- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
-108-
множество критичных к отправке во внешнюю сеть объектов как Okr. При разделении прав между локальными и телекоммуникационными субъектами возможно задать такие ПРД, при реализации которых в МБО можно обеспечить полноценную работу локальных субъектов с объектами множества Okr, но невозможность транспортировки объектов Okr во внешнюю сеть. Обозначим множество некритичных к транспортировке и модификации локальных объектов как On.
Тогда ПРД относительно введенных групп субъектов S1 и S2 задаются таблицей.
Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
|
Okr |
On |
S1 |
RW |
RW |
S2 |
-- |
RW |
Теперь обратимся к ситуации, когда возможно порождение субъекта Si*, нарушающего корректность межсубъектного взаимодействия. Возможны два случая:
-объект-источник Ov для порождения Si* является внешним (не ассоциированным) для активизирующего субъекта Si;
-объект-источник Ov является ассоциированным для субъекта Si (в данном случае ассоциированный объект источник может быть неизменным или зависеть от информации, передаваемой субъектом X).
В первой ситуации при действии МБС с контролем целостности объекта источника порождение нового субъекта возможно с вероятностью, не превышающей вероятность принять нетождественный объект-источник за тождественный эталонному (данный параметр полностью определен свойствами функции контроля целостности).
Рассмотрим подробнее вторую ситуацию, обращая внимание на практические вопросы влияния на ассоциированные объекты других субъектов или данного.
Очевидно, что активное воздействие предоставляет широкие возможности для реализации как непосредственного, так и опосредованного НСД.
Пусть происходит процесс записи в оперативную память принимающей ПЭВМ (ПРМ ПЭВМ), принадлежащей ЛС КС. Практически это означает существование потока к ассоциированным объектам телекоммуникационного субъекта ЛС КС. При этом активизация нового субъекта в ПРМ ПЭВМ может произойти только тогда, когда процессор начнет выполнять инструкции в области памяти ПРМ ПЭВМ, куда был помещен принятый код. Это может произойти по трем причинам:
-109-
1.Область памяти для записи приходится на исполняемую программу, либо на область, в которую постоянно передается управление (таблица прерываний, драйверы операционной системы и т.д.).
2.Запись происходит в область, находящуюся вне критичных для работы программной среды зон, но происходит некорректно (некорректность возникает
восновном при записи длинных отрезков принимаемых данных в буфера меньшего размера); за счет этого производится "переполнение" (нарушение попарной корректности), и дальнейшая работа происходит в условии п.1.
3.Запись приходится в область размещения самого ТПО и в ней образуется код, который в дальнейшем используется (например, обработчик некоторого прерывания в ТПО ПРМ ЭВМ первоначально указывал на команду Iret, после модификации порцией принятых данных он указывает на некоторую процедуру).
Пример второй ситуации - известный репликатор Морриса, внедрявшийся
вПРМ ПЭВМ с использованием ошибок в буферизации принимаемых строк в
Unix.
Третья ситуация встречалась в ряде телекоммуникационных драйверов и в штатном режиме использовалась для модификации функций ТПО по сигналу передающей ЭВМ.
Все описанные ситуации означают нарушение корректности межсубъектного взаимодействия. Очевидно, что все они могут быть исключены при выполнении условий проектирования ИПС для телекоммуникационного ПО.
Теперь рассмотрим запись принимаемой информации на внешние носители прямого доступа. В данном случае полагается, что в передаваемых данных встречается команда "запись", адресованная ПРМ ПЭВМ (возможно, с некоторыми параметрами, определяющими место записи), а следующие за ней данные записываются в указанное место. При этом возможно запись на различном уровне представления объектов, например, запись в виде секторов и запись в виде файлов.
Рассмотрим запись в виде секторов. Сектора могут приходиться на исполняемые файлы и тем самым впоследствии РПВ будет активизировано при запуске этих файлов. Однако такой способ весьма сложен и является "малоприцельным". Гораздо более интересный случай - запись в загрузочные сектора. При этом при записи в загрузочный сектор винчестера ПРМ ПЭВМ оказывается пораженной загрузочной закладкой, а при записи в загрузочный сектор дискеты закладка может распространиться и на другие ПЭВМ. Описанная ситуация также встречалась в телекоммуникационном ПО: для приема данных из канала был организован виртуальный диск в оперативной памяти (с целью ускорения процедур ввода-вывода); запись на виртуальный диск управлялась из канала связи посылкой "координат" записи (дорожка, сектор, поверхность чтения) и данных для записи. Поскольку запись происходила через прерывание int 13h, то для внешнего злоумышленника было