защиты (для ОС Windows — реестр ОС);

6) устройства;

7) отчуждаемые внешние накопители (дискеты, CD-ROM диски и т.д.).

б) При функционировании защищаемого объекта в составе ЛВС помимо вышеуказанных должны дополнительно рассматриваться следующие ресурсы:

1) разделяемые в сети файловые объекты;

2) разделяемые в сети устройства;

3) хосты;

4) сетевые информационные технологии (сетевые приложения и службы).

С учетом формализованных требований к системе защиты при реализации системы защиты конфиденциальной информации основу данных механизмов должен составлять дискреционный принцип разграничения прав доступа. При реализации системы защиты секретной информации основу данных механизмов должен составлять мандатный принцип разграничения прав доступа, а дискреционный принцип в этом случае реализуется в качестве дополнения к мандатному.

Рассмотрим классификацию угроз преодоления разграничительной политики доступа к ресурсам. Среди них можно выделить явные и скрытые угрозы. Явные угрозы связаны с некорректностью реализации как собственно механизма защиты, так и механизма его администрирования. Кроме того, явные угрозы могут быть связаны с неполнотой разграничений, реализуемых в системе, что позволяет пользователю без применения каких-либо вспомогательных средств осуществить НСД к ресурсам.

Скрытые угрозы наоборот предполагают для осуществления НСД применение пользователем своего программного обеспечения (и здесь невозможно предположить, каким образом, и с какой целью они реализуются), а также знаний об ошибках и потенциально возможных закладках в реализации механизмов управления доступом к ресурсам.

Классификация угроз преодоления разграничительной политики доступа к ресурсам в общем случае представлена на рисунке 3.2.

Рисунок 3.2 – Угрозы преодоления разграничительной политики доступа к ресурсам

Как и ранее, здесь могут быть выделены явные и скрытые угрозы. Явные угрозы связаны с некорректностью реализации как собственно механизма защиты, так и механизма его администрирования. Кроме того, явные угрозы могут быть связаны с неполнотой разграничений, реализуемых в системе, что позволяет пользователю без применения каких-либо вспомогательных средств осуществить НСД к ресурсам.

Скрытые угрозы наоборот предполагают для осуществления НСД применение пользователем своего программного обеспечения (и здесь невозможно предположить, каким образом, и с какой целью они реализуются), а также знаний об ошибках и потенциально возможных закладках в реализации механизмов управления доступом к ресурсам.