- •Учебное пособие
- •Аннотация
- •Список сокращений
- •Содержание
- •Введение
- •Научные и технические предпосылки кризисной ситуации.
- •Бурное развитие программного обеспечения.
- •Понятие «защищенная система».
- •1. Основные понятия и определения предмета защиты информации
- •1.1. Общее содержание проблемы информационной безопасности
- •1.2 Информация и информационные отношения. Субъекты информационных отношений
- •1.3. Ценность информации
- •1.4. Модель решетки ценностей
- •1.5. Mls решетка
- •1.6. Определение требований к защищенности информации
- •1.7. Критерии, условия и принципы отнесения информации к защищаемой. Виды конфиденциальной информации.
- •1.8. Выводы
- •1.9. Вопросы для самоконтроля
- •Угрозы информации, методология их выявления и оценки
- •2.1. Санкционированный и несанкционированный доступ
- •2.2. Угрозы информации, методология их выявления и оценки
- •2.3. Ретроспективный анализ подходов к формированию множества угроз информации
- •2.4. Цели и задачи оценки угроз информации в современных системах ее обработки
- •2.5. Система показателей уязвимости информации
- •2.6. Классификация и содержание угроз информации
- •2.7. Методы и модели оценки уязвимости информации
- •2.8. Выводы
- •2.9. Вопросы для самоконтроля
- •3. Общая классификация защитных мер
- •3.1. Базовые свойства безопасности информации. Каналы реализации угроз
- •3.2. Основные принципы обеспечения информационной безопасности
- •3.3. Меры обеспечения безопасности компьютерных систем
- •3.4. Характеристика способов защиты компьютерной информации с помощью аппаратно-программных мер
- •3.5. Выводы
- •3.6. Вопросы для самоконтроля
- •4. Идентификация и аутентификация субъектов
- •4.1. Классификация подсистем идентификации и аутентификации субъектов
- •4.2. Парольные системы идентификации и аутентификации пользователей
- •4.3. Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя
- •4.4. Выводы
- •4.5. Вопросы для самоконтроля
- •5. Элементы теории чисел
- •5.1. Модулярная арифметика
- •5.2. Простые числа и их свойства
- •5.3. Числовые функции
- •5.4. Выводы
- •5.5. Вопросы для самоконтроля
- •6. Методы и средства криптографической защиты
- •6.1. Принципы криптографической защиты информации
- •6.2. Традиционные симметричные криптосистемы
- •6.2.1. Шифрование методом замены
- •6.2.2. Шифрование методами перестановки
- •6.2.3. Шифрование методом гаммирования
- •6.3. Элементы криптоанализа
- •6.4. Современные симметричные системы шифрования
- •6.4.1. Стандарт шифрования des (сша)
- •6.4.2. Отечественный стандарт симметричного шифрования
- •6.5. Асимметричные криптосистемы
- •6.5.1. Недостатки симметричных криптосистем и принципы асимметричного шифрования
- •6.5.2. Однонаправленные функции
- •6.5.3. Алгоритм шифрования rsa
- •6.6. Выводы
- •6.7. Вопросы для самоконтроля
- •7. Контроль целостности информации. Электронно-цифровая подпись
- •7.1. Проблема обеспечения целостности информации
- •7.2. Функции хэширования и электронно-цифровая подпись
- •7.3. Выводы
- •7.4. Вопросы для самоконтроля
- •8. Протоколы безопасной аутентификации пользователей
- •8.1. Аутентификация на основе сертификатов
- •8.2. Процедура «рукопожатия»
- •8.3. Протокол Диффи-Хеллмана
- •8.4. Выводы
- •8.5. Вопросы для самоконтроля
- •9. Управление носителями конфиденциальной информации и внесением изменений.
- •9.1. Носители информации как объект защиты
- •9.2 Разделение тестовой среды и среды промышленной эксплуатации информационной системы. Процесс управления изменениями.
- •9.3. Выводы
- •9.4. Вопросы для самоконтроля
- •10. Разграничение доступа к информации в компьютерных системах
- •10.1. Модели разграничения доступа к информации
- •10.2. Субъектно-объектная модель компьютерной системы в механизмах и процессах коллективного доступа к информационным ресурсам
- •10.2. Монитор безопасности и основные типы политик безопасности
- •10.3. Гарантирование выполнения политики безопасности
- •10.4. Выводы
- •10.5. Вопросы для самоконтроля
- •11. Политики безопасности
- •11.1. Формальные и неформальные политики безопасности
- •11.2. Формальные методы анализа систем
- •11.3. Характеристика моделей безопасности
- •11.4. Выводы
- •11.5. Вопросы для самоконтроля
- •12. Модели безопасности
- •12.1. Модели разграничения доступа
- •12.2. Модели дискреционного доступа
- •12.2.1. Модель дискреционного доступа адепт-50.
- •12.2.2. Пятимерное пространство Хартсона
- •12.2.3. Модель Харрисона-Руззо-Ульмана
- •12.3. Модели мандатного доступа
- •12.3.1. Модель Белла и Лападула
- •12.4. Специализированные модели
- •12.4.1. Модель mms
- •12.5. Проблемы моделей предоставления прав
- •12.6. Информационные модели
- •12.6.1. Модель невмешательства
- •12.6.2. Модель невыводимости
- •12.7. Вероятностные модели
- •12.7.1. Игровая модель
- •12.7.2.Модель системы безопасности с полным перекрытием
- •12.8 .Модели контроля целостности
- •12.8.1. Модель Биба
- •12.8.2. Модель Кларка-Вилсона
- •12.9. Механизмы защиты от угрозы отказа в обслуживании
- •12.9.1. Основные понятия ово
- •12.9.2. Мандатная модель ово
- •12.9.3. Модель Миллена распределения ресурсов (мрр)
- •12.10. Выводы
- •12.11. Вопросы для самоконтроля
- •13. Обзор и сравнительный анализстандартов информационной безопасности
- •13.1. Основные понятия и определения
- •13.2. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •13.2.1. Таксономия требований и критериев "Оранжевой книги"
- •13.2.2. Классы безопасности компьютерных систем
- •13.2.3. Интерпретация и развитие "Оранжевой книги"
- •13.3. Европейские критерии безопасности информационных технологий
- •13.3.1. Основные понятия
- •13.3.2. Функциональные критерии
- •13.3.3. Критерии адекватности
- •13.4. Руководящие документы Гостехкомиссии России
- •13.4.1. Основные положения
- •13.4.2. Концепция защиты свт и ас от нсд к информации
- •13.4.3. Показатели защищенности средств вычислительной техники от нсд
- •13.4.4. Показатели защищенности автоматизированных систем от нсд
- •13.5. Федеральные критерии безопасности информационных технологий
- •13.5.1. Цель разработки
- •13.5.2. Основные положения
- •13.5.3. Профиль защиты
- •13.5.4. Этапы разработки Профиля защиты
- •13.5.5. Функциональные требования к ит–продукту
- •13.5.6. Таксономия функциональных требований
- •13.5.7. Ранжирование функциональных требований
- •13.5.8. Требования к технологии разработки ит–продукта
- •13.5.9. Требования к процессу квалификационного анализа ит-продукта
- •13.6. Единые критерии безопасности информационных технологий
- •13.6.1. Цель разработки
- •13.6.2. Основные положения
- •13.6.3. Профиль защиты
- •13.6.4. Проект защиты
- •13.6.5. Требования безопасности
- •13.6.6. Функциональные требования
- •13.6.7. Требования адекватности
- •13.7. Анализ стандартов информационной безопасности
- •13.8. Выводы
- •13.9. Вопросы для самоконтроля
- •Список литературы
- •420111, Г. Казань, ул. К.Маркса, 10
12.4. Специализированные модели
Как было отмечено в предыдущем параграфе, одним из недостатков, являющимся логическим следствием достоинства простоты БЛМ, является ее слишком большая абстрактность. С точки зрения требований пользователей, в реальных приложениях ограничения, накладываемые БЛМ, оказываются слишком строгими. Введение в модель доверенных процессов, позволяющих частично решить данную проблему, не является достаточным. С другой стороны, недостатком БЛМ, не рассмотренным нами ранее, является отсутствие в модели поддержки многоуровневых объектов (например, наличие несекретного параграфа в секретном файле данных) и отсутствие зависящих от приложения правил безопасности. С целью устранения данных недостатков при проектировании системы передачи военных сообщений(MMS) Лендвером и МакЛином была разработана модель MMS.
12.4.1. Модель mms
В модели MMS используются следующие понятия.
Классификация – обозначение, накладываемое на информацию, отражающее ущерб, который может быть причинен неавторизованным доступом; включающее уровни: TOP SECRET, SECRET и т.д. и множество меток ("CRYPTO", "NUCLEAR" и т.д.). Множество классификаций и отношение между ними образуют решетку.
Степень доверия пользователю – уровень благонадежности персоны. Каждый пользователь имеет степень доверия, и операции, производимые системой для данного пользователя, могут проверить степень доверия пользователю и классификацию объектов, с которыми он оперирует.
Пользовательский идентификатор – строка символов, используемая для того, чтобы отметить пользователя системы. Для использования системы пользователь должен предъявить ей пользовательский идентификатор, и система должна провести аутентификацию пользователя. Данная процедура называется login. Каждый пользователь должен иметь уникальный идентификатор.
Пользователь - персона, уполномоченная для использования системы.
Роль – работа, исполняемая пользователем (например, пользователь, имеющий право удалять, распространять или понижать классификацию объектов). Пользователь всегда ассоциирован как минимум с одной ролью в некоторый момент времени, и он может менять роль в течение сессии. Для действий в данной роли пользователь должен быть уполномочен. Некоторые роли могут быть связаны только с одним пользователем в данный момент времени (например, распространитель). С любой ролью связана способность выполнения определенных операций.
Объект – одноуровневый блок информации. Это минимальный блок информации в системе, который имеет классификацию. Объект не содержит других объектов, он не многоуровневый.
Контейнер – многоуровневая информационная структура. Имеет классификацию и может содержать объекты (каждый со своей классификацией) и (или) другие контейнеры. Файл – это контейнер. Некоторые структуры файла могут быть контейнерами. Различие между объектом и контейнером базируется на типе, а не на текущем содержимом: если один из файлов данного типа является контейнером, то все остальные файлы данного типа являются контейнерами, даже если некоторые из них содержат только объекты или пусты. Устройства такие, как диски, принтеры, ленты, сетевые интерфейсы и пользовательские терминалы - контейнеры.
Сущность – Объект или Контейнер.
Требование Степени Доверия Контейнеров – атрибут некоторых контейнеров. Для некоторых контейнеров важно требовать минимум степени доверия, то есть пользователь, не имеющий соответствующего уровня благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соответствующим атрибутом (CCR). Например, пользователь, имеющий степень доверия CONFIDENTAL, не может просматривать CONFIDENTAL параграф сообщения, помеченного TOP SECRET, если оно содержится в CCR контейнере. Если пользователь должен иметь возможность просматривать данное сообщение, контейнер не должен быть помечен как CCR.
Идентификатор (ID) – имя сущности без ссылки на другие сущности, например, имя файла есть идентификатор этого файла. Обычно все сущности имеют идентификатор.
Ссылка на сущность Прямая, если это идентификатор Сущности.
Ссылка на сущность Косвенная, если это последовательность двух или более имен Сущностей (из которых только первая – идентификатор). Пример – "текущее сообщение, первый абзац, вторая строка".
Операция – функция, которая может быть применена к сущности. Она может позволять просматривать или модифицировать сущность. Некоторые операции могут использовать более одной сущности (пример – операция копирования).
Множество Доступа – множество троек (Пользовательский Идентификатор или Роль, Операция, Индекс операнда), которые связаны с сущностью. Операция, которая может быть специфицирована для особых сущностей, зависит от типа данной сущности. Если операция требует более одного операнда, индекс операнда специфицирует позицию, на которой ссылка на данный операнд может появиться в операции.
Сообщение – особый тип, реализуемый в MMS. Сообщение является контейнером. Сообщение включает поля Куда, Откуда, Время, предмет, текст, автор. Чертежные сообщения включают поле чертежа.
Неформальная модель MMS
Пользователь получает доступ к системе только после прохождения процедуры login. Для этого пользователь предоставляет системе Пользовательский идентификатор, и система производит аутентификацию, используя пароли, отпечатки пальцев или другую адекватную технику. После успешного прохождения аутентификации Пользователь запрашивает у системы Операции для использования функций системы. Операции, которые Пользователь может запросить у системы, зависят от его ID или Роли, для которой он авторизован: с использованием Операций Пользователь может просматривать или модифицировать Объекты или Контейнеры. Система реализует ограничения, описанные ниже.
Предположения безопасности
Пользователь всегда может скомпрометировать информацию, к которой он имеет законный доступ. Таким образом, надо сформулировать предположения безопасности, которые могут быть выполнены только пользователями системы.
А1. Офицер безопасности системы присваивает уровни доверия, классификацию устройств и множества ролей корректно.
А2. Пользователь вводит корректную классификацию, когда изменяет, объединяет или переклассифицирует информацию.
А3. Пользователь классифицирует сообщения и определяет множества доступа для сущностей, которые он создает, так, что только пользователь с требуемой благонадежностью может просматривать информацию.
А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности.
Ограничения безопасности
Ограничения безопасности, в отличие от предположений безопасности, должны поддерживаться не пользователями системы, а непосредственно компьютерной системой.
B1. Авторизация – пользователь может запрашивать операции над сущностями, только если пользовательский идентификатор или текущая роль присутствуют во множестве доступа сущности вместе с этой операцией и со значением индекса, соответствующим позиции операнда, в которой сущность относят в требуемой операции.
B2. Классификационная иерархия – классификация контейнера всегда больше или равна классификации сущностей, которые он содержит.
B3. Изменения в объектах – информация, переносимая из объекта, всегда наследует классификацию данного объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.
B4. Просмотр – пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю (данное ограничение применяется к сущностям, адресуемым прямо или косвенно).
B5. Доступ к контейнерам, требующим степени доверия – пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, только если его степень доверия не ниже классификации контейнера.
B6. Преобразование косвенных ссылок – пользовательский идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.
B7. Требование меток – сущности, просмотренные пользователем, должны быть помечены его степенью доверия.
B8. Установка степеней доверия, ролей, классификации устройств – только пользователь с ролью офицера безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено только офицером безопасности системы или самим пользователем.
B9. Понижение классификации информации – никакая классифицированная информация не может быть понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью "пользователь, уменьшающий классификацию информации".
В10. Уничтожение информации – операция уничтожения информации проводится только пользователем с ролью "пользователь, уничтожающий информацию".