А. Артемов - Информационная безопасность. Курс лекций
4 Требования по защите от НСД в различных приложениях могут существенно варьироваться, однако они всегда направлены на достижение (в определенном сочетании) трех основных свойств защищаемой информации:
– конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
– целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и защищенной от возможных непреднамеренных и злоумышленных искажений);
– готовность (информация и соответствующие автоматизированные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость).
На практике существует весьма широкий спектр различных подходов и методов реализации программных и аппаратных средств разграничения доступа (СРД), в том числе с применением криптографии.
Однако для всех СТД присуши некоторые общие черты и единообразные базисные компоненты, такие, как диспетчер доступа, модель зашиты и блок аутентификации.
Реализуемый в виде совокупности программно-аппаратных механизмов, диспетчер доступа обеспечивает необходимую дисциплину разграничения доступа субъектов (активных элементов вычислительного процесса: пользователей, процессов, процедур и т. п.) к объектам (пассивным информационным элементам и контейнерам данных: файлам, томам данных, устройствам, программам и т. п.), описываемую посредством математически строгой модели защиты. На основании полномочий субъекта и свойств объекта данных, записанных в базе полномочий, и характеристик доступа, диспетчер принимает решение разрешить доступ, либо отказать в нем.
В идеале диспетчер доступа (ДЦ) должен отвечать следующим фундаментальным требованиям:
– формальная модель защиты – алгоритм принятия решения о доступе, закладываемый в основу СРД, должен базироваться на формальной модели защиты, обеспечивающей возможность математически строгого анализа характеристик безопасности защищаемой вычислительной системы;
– верифицируемость – программно-аппаратные механизмы СРД должны быть достаточно простыми, небольшими по объему и хорошо структурированными для того, чтобы была обеспечена возможность их верификации, то есть подтверждения корректности и соответствия логики их функционирования заданной модели защиты; – защищенность механизмов – программно-аппаратные механизмы и информационные структуры СРД должны быть надежно защищены от случайной или преднамеренной модификации;
– полнота контроля – СРД должна контролировать все обращения к защищаемому объекту по всем возможным каналам доступа.
Формальная модель защиты является математической абстракцией, отображающей взаимоотношения между пользователем и данными в вычислительной системе. Она необходима и как инструмент для 38 исследования поведения вычислительной системы с точки зрения возможной утечки информации, так и в качестве алгоритмической базы для реализации, программно-аппаратных механизмов диспетчера доступа.
Одним из важных элементов СРД является блок аутентификации, ответственный за достоверное опознание (или, как иногда говорят, за подтверждение подлинности) пользователя. В большинстве практических случаев вполне приемлемым может считаться способ аутентификации, основанный на проверке предъявляемого пользователем секретного пароля (признаком является знание человеком некоторого индивидуального секрета)' Достоверность процедуры автоматического опознания личности может быть усилена за счет применения дополнительных устройств – электронных и механических ключей различного вида (дополнительный признак – "владение" определенным предметом). В ответственных случаях можно рекомендовать применение средств биометрической аутентификации, осуществляющих опознание человека по его неотъемлемым психофизическим характеристикам, таким, как форма и динамика рукописной подписи, "почерк" работы на клавиатуре, рисунок капилляров сетчатки глаза, форма отпечатка пальца и т. п.
Для объективной оценки защищенности вычислительных систем от НСД общепринятым является подход, основанный на методе экспертной оценки совокупности функциональных и качественных характеристик операционной среды, зафиксированных в соответствующих национальных и международных стандартах (таких, например, как европейский стандарт "Критерии оценки безопасности информационных технологии"). При этом одним из наиболее сложных вопросов аттестации защищенности является подтверждение невозможности "прокола" операционной системы со стороны пользовательских программ. С этой целью необходимо использовать трудоемкие и дорогостоящие методы разработки доказательно корректного" (доверенного) программного обеспечения, методы формальной верификации программ и т. п. В качестве альтернативного подхода предлагается шире использовать методы криптографического разграничения доступа.
Средства разграничения функциональных полномочий и доступа находят применение не только для защиты информационной собственности, но могут широко использоваться в целях обеспечения непрерывности, корректности и надежности функционирования АС, информационных служб.
Вопрос 2. Формальные модели защиты
Рассмотрим так называемую матричную модель защиты, получившую на сегодняшний день наибольшее распространение на практике.
В терминах матричной модели, состояние системы защиты описывается тройкой:
(S, О, М),
где S – множество субъектов доступа, являющихся активными структурными элементами модели (в большинстве случаев субъекты в свою очередь могут рассматриваться как объекты доступа, т. е. S является подмножеством О);
О – множество объектов доступа, являющихся пассивными защищаемыми элементами модели; каждый объект однозначно идентифицируется с помощью имени объекта;
М – матрица доступа, в которой строки соответствуют субъектам, а столбцы объектам; значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О.
Права доступа регламентируют способы обращения субъекта 5 к различным типам объектов доступа. Так, например, права доступа к файлам или сегментам памяти обычно определяют как чтение (К), запись (АУ) и выполнение (Е). В некоторых системах используется еще одно право доступа – дополнение (А), означающее право субъекта производить запись данных в свободные области объекта без перекрытия имеющихся данных.
С помощью матрицы доступа может быть описано состояние любой, сколь угодно сложной системы защиты в произвольный момент ее существования. Однако, несмотря на гибкие изобразительные возможности, матричным моделям присущи и серьезные недостатки.
Во-первых, низкий, излишне детализированный уровень описания отношений субъектов и объектов затрудняет анализ соблюдения так называемых правил разграничения доступа, то есть тех высокоуровневых отношений между субъектами – людьми и объектами – документами, которые приняты в социальных группах для регулирования доступа к секретным’ «и другим охраняемым данным.
Во-вторых, вследствие трудно поддающегося регулированию разрастания размеров матриц доступа в реальных системах, процедуры по их обслуживанию и поддержанию в адекватном изменяемым условиям] состоянии оказываются весьма трудоемкими. Централизованная в руках администратора защиты служба сопровождения становится узким местом в работе систем, обладающих большой динамикой состава пользователей и программ.
Для преодоления указанных выше недостатков матричных моделей разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла Падулы и решетчатая модель Деннинга.
Многоуровневые модели переносят в операционную среду ЭВМ, в мир "электронных" документов, общепринятые и хорошо отработанные принципы обращения с бумажными секретными, особо важными, конфиденциальными документами, в течение многих лет применяемые на практике.
Для последующего выявления аналогий с организационными мерами защиты напомним основные правила обращения с секретными документами, определенные соответствующими инструкциями.
Каждому охраняемому документу присваивается метка, отражающая уровень конфиденциальности (секретности) содержащихся в этом документе сведений. Помимо этого документу может быть присвоена одна или несколько меток, отражающих категории конфиденциальности (секретности) документа.
Любому лицу, привлекаемому к работе с секретными, конфиденциальными документами, также приписывается аналогичный набор признаков, определяющих возможность его доступа к информации определенного уровня. И при этом уровню конфиденциальности документа соответствует уровень допуска лица, а категории конфиденциальности документа – категория допуска лица. Набор категорий определяется организационной принадлежностью лица.