15.5. Системы с доверительными отношениями

Большинство рассмотренных до сих пор вопросов касались защиты конкретного сообщения или элемента от пассивной или активной атаки со стороны данного поль­зователя. Несколько отличный, но широко применяемый способ состоит в том, что­бы защищать данные или ресурсы, основываясь на уровнях безопасности. Этот под­ход часто применяется в военных организациях, где информация разбита на такие категории: несекретная (unclassified — U), конфиденциальная (confidential — С), секретная (secret — S), совершенно секретная (top secret — TS) и прочая. Данная концепция с таким же успехом применима в других областях, в которых информа­цию можно сгруппировать в большие категории и предоставлять пользователям раз­решение на доступ к определенным категориям данных. Например, документы и данные со стратегическими корпоративными планами можно отнести к наивысшим уровням, доступным только персоналу корпоративных офисов; вслед за ними могут идти служебные данные, касающиеся финансов и персонала и доступные персоналу администрации и корпоративных офисов, и т.д.

Когда определено несколько категорий или уровней данных, такие требова­ния называются многоуровневой безопасностью (multilevel security). Общее тре­бование многоуровневой безопасности состоит в том, что объекту, который нахо­дится на более высоком уровне, нельзя передавать информацию субъекту, кото­рый находится на более низком или лежащем вне этой иерархии уровне, если эта передача не выполняется по желанию санкционированного пользователя. Чтобы сделать это требование более пригодным для реализации, его разбивают на две части, имеющие более простую формулировку. Система многоуровневой безопасности должна обеспечивать выполнение таких требований.

• Запрет на чтение снизу вверх. Субъект может читать информацию только из того объекта, уровень секретности которого не выше уровня секретности субъекта, В.литературе это требование известно под названием "простого свойства безопасности" (simple security property).

• Запрет на запись сверху вниз (no write down). Субъект может записывать информацию только в тот объект, уровень секретности которого не ниже уровня секретности субъекта. В литературе это требование известно под на­ званием *-свойство (^property¹).

Надлежащая реализация этих двух требований обеспечивает многоуровне­вую безопасность. К системе обработки данных был применен подход, основан­ный на концепции монитора обращений (reference monitor), который послужил объектом многих исследований и разработок. Схема этого подхода изображена на рис. 15,9. Монитор обращений представляет собой управляющий элемент ап-

паратного обеспечения и операционной системы того компьютера, который управляет доступом субъектов к объектам на основе их параметров безопасности. Монитор обращений обладает доступом к файлу, известному под названием база данных ядра безопасности (security kernel database), в которой перечислены привилегии доступа (уровень защиты) каждого субъекта, а также атрибуты за­щиты (уровень классификации) каждого объекта. Монитор обращений обеспечи­вает соблюдение правил безопасности (запрет на чтение снизу вверх, запрет на запись сверху вниз) и обладает такими свойствами.

• Полное сопровождение. Правила безопасности соблюдаются при каждом доступе, а не только, например, во время открытия файла.

• Изолированность. Монитор обращений и база данных защищены от не­ санкционированных изменений.

• Возможность проверки. Нужно, чтобы была возможность проверить пра­ вильность работы монитора сообщений (т.е. необходимо иметь математиче­ ское доказательство того, что монитор безопасности обеспечивает выполне­ ние правил безопасности и предоставляет возможность полного сопровожде­ ния и изоляции).

Эти требования должны неукоснительно соблюдаться. Требование полного сопровождения означает, что необходимо сопровождение каждого обращения к данным, которые находятся в основной памяти, на диске и на ленте. Чисто про­граммные реализации приводят к слишком большому снижению производитель­ности, поэтому являются непрактичными; решение должно хотя бы частично опираться на аппаратную часть. Требование изолированности означает, что у взломщика, каким бы умным он ни был, не должно быть возможности изменить

логику работы монитора обращений или содержимое базы данных ядра безопас­ности. Наконец, требования математической доказуемости представляет затруд­нение для такой сложной системы, как компьютер общего назначения. Система, в которой можно выполнить такую проверку, называется системой с довери­тельными отношениями (trusted system).

Конечным элементом, показанным на рис. 15.9, является файл аудита. В него заносится информация о таких важных для безопасности событиях, как об­наружение нарушений безопасности или санкционированные изменения базы данных ядра безопасности.

Пытаясь удовлетворить свои потребности и оказать услугу общественности, министерство обороны США в 1981 году основало в рамках Управления нацио­нальной безопасности (National Security Agency — NSA) Центр компьютерной безопасности (Computer Security Center), целью которого является поддержка распространения компьютерных систем с доверительными отношениями. Для реализации этой цели была разработана Программа оценки коммерческих про­дуктов (Commercial Product Evaluation Program). По сути, центр пытается оце­нивать, насколько появляющиеся на рынке коммерческие продукты удовлетво­ряют описанным выше требованиям безопасности. Центр классифицировал оце­ниваемые продукты в соответствии со степенью предоставляемой безопасности. Эти оценки используются министерством обороны при приобретении программ­ных продуктов для собственных нужд, но они открыто публикуются, и их мож­но получить бесплатно. Таким образом, эти публикации могут быть полезными для клиентов, покупающих имеющееся в наличии оборудование.