- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 70 -
Create(Si,Объект МРЗФ[t2-1])->МРЗФ[t2] порождает тождественные субъекты МРЗФ[t1] и MРЗФ[t2].
Поскольку все субъекты КС по условию изолированности как минимум попарно корректны и корректны относительно МРЗФ, то отсутствуют потоки к ассоциированным объектам МРЗФ, которые могли бы изменить функцию F.
Следовательно, корректность функционирования МРЗФ доказана. Докажем второе положение.
Поскольку любой субъект обеспечивает корректный вызов и возможно порождение только тождественных субъектов в различные моменты времени, то поток Stream(Si,Ok)->Om есть тождественное отображение, если не существует потоков к объектам Ok или Om от других субъектов. Отсутствие потоков к Ok гарантируется корректностью субъектов. Поток к Om может быть инициирован как вызов МРЗФ со стороны иного субъекта, однако это запрещено по условию теоремы.
Аналогично доказывается третье (корректный возврат результата). Утверждение доказано.
Условие невозможности изменения ассоциированных объектов МРЗФ, доступных для передачи параметров (т.е. запрет вызова МРЗФ до завершения операций с вызвавшим субъектом), может реализоваться двумя путями.
Первый путь заключается в порождении при вызове каждым субъектом нового субъекта МРЗФ (реализован в механизме загрузки динамических библиотек - DLL).
Второй путь заключается в блокировании потока от любого субъекта до завершения операции с МРЗФ, т.е. до завершения потока возврата результата.
Относительно некоторого множества субъектов, использующих МРЗФ, можно говорить о полноте функций МРЗФ. При этом удобнее оперировать с формально описанными функциями ОИ (которые однозначно соответствуют функциям МРЗФ), поэтому далее будем говорить о полноте функций ОИ. Полнота функций ОИ может быть функциональной и параметрической.
Функциональная полнота ОИ - свойство, заключающееся в реализации всех функций защиты, инициируемых фиксированным набором субъектов КС.
Из данного определения следует, что функциональная полнота понимается относительно заданного множества программ, использующих функции ОИ.
Параметрическая полнота ОИ - свойство, заключающееся в возможности инициирования всех функций ОИ со стороны фиксированного множества субъектов с некоторым набором параметров, не приводящих к отказу в выполнении запрошенной функции.
Как о функциональной, так и о параметрической полноте можно говорить относительно конечного множества субъектов, следовательно, понятие полноты ОИ также, как и корректное использование МРЗФ, имеет смысл только в ИПС.
2.8. Передача параметров при составном потоке
Остановимся теперь на ситуации составного потока передачи и возврата управления. Рассмотрим ситуацию, когда существует объект Op такой, что:
-71 -
1.Stream(Sx,Ok)->Op и Stream(Sx, Op)->Om
2.Op не ассоциирован ни с Si, ни с МРЗФ,
когда в потоке участвует некоторый неассоциированный с Si и МРЗФ объект.
При этом данный субъект может быть ассоциирован с каким-либо другим субъектом. Практически данная ситуация повсеместно возникает в реальной КС в случае передачи параметров через внешнюю память (файл), либо при взаимодействии вызывающего субъекта и МРЗФ через сетевую транспортную среду (необходимо уточнить, что в этом случае ситуация усложняется тем, что существует не один объект Op, а, как минимум, два территориально несовпадающих объекта Op1 и Op2, между которыми существуют потоки
Stream(Sx, Ok)->Op1, Stream(Sl, Op1)->Op2 и Stream(Sy,Op2)->Om (и аналогично при возврате результата). Для простоты рассмотрения будем говорить только об одном объекте, включенном в поток, поскольку можно говорить, об одном объекте Op, но измененном субъектом Sl.
В приводимой таблице рассмотрим свойства подсистемы КС, состоящей из объектов Ok, Op, Om и субъектов Si, Sl и МРЗФ.
Будем учитывать свойство по инициированию потока Stream (Sx,Ok)->Op и Stream(Sx, Op)->Om, а также функцию F(Op)->Op преобразования объекта Op, локализованную в Sl, и существование потоков Stream(Sl,Op)->Oy, где Oy - некоторый объект. Рассматриваемые свойства взаимодействия отражают все возможные ситуации, возникающие при участии субъекта Sl в потоке:
1.Свойства по преобразованию проходящей информации.
2.Свойства по отображению проходящей информации в другой объект. Действительно, с точки зрения опосредованного НСД возможны либо
изменения состояния объекта, либо отображение его содержания в другой объект. Учитывая то, что ранее рассматривалось тождественное отображение объектов при передаче параметров и возврате результата, будем рассматривать функцию F либо как тождественное отображение, либо как нетождественное. В таблицу введен также существенный параметр - каким субъектом порожден поток к промежуточному объекту - вызывающим субъектов (Si), либо МРЗФ (обозначения Sx=Si означает, что субъектом Sx является вызывающий субъект).
Таблица 4. (Свойства составного потока при использовании МРЗФ)
|
Sx = Si |
Sx = МРЗФ |
Отображен |
Существует |
Примечание |
|
|
|
ие F |
поток |
|
|
|
|
|
Stream(Sl,Op) |
|
|
|
|
|
->Oy |
|
0 |
Нет |
Нет |
~E |
Нет |
Не |
|
|
|
|
|
рассматривается |
1 |
Нет |
Нет |
~E |
Да |
Не |
|
|
|
|
|
рассматривается |
2 |
Нет |
Нет |
E |
Нет |
Не |
|
|
|
|
|
рассматривается |
- 72 -
3 |
Нет |
Нет |
E |
Да |
Не |
|
|
|
|
|
рассматривается |
4 |
Нет |
Да |
~E |
Нет |
Искажение |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта |
5 |
Нет |
Да |
~E |
Да |
Искажение |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта и поток к |
|
|
|
|
|
постороннему |
|
|
|
|
|
объекту |
6 |
Нет |
Да |
E |
Нет |
Корректная |
|
|
|
|
|
передача, |
|
|
|
|
|
инициированная |
|
|
|
|
|
МРЗФ |
7 |
Нет |
Да |
E |
Да |
Корректная |
|
|
|
|
|
передача, но с |
|
|
|
|
|
организацией |
|
|
|
|
|
постороннего |
|
|
|
|
|
потока |
8 |
Да |
Нет |
~E |
Нет |
Аналогично 4 |
9 |
Да |
Нет |
~E |
Да |
Аналогично 5 |
10 |
Да |
Нет |
E |
Нет |
Аналогично 6 |
11 |
Да |
Нет |
E |
Да |
Аналогично 7 |
12 |
Да |
Да |
~E |
Нет |
Некорректное |
|
|
|
|
|
использование |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта |
13 |
Да |
Да |
~E |
Да |
Некорректное |
|
|
|
|
|
использование |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта |
14 |
Да |
Да |
E |
Нет |
Некорректное |
|
|
|
|
|
использование |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта |
15 |
Да |
Да |
E |
Да |
Некорректное |
|
|
|
|
|
использование |
|
|
|
|
|
промежуточного |
|
|
|
|
|
объекта |
Случаи 0-3 не рассматриваются, поскольку участвующие в сложном потоке субъекты не совпадают, ни с вызывающим субъектом, ни с МРЗФ. Априорно можно также считать некорректными случаи 12-15, поскольку