- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
Модель контроля целостности Кларка-Вилсона
После того, как сформулировано определение понятия целостности данных и обсуждены основные принципы построения системы контроля целостности, в качестве примера политики контроля целостности рассмотрим модель, предложенную Кларком и Вилсоном [25]. Другая известная модель политики контроля целостности - модель Биба, которую с некоторой степенью условности можно охарактеризовать как интерпретацию модели Белла-Лападулы для случая контроля целостности (подробнее см. в гл.З).
Модель Кларка-Вилсона появилась в результате проведенного авторами анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. В отличие от моделей Биба и Белла-Лападулы. она изначально ориентирована на нужды коммерческих заказчиков, и, по мнению авторов, более адекватна их требованиям, чем предложенная ранее коммерческая интерпретация модели целостности на основе решеток. Основные понятия рассматриваемой модели-это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и определяет две категории объектов данных и два класса операций над ними
Все содержащиеся в системе данные подразделяются на контролируемые и неконтролируемые элементы данных (constrained data items - GDI и unconstrained data items-UDI соответственно). Целостность первых обеспечивается моделью Кларка-Вилсона. Последние содержат информацию, целостность которой в рамках данной модели не контролируется (этим и объясняется выбор терминологии).
Далее, модель вводит два класса операций над элементами данных: процедуры контроля целостности (integrity verification procedures - IVP) и процедуры преобразования (transformation procedures -TP). Первые из них обеспечивают проверку целостности контролируемых элементов данных (CDI), вторые изменяют состав множества всех CDI (например, преобразуя элементы UDI в CDI).
Наконец, модель содержит девять правил, определяющих взаимоотношения элементов данных и процедур в процессе функционирования системы.
Правило С1. Множество всех процедур контроля целостности (IVP) должно содержать процедуры контроля целостности любого элемента данных из множества всех CDI.
Правило С2. Все процедуры преобразования (ТР) должны быть реализованы корректно в том смысле, что не должны нарушать целостность обрабатываемых ими CDI. Кроме того, с каждой процедурой преобразования должен быть связан список элементов CDI, которые допустимо обрабатывать данной процедурой. Такая связь устанавливается администратором безопасности.
Правило Е1. Система должна контролировать допустимость применения ТР к элементам CDI в соответствии со списками, указанными в правиле С2.
Правило Е2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования с указанием допустимого для каждой ТР и данного пользователя набора обрабатываемых элементов CDI.
Правило СЗ. Список, определенный правилом С2, должен отвечать требованию разграничения функциональных обязанностей.
Правило ЕЗ. Система должна аутентифицировать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования.
Правило С4. Каждая ТР должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой ТР. Журнал регистрации - это специальный элемент CDI, предназначенный только для добавления в него информации.
Правило С5. Любая ТР, которая обрабатывает элемент UDI, должна выполнять только корректные преобразования этого элемента, в результате которых UDI превращается в CDI.
Правило Е4. Только специально уполномоченное лицо может изменять списки, определенные в правилах С2 и Е2. Это лицо не имеет права выполнять какие-либо действия, если оно уполномочено изменять регламентирующие эти действия списки.
Роль каждого из девяти правил модели Кларка-Вилсона в обеспечении целостности информации можно пояснить, показав, каким из теоретических принципов политики контроля целостности отвечает данное правило. Напомним, что первые шесть из сформулированных выше принципов это:
1) корректность транзакций;
2) аутентификация пользователей;
3) минимизация привилегий;
4) разграничение функциональных обязанностей;
5) аудит произошедших событий;
6) объективный контроль.
Соответствие правил модели Кларка-Вилсона перечисленным принципам показано в табл.2.4. Как видно из табл. 2.4, принципы 1 (корректность транзакций) и 4 (разграничение функциональных обязанностей) реализуются большинством правил, что соответствует основной идее модели.
Таблица 2.4
|
Правило модели Кларка-Вилсона
|
Принципы политики контроля целостности, реализуемые правилом
|
|
С1
|
1.6
|
|
С2
|
1
|
|
Е1
|
3,4
|
|
Е2
|
1,2.3.4
|
|
СЗ
|
4
|
|
ЕЗ
|
2
|
|
С4
|
5
|
|
С5
|
1
|
|
Е5
|
4
|
Публикация описания модели Кларка-Вилсона вызвала широкий отклик среди исследователей, занимающихся проблемой контроля целостности. В ряде научных статей рассматриваются практические аспекты применения модели, предложены некоторые ее расширения и способы интеграции с другими моделями безопасности.
За пределами рассмотрения проблемы обеспечения целостности информации остались различные формальные описание свойства целостности, основанные на математических аппаратах теории множеств и процессов. Среди них и "Основная теорема целостности", для изложения которой в рамках данного пособия потребовалось бы привести в большом объеме вводные формальные рассуждения, не связанные с проблемой напрямую. Интересующимся следует обратиться к первоисточникам.