- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
Пример некорректного определения безопасности в модели бл
Определение 12. Доступ (s,o,r)SOR удовлетворяет -свойству относительно f=(fs,fo,fc)F, если выполняется одно из условий:
• r {read, append, execute},
• r= write и f (s)=fo(o).
Определение 13. Состояние системы (b,M,f,h) V обладает -свой-ством, если каждый элемент (s, о, г) b обладает -свойством относительно f.
Определение 14. Состояние системы (b,M,f,h)Vназывается *-безо-пасным, если обладает ss-свойством, -свойством, ds-свойством одновременно.
Определение 15. Реализация (х,у,z) системы (Q,D,W,zo) обладает -свойством, если в последовательности (zo, zl ...) каждое состояние обладает -свойством.
Определение 16. Система (Q,D,W,zo) обладает -свойством, если каждая ее реализация обладает -свойством.
Определение 17. Система (Q,D,W,zo) называется -безопасной, если она обладает ss-свойством, -свойством, ds-свойством одновременно.
Теорема А2. Система (Q,D,W,zo) обладает -свойством для любого начального состояния zo, обладающего -свойством, тогда и только тогда, когда (q,d,(b*,M*,f*,h*),(b,M,f,h))W удовлетворяет условиям:
Условие 1. (s,o,r)b*\b обладает -свойством относительно f*.
Условие 2. Если (s,o,r)b и не обладает -свойством относительно f*, то (s,o,r)b*.
Доказательство. Аналогично доказательству теоремы А1 .
Теорема BST. Система (Q,D,W,zo) -безопасна тогда и только тогда, когда zq -безопасное состояние и множество действий системы W удовлетворяет условиям теорем А1 , А2, A3.
Доказательство. Теорема BST следует из теорем А1, А2, A3.
Эквивалентные подходы к определению безопасности в модели БЛ
В зависимости от условий практического использования модели или в целях ее дальнейшего исследования возможно использование эквивалентных подходов к определению свойств безопасности. По [12] мы приведем два подхода, изменяющих значения отдельных элементов модели, но не меняющих ее по сути. При рассмотрении этих подходов положим R = {read, write} и sS fs(s)=fc(s). Исключим из рассмотрения матрицу доступов М и множество ответов системы D. Вместо множества действий системы W используем функцию переходов T(q,) = *- переход из состояния по команде q в состояние *, и будем обозначать систему через (V,T,zo).
Подход Read-Write (rw)
Переопределим ss-свойство и *-свойство. Так как основные ограничения на доступ write следуют из *-свойства, то в ss-свойстве зададим ограничения только на read.
Определение 18. Доступ (s,o,r)b обладает ss-свойством, если вы полняется одно из условий:
• г = write;
• r=read и fs(s)fo(o).
Определение 19. Доступ (s,x,r)b обладает *-свойством, если выполняется одно из условий:
• r= read и не существует уО: (s,у, write) е b и fo(x)>fo (у);
• r=write и не существует уО:(s,у,read) b и fo(y)>fo(x).
Заметим особо, что в *-свойстве не рассматривается уровень доступа субъекта посредника s. В этом нет необходимости, так как если требовать выполнения *-свойства и ss-свойства одновременно и считать, что субъект не может накапливать в себе информацию, то не возникают противоречия по существу с положениями мандатной (полномочной) политики безопасности. Субъект может читать информацию из объектов с уровнем секретности не выше его уровня доступа, и при этом субъект не может стать каналом утечки информации сверху вниз.
По аналогии со свойствами классической модели БЛ определяются ss-свойство, *-свойство и свойство безопасности для состояния, реализации и системы в целом.
Теорема A1-RW. Система (V,T,zo) обладает ss-свойством для любого начального состояния zo, обладающего ss-свойством, тогда и только тогда, когда функция переходов T(q, )= * удовлетворяет условиям:
Условие 1. Если (s,o,read)b*\b, то fs(s)=fo(о).
Условие 2. Если (s,o,read)b и fs*(s)<fo(o), то (s,o,read) b*.
Доказательство. Аналогично доказательству теоремы А1.
Теорема A2-RW. Система (V,T,zo) обладает *-свойством для любого начального состояния zo, обладающего *-свойством, тогда и только тогда, когда функция переходов T(q, )= * удовлетворяет следующим условиям.
Условие 1. Если {(s.x.read), (s,y,write)}b*\b, то fo*(y)=fo*(x).
Условие 2. Если {(s.x.read),(s,y,write)}b и fo*(y) fo*(x), то {(s.x.read), (s,y,write)} b*.
Доказательство. Аналогично доказательству теоремы А1.
Теорема BST-RW. Система (V,T,zo) безопасна для безопасного начального состояния zo тогда и только тогда, когда выполнены условия теоремы A1-RW и теоремы A2-RW.
Доказательство. Теорема BST-RW следует из теорем A1-RW, A2-RW.
В данном подходе *-свойство определено таким образом, что его смысл - предотвращение возникновения информационных каналов сверху вниз становится более ясным, чем при использовании функции f0 в классической модели БЛ. В этом заключена основная ценность подхода Read-Write.