- •1. Свойства безопасности информации.
- •Угрозы безопасности вычислительных систем.
- •Модель защиты с полным перекрытием.
- •2. Нарушители информационной безопасности (иб) вс. Методы нарушений иб.
- •3. Политика безопасности (пб): основные понятия. Способы описания пб, их преимущества и недостатки.
- •4. Типы контроля доступа
- •Отличия.
- •Примеры.
- •5. Модели безопасности: основные понятия. Монитор безопасности пересылок.
- •6. Доверенное программное обеспечение (тсв), его свойства. Принципы разработки тсв.
- •7. Дискреционный контроль доступа.
- •Модель Харрисона-Руззо-Ульмана.
- •Формулировка теоремы о разрешимости проблемы безопасности в некоторых частных случаях.
- •Формулировка теоремы о разрешимости проблемы безопасности в общем случае.
- •8. Доказательство теоремы о разрешимости проблемы безопасности для модели Харрисона-Руззо-Ульмана в общем случае.
- •10. Модель Take-Grant. Кража права. Троянская программа в терминах Take-Grant. Сговор в терминах модели Take-Grant
- •11. Схематическая модель защиты (spm). Основные определения. Цели. Примеры описания различных моделей безопасности в терминах spm (пб владельца, Take-Grant).
- •12. Схематичная модель защиты (spm). Анализ безопасности с использованием spm. Теорема о максимально достижимом состоянии. Объявлено уг.
- •13. Выразительная мощность моделей дискреционного контроля доступа. Сравнение spm и модели хру. Расширенная схематическая модель защиты (espm). Сравнение spm, espm и хру.
- •14. Модель типизированной матрицы доступа (tam).
- •15. Мандатный кд. Основные определения. Модель Белла и Лападула: основные определения
- •16. Модель Белла и Лападула
- •Модель Белла и Лападула.
- •Формальное описание модели Белла и Лападула.
- •Основная теорема безопасности.
- •17. Примеры реализации модели Белла и Лападула, Проблемы реализации и пути их решения.
- •18. Критика модели Белла и Лападулы
- •19. Модели целостности. Различие коммерческой и военной пб. Модель Биба: описание, теорема о пути передачи информации.
- •20. Критика модели Биба. Способы объединения моделей Биба и Белла и Лападулы.
- •21. Особенности обеспечения безопасности в среде разработки. Модель Липнера: область применения, цели, описание
- •22. Модель Кларка-Вилсона: область применения, цели, описание. Сравнение модели Кларка-Вилсона и модели Биба, композиция моделей.
- •Сравнение модели Кларка-Вилсона и модели Биба.
- •23. Модель Китайской стены: область применения, цели, описание. Сравнение моделей Белла-Лападуллы и моделей Китайской стены. Сравнение моделей Кларка-Вилсона и модели Китайской стены.
- •24. Контроль доступа, базирующийся на ролях. Описание, особенности кдбр в сравнении с дискреционным и мандатным кд
- •25. Ролевая модель контроля доступа. Достоинства и недостатки. Основные понятия и принципы ролевой модели
- •26. Сравнительный анализ дискреционных, мандатных и специальных моделей безопасности.
- •Модель систем дискреционного разграничения доступа
- •Мандатное управление доступом
- •Ролевое разграничение
- •27. Механизмы безопасности, соотношение с политикой безопасности. Понятие адекватности. Методы доказательства адекватности на различных этапах жц разработки системы
- •28. Основные принципы разработки механизмов безопасности.
- •30. Идентификация и аутентификация
- •31. Аудит
- •32. Резервное копирование
- •33. Механизмы ограждения данных. Механизмы виртуализации.
- •34. Свойства монитора виртуальных машин.
- •35. Уязвимости. Основные источники проблем с компьютерной безопасностью по Ньюману. Определения , характеристики уязвимостей, базы данных уязвимостей.
- •36. Классификация ошибок, приводящих к уязвимостям. Ошибки на этапе проектирования. Ошибки на этапе администрирования.
- •39. Методы поиска ошибок кодирования. Динамический анализ программного обеспечения
- •40. Аудит безопасности.
- •43. Разрушающие программные средства: классификация, определения. Локальные и удаленные атаки с использованием рпс
- •44. Компьютерные вирусы, определениие и свойства. Методы обнаружения компьютерных вирусов.
17. Примеры реализации модели Белла и Лападула, Проблемы реализации и пути их решения.
Данная модель значительно повышает уровень защищенности операционных систем, СУБД и приложений, а также позволяет контролировать утечки конфиденциальной информации. Однако у данного подхода есть один очень серьезный недостаток – сложность реализации. Только представьте, что вам нужно классифицировать не только пользователей, но и все файлы и программы, носители информации, а также строить очень громоздкие матрицы доступа, учитывающие все возможные комбинации. И хотя такие системы существуют («Secret Net», «Аккорд», «Щит» и т.п.), распространены они в основном в военных и государственных структурах, в которых применение подобных моделей регламентируется на законодательном уровне.
У модели Белла – Лападулы есть и другие недостатки. Например, так называемая деклассификация объекта. Допустим, субъект с уровнем секретности «совершенно секретно» получил доступ к файлу с грифом также «совершенно секретно», после чего он понизил свой уровень секретности до «секретно» или даже «для служебного пользования» — формально он имеет на это право и мандатную модель это не нарушает. После этого субъект записывает информацию в файл с грифом «секретно» или «для служебного пользования» (он ведь находится на одном с ними уровне) – безопасность системы нарушена, хоть требования и условия модели Белла – Лападулы формально соблюдены.
Например возьмем ОС DG/UX:
Что там реализовано?
Наличие средств обязательного контроля за доступом (mandatory access controls - MAC), которые позволяют жестко ограничить доступ к конфиденциальной информации (например к файлам, содержащим платежные ведомости):
в данной таблице уровни секретности снизу вверх (вверху самый высокий уровень)
БД А/A ; данные аудита |
Административный уровень |
Пользовательские данные и приложения |
Пользовательский уровень |
Site Executables Trusted data Non TCB application TCB application Reserved |
Уровень предотвращения от вирусов |
Аналог демилитаризированной зоны - Site Executable (DMZ)
Проблемы внедрения правил в UNIX:
S - процессы
O - файлы
Файлы имеют метки уровня,
метки бывают явные и неявные. явные в соответствии с деревом иерархии.
Средства Мандатного Контроля за Доступом (Mandatory Access Control - MAC): обеспечивают защиту информации более надежную, чем объект, который ее содержит. Контроль является обязательным в том смысле, что пользователи не могут изменять стратегию MAC в отношении объектов. При создании объекта система автоматически присваивает ему атрибуты MAC, и изменить эти атрибуты может только администратор, имеющий соответствующие полномочия. Средства MAC не позволят пользователю случайно или преднамеренно сделать информацию доступной для лиц, которые не должны обладать ею.
18. Критика модели Белла и Лападулы
Модель Белла и Лападула как бы хорошая, но у нее есть свои недостатки.
Модель, по сути, очень проста в силу своей абстрактности, но при применении в реальных системах возникают трудности с реализацией.
В частности, такой проблемой реализации являются привилегированные субъекты. В модели ничего не сказано, насчет того, все ли субъекты должны подчиняться правилам. А в каждой системе есть Админы, руты и пр. И что с ними делать — непонятно. Также непонятно, что делать со всякими службами, демонами и пр. Им для своей работы требуется нарушать правила модели.
Другой проблемой являются СКУИ. Рассмотрим случай, когда модель применяется для распределенных систем. Мы на верхнем уровне хотим прочитать что-либо с нижнего уровня. В РС чтение инициируется запросом. Такой запрос приводит к потоку информации в неверном направлении. Получаем во-первых запись вниз, что нарушает модель, а во-вторых, этот запрос можно использовать как СКУИ. Такие дела.
И еще одна проблема заключается в том, что есть такие конфигурации системы, при которых любой субъект может читать любой объект. Это возможно, если уровни секретности меняются между операциями чтения и записи.
Данная конфигурация носит название System Z (разработал McLean). Механизм здесь следующий: субъект A прочитал информацию со своего уровня секретности, затем он понизил свой уровень до уровня B и записал считанную информацию в объект уровня B (отдельный вопрос здесь конечно — как это он так ловко и свободно умеет свои уровни менять?).
Но, вообще говоря, господин МакЛин дико облажался (epic fail). И вот почему. В оригинальной модели Белла и Лападула были введены 2 правила.
Правило слабого спокойствия
Уровни секретности субъекта и объекта никогда не меняются в ходе системных операций таким образом, чтобы не нарушить заданную политику безопасности
Правило сильного спокойствия
Уровни секретности субъекта и объекта никогда не меняются в ходе системных операций.
Соотносятся все это дело вот так:
"BLM+сильное спокойствие" из "BLM+слабое спокойствие" из "BLM"
(BLM — Bella Lapadula model).