- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
Рассмотренная выше каноническая модель управления доступом характеризуется полным разграничением доступа субъектов к объектам, при котором субъекты не имеют каналов взаимодействия – каналов обмена информацией. Если в системе может находиться несколько субъектов (например, пользователей), то появляется задача предоставления субъектам возможности обмена информацией.
Введем несколько определений.
Определение. Под каналом взаимодействия субъектов доступа понимается реализуемая диспетчером доступа возможность обмена субъектами доступа информацией в рамках канонической модели управления доступом.
Определение. Под симплексным каналом взаимодействия субъектов доступа понимается канал, обеспечивающий возможность одностороннего обмена субъектами доступа информацией, будем обозначать Сi Cj (информация может передаваться в одну сторону – от субъекта Сi к субъекту Cj).
Определение. Под дуплексным каналом взаимодействия субъектов доступа понимается канал, обеспечивающий возможность двухстороннего обмена субъектами доступа информацией, будем обозначать Сi Cj .
Замечание. Дуплексный канал взаимодействия субъектов доступа представляет собою два встречно-направленных симплексных канала.
О пределение. Под активным симплексным каналом взаимодействия субъектов доступа Сi Cj понимается канал взаимодействия, в котором активным является отправитель информации (отправитель, в данном случае субъект Сi выдает информацию получателю). Активный симплексный канал взаимодействия субъектов доступа может быть реализован с использованием операций «запись», «модификация» или «добавление». Операция «модификация» отличается от операции «запись» тем, что в отличие от операции «запись» не позволяет читать объект, перед занесенем в него информации. Операция «добавление» отличается от операций «запись» и «модификация» тем, что ее выполнение не позволяет ни читать, ни модифицировать информацию, располагаемую в объекте, в который добавляется информация по каналу взаимодействия - данная операция позволяет лишь добавить информацию, предотвращая возможность изменить существующую в объекте информацию.
О пределение. Под пассивным симплексным каналом взаимодействия субъектов доступа Сi Cj понимается канал взаимодействия, в котором активным является получатель информации (получатель, в данном случае субъект Сj) забирает информацию у отправителя. Пассивный симплексный канал взаимодействия субъектов доступа реализуется с использованием операции «чтение».
Модели управления доступом с взаимодействием субъектов.
Отметим, что в задачу управления доступом в общем случае (защита от НСД) входит не только защита данных субъектов (в данном случае пользователей) от несанкционированного их прочтения другими субъектами, но и защита данных субъектов от возможности их искажения другими субъектами. Этим, кстати говоря, защита данных средствами защиты от НСД принципиально отличается от защиты данных (управления доступом) с использованием средств криптографической защиты.
Для иллюстрации сказанного, рассмотрим каноническую матрицу доступа D, реализуемую с использованием средств криптографической защиты.
С1 С2….Ck-1 Ck
O1 Зп/Чт Зп Зп Зп
O2 Зп Зп/Чт Зп Зп
……………………….……..………………………………
D = .
.
Ok-1 Зп Зп Зп/Чт Зп
Ok Зп Зп Зп Зп/Чт
где элемент «Зп» обозначает разрешение доступа с использованием операции «запись» (прочитать информацию пользователь может, но не имеет возможности ее преобразовать к читаемому виду, т.к. информация зашифрована), «Зп/Чт» – соответственно операции «запись» и «чтение».
С учетом введенных выше понятий и определений данную матрицу доступа можно охарактеризовать, как каноническую матрицу доступа, расширенную дуплексными каналами взаимодействия между собою всех субъектов, реализованных на основе активных симплексных каналов взаимодействия субъектов доступа с использованием операции «запись». Другими словами, это частный случай управления доступом, не обеспечивающий защиту данных от их несанкционированной модификации (удаления).
Модель управления доступом с взаимодействием субъектов доступа посредством выделеного канала.
Особенностью данной модели является включение в систему дополнительного объекта (группы объектов) доступа, используемого субъектами доступа в качестве выделенного канала взаимодействия. Отметим, что в качестве канала взаимодействия здесь должны использоваться дуплексные каналы, причем в обе стороны взаимодействия должны быть реализованы как активный, так и пассивный симплексных каналы.
Ниже представлена каноническая матрица доступа D с выделенным каналом взаимодействия субъектов доступа (соответствественно с организацией активного симплексного канала операцией “запись” и “чтение” – полный доступ). Для организации выделенного канала взаимодействия в систему включен объект доступа Ok+1.
С1 С2….Ck-1 Ck
O1 Зп/Чт 0 0 0
O2 0 Зп/Чт 0 0
……………………….……..………………………………
D = .
.
Ok-1 0 0 Зп/Чт 0
Ok 0 0 0 Зп/Чт
Ok+1 Зп/Чт Зп/Чт Зп/Чт Зп/Чт
Недостатком данной модели, ограничивающим возможность ее практического использования, является доступность информации, находящейся в канале взаимодействия, одновременно всем субъектам доступа. Данный недостаток может частично преодолеваться созданием группы каналов взаимодействия (включением группы дополнительных объектов доступа) с соответствующим разграничением к ним доступа субъектов. Однако это приводит к неэффективному использованию ресурсов защищаемого объекта.
Модели управления доступом с взаимодействием субъектов доступа посредством виртуальных каналов.
Определение. Под виртуальным каналом взаимодействия субъектов доступа будем понимать канал взаимодействия, реализованный с использованием существующих объектов доступа (без включения в систему дополнительных объектов).
Естественно, что в соответствии с классификацией каналов взаимодействия субъектов доступа виртуальные каналы для рассматриваемых моделей должны быть дуплексными и должны строиться на основе реализации пассивного симплексного канала, либо активного симплексного канала, реализованного с использованием операции “добавления” (использование операции “запись” здесь недопустимо в части необходимости защиты информации субъектов от возможности ее модификации).
Замечание. Для организации канала взаимодействия субъектов доступа целесообразно рассматривать следующее множество прав доступа, используемое для реализации канала взаимодействия субъектов доступа {Чт, Д}, где элемент «Д» обозначает добавление – это возможность пользователя добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации. Право доступа «Зп/Чт» обозначает право пользователя на чтение и запись информации.
Замечание. Право доступа «добавление» может быть реализовано с использованием права доступа «запись» при реализации соответствующих настроек (в предположении, что право «запись» может устанавливаться на все иерархические объекты – логический диск, каталог, файл). Например, если в качестве виртуального канала взаимодействия субъектов доступа использовать каталог, то всем пользователям следует разрешить в этот каталог записывать данные, но всем прользователям, кроме одного – владельца данных в каталоге, необходимо запретить «запись» в уже существующие в каталоге объекты (подкаталоги и файлы).
Замечание. При описании моделей нами будут рассматриваться только основные типы запросов доступа (общий их список может быть существенно расширен, например, моделью Белла-Лападулы рассматриваются 11 типов запросов), т.к. интерпретация моделей для остальных типов запросов доступа достаточна очевидна.
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе пассивных симплексных каналов.
С1 С2….Ck-1 Ck
O1 Зп/Чт Чт Чт Чт
O2 Чт Зп/Чт Чт Чт
……………………….……..………………………………
D = .
.
Ok-1 Чт Чт Зп/Чт Чт
Ok Чт Чт Чт Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Чт.
К недостаткам данной модели можно отнести то, что она предотвращает лишь возможность несанкционированной модификации информации объектов, при этом, не разграничивая субъектам доступа к объектам «по чтению». Очевидно, что в таком виде виртуальный канал взаимодействия субъектов не применим (может использоваться лишь при введении дополнительных разграничений, либо условий, для канала взаимодействия субъектов доступа).
Модель управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
Рассмотрим матрицу доступа D для модели управления доступом с дуплексными виртуальными каналами взаимодействия на основе активных симплексных каналов.
С1 С2….Ck-1 Ck
O1 Зп/Чт Д Д Д
O2 Д Зп/Чт Д Д
……………………….……..………………………………
D = .
.
Ok-1 Д Д Зп/Чт Д
Ok Д Д Д Зп/Чт
Модель управления доступом формально может быть описана следующим образом - элемент (Dij) матрицы Dij = Зп/Чт, если i = j, иначе Dij = Д.
Данная модель практически лишена недостатков, присущих ранее рассмотренным моделям. Здесь в полном объеме реализуется каноническая модель управления доступом, при этом обеспечивается возможность полноценного корректного взаимодействия субъектов доступа (каждый субъект доступа может взаимодействовать со всеми другими субъектами доступа системы без снижения уровня защищенности от НСД).
Будем называть данную модель, наиболее приемлемую для использования в рассматриваемых приложениях, канонической моделью управления доступом с взаимодействием субъектов.
Определение. Под канонической моделью управления доступом с взаимодействием субъектов для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» – задают полный доступ субъектов к объектам, остальные элементы «Д» – задают активные симплексные каналы взаимодействия с использованием операции «добавление».
Выводы:
1. Модели управления доступом различаются реализуемым в них каналом (каналами) взаимодействия субъектов доступа, при этом канал взаимодействия может быть выделенным, либо виртуальным; пассивным, либо активным; симплексным, либо дуплексным.
2. Для корректной реализации канала взаимодействия субъектов доступа в общем случае следует рассматривать не право доступа “Зп” – “запись”, а право доступа “Д” - “добавление”, где «Д» предоставляет возможность пользователю добавить информацию в объект без возможности чтения объекта и без возможности модификации существующей в объекте информации при добавлении новой информации.